Remote-Zugriff - Grundsatzdiskussion

[aiole]

DIe kommen einfach so ins LAN? Ohne Nutzeraktion?
Backdoor?

[LutzB]

Es gibt viele Komponenten (Wechselrichter, Speicher etc.), welche eine VPN nach Hause aufbauen. Durch das VPN kommt dann auch der Support im Falle eines Falles auf das Gerät. Da man keine Kontrolle über die Implementierung auf den Geräten hat, könnte es durchaus sein, dass die auch ins LAN kommen und andere Geräte ansprechen können. Aus diesem Grund habe ich ein eigenes VLAN für alle Geräte, die ich nicht komplett kontrollieren kann. So kommt zumindest keiner an meine eigenen Server/Geräte.

[aiole]

Echt? Eine Backdoor von der der Nutzer nichts weiß oder nur im Kleingedruckten lesen kann?

Wenn die mir so etwas "planmäßig unterschieben" würden, wäre das ein klarer Kaufverweigerungsgrund. Remote-support schön und gut, aber dafür will ich eine nur temporär wirksame Lösung mit jeweiliger Einzelfreigabe durch den user.

[LutzB]

Das wird bei vielen Geräten gemacht, die Daten beim Hersteller in einer Cloud ablegen. Meine Sonnenbatterie bietet z. B. ein solches Portal. Gleichzeitig werden darüber aber auch Updates eingespielt und, da ich in der Community bin, die Netzstabilisierung getriggert. In meiner Firewall kann ich eine VPN-Verbindung erkennen, also potentiell ein Tunnel in beide Richtungen.

Im Kleingedruckten steht das sicher auch irgendwo. Das könnte sich sonst ein renomiertes Unternehmen nicht erlauben. Anders sieht es bei den billigen Geräten aus China aus. Ich meine hier mal gelesen zu haben, dass dIe RS485 Adapter des EVU- und PV-Kit extra in einem festen Subnetzt liegen, damit die nicht über den Router nach Hause können.

[aiole]

So eine PV/Speichereinheit käme mir nicht ins Haus. Das ist ja schlimmer als bei den neuen SMGW.

[openWB]

Das haben aber soweit alle gängigen Wechselrichterhersteller implementiert. Also eine Remote Support Funktion.

[aiole]

Die kommen da ohne Zutun des Nutzers getunnelt auf den WR im LAN? Läuft da ein VPN-client drauf?
Bei so etwas wird mir nur noch unwohl. Hoffe, fass das wenigstens in der manual steht.

Welcher WR hat das NICHT drin?
SMA?
SE?
Fronius?
Kostal?

[hominidae]

...ein Grund, warum mein WR und die openWB in einem VLAN, quasi in einer DMZ/Gastnetz in Bezug auf mein LAN hängen.
Nix für ungut, aber meine Waschmaschine und alle intelligenten Gizmos im Haus trifft das gleiche Schicksal, insofern sind alle in guter Gesellschaft.

[aiole]

Das ist echt krank. Wenn ich eine HW kaufe und installieren lasse, kann der Installateur antreten (oder gleich bei der Install. realisieren), um TCP freizuschalten. SW-updates bitte als "one-click" download-Lösung wie bei openWB.

Ich finde, dass der WR-Zugang auf Kundenwunsch abschaltbar sein muss.
Ist denn diese Methode noch DSGVO-konform?

[hominidae]

Die kommen da ohne Zutun des Nutzers getunnelt auf den WR im LAN? Läuft da ein VPN-client drauf?
Bei so etwas wird mir nur noch unwohl. Hoffe, fass das wenigstens in der manual steht.

Ist denn diese Methode noch DSGVO-konform?

Jein...
Ja, da ist sowas wie ein "VPN Client" drauf....technisch gibt es da ja zahlreiche Möglichkeiten der Umsetzung....eine UDP/TCP-Verbindung zur Aussenwelt in einen Server reicht.
Nein, ins LAN kommt jemand nicht, nur auf den WR....wenn die Firmware OK ist und genau da liegt dann der Angriffsvektor.

Im Zweifel ist es nicht das Gerät, das etwas böses tut, sondern jemand vom Support.

DSGVO konform ist das schon....es werden ja keine personenbezogenen Daten ausgespäht/erhoben, die Du nicht eh schon freiwillig und für den Zweck preisgegeben hast.
Für die Verwendung im Portal des WR sowieso, denn zugestimmt hast Du.
Würdest Du ablehnen, müsstest Du ihn zurückschicken oder eben nicht kaufen...Recht haben und Recht kriegen sind zwei verschiedene Dinge im Leben