• Meine Kernsorge ist, dass das System ähnlich anfällig ist, wie die Heizungsanlagen in diesem Bericht: https://heise.de/-1840919

Die S10 Systeme arbeiten grundsätzlich immer als Client. Es wird nie eine Verbindung zum S10 aufgebaut, sondern immer nur vom S10 zum Server. Dadurch ist sichergestellt das ein Angriffscenario wie im erwähnten Artikel nicht möglich ist.

• Welches Betriebssystem wird für das Internetanbindungssystem verwendet und wie wird sichergestellt, dass dieses entsprechende Updates bezieht?

Als Betriebssystem kommt embedded Linux zum Einsatz. Updates werden über die E3/DC Server in regelmäßigen Abständen eingespielt.

• Wie wird sichergestellt, dass das zugrundeliegende Betriebssystem vor Schadsoftware geschützt ist (insbesondere, wenn es ein Windowssystem sein sollte)?

Auf Grund des Betriebsystems ist die Gefahr vor Schadsoftware geringer, aber dennoch nicht ausgeschlossen. Dadurch das kein Benutzer auf der Maschine arbeitet ist der Angriffsvektor für Schadsoftware bedeutend geringer, da eine Sicherheitslücke ausgenutzt werden müsste.

• Wie sind die Zugangsdaten sowohl im Gerät vor Ort, als auch im Hause von e3dc gespeichert (Klartext oder verschlüsselt, wenn ja welcher Algorithmus)?

 Die Zugangsdaten sind auf dem System gar nicht gespeichert. Auf dem Server kommen gesalzene Hashes zum Einsatz um die Passwörter zu schützen. Diese können selbst durch E3/DC nicht zurückgerechnet werden.

• Wie erfolgt die Datenübertragung zwischen dem e3dc Server und dem Mini (http, ftp, verschlüsselt...)?

Grundsätzlich ist jegliche Kommunikation mit dem System verschlüsselt. Die Fernwartung ist per TLS abgesichert. Die Datenübertragung geschieht per ausdrücklich per HTTPS (mit einer Ausnahme: Zur Onlineerkennung wird eine statische Textdatei mittels HTTP angerufen.)
 

• Wie wird die Erreichbarkeit des Mini für den e3dc Server und den Servicetechniker sichergestellt (Läuft ein eigener Webserver auf dem Mini, wird die wechselnde IP-Adresse des Mini über irgendeine Art von DynDNS Dienst aufgelöst...)?

Die Fernwartungsverbindung wird über unseren Fernwartungserver sichergestellt. Die S10 -Systeme melden sich bei diesem Server an und halten die Verbindung offen (ohne Daten zu übertragen). Ein Servicetechniker der sich am System arbeiten möchte, verbindet sich ebenfalls zu Server. Nachdem er sich authentifiziert und autorisiert hat, vermittelt der Server zwischen den beiden Verbindungen. Es wird also keine Verbindung INS System aufgebaut. Dahe ist die wechselnde IP-Adresse kein Problem.

• Muss ich in meiner Firewall irgendwelche Ports für die Kommunikation des Mini öffnen?

NEIN! Im Standardanwendungsfall (Privates Heimnetz) müssen keine Ports in der Firewall geöffnet werden. Wir empfehlen grundsätzlich die externen Portfreigaben  zu entfernen, falls wir darauf aufmerksam werden. Das System benötigt nur ausgehenden Datenverkehr auf den TCP-Ports 80,443,4001. In den meisten Heimroutern sind dieser ausgehende Traffic erlaubt. Sollte eine restriktivere Firewall zum Einsatz kommen, müssen diese Ports freigeben werden, allerdings nur für ausgehende Verbindungen, explizit nicht für eingehende Verbindungen!

• Besteht die Möglichkeit, nach der Anmeldung das Mini vom Netz zu trennen und nur zu verbinden, wenn ich von e3dc benachrichtigt werde, dass ein Update ausgerollt wird?

Die Möglichkeit besteht zwar, allerdings kommen Sie dann nicht in den Genuss der erweiterten Garantie. Das System hat dann nur die gesetzliche Gewährleistung von 2 Jahren. Das System ermittelt kontinuierlich den Batteriezustand und übermittelt diesen zu unseren Servern. Ein Speichern dieser Daten über die gesamte Lebenszeit des S10s auf dem Gerät selbst ist technisch nicht möglich.

>>zum Produkt S10<<