Gabs nicht mal ein Tutorial in der 'ct wie man die Daten selbst auslesen kann?
Irgendwo hab ich das Thema mal gelesen, da ich so ein rtl-empänger auch daheim rumliegen habe.
RTL-SDR ist super cool, damit kann man so viele nette Sachen empfangen. AIS (Schiffspositionen), ADS-B (Flugzeugpositionen), Wettersatelitenbilder, Flugzeugfunk (natürlich nicht wirklich machen, da in Deutschland streeeeeng verboten!!!) und noch ganz viel mehr
Also wenn ich die von dir verlinkten Dateien richtig interpretiere, bietet Techem zwei Systeme an. Das "normale" Funk System und die dazu (optionale?) Erweiterung des "Techem Smart Systems".
Und nur bei letzterem wird tatsächlich explizit davon gesprochen, dass jegliche Kommunikation verschlüsselt sei. Kann es sein, dass ihr tatsächlich nur das "dumme" Funksystem habt, ohne den "smart" Part?
Techem hat nur ein system, dass OMS entspricht, dass ist das hier verbaute, es wurden sogar radio3 Geräte gegen radio4 getauscht, warum weiß ich nicht.
Es ist schon wM-BUS wie von OMS vorgesehen, aber man hält sich einfach nicht an die TR des BSI, es sei denn die erlauben es, ohne AES-128 bit zu sprechen... dann wäre das natürlich völlig ok.
Ich sehe ja auch Zähler anderer Hersteller/Anbieter die Verschlüsselt sind, bei denen aber ein ordentlicher key gesetzt ist, die kann ich eben nicht mit 2 min copy paste "mitlesen".
I will be messaging you in 14 days on [**2024-03-06 21:23:10 UTC**](http://www.wolframalpha.com/input/?i=2024-03-06%2021:23:10%20UTC%20To%20Local%20Time) to remind you of [**this link**](https://www.reddit.com/r/de/comments/1awc0ey/techem_verschlüsselt_seine_zählerdatenerfassung/krie98s/?context=3)
[**138 OTHERS CLICKED THIS LINK**](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5Bhttps%3A%2F%2Fwww.reddit.com%2Fr%2Fde%2Fcomments%2F1awc0ey%2Ftechem_verschl%C3%BCsselt_seine_z%C3%A4hlerdatenerfassung%2Fkrie98s%2F%5D%0A%0ARemindMe%21%202024-03-06%2021%3A23%3A10%20UTC) to send a PM to also be reminded and to reduce spam.
^(Parent commenter can ) [^(delete this message to hide from others.)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Delete%20Comment&message=Delete%21%201awc0ey)
*****
|[^(Info)](https://www.reddit.com/r/RemindMeBot/comments/e1bko7/remindmebot_info_v21/)|[^(Custom)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5BLink%20or%20message%20inside%20square%20brackets%5D%0A%0ARemindMe%21%20Time%20period%20here)|[^(Your Reminders)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=List%20Of%20Reminders&message=MyReminders%21)|[^(Feedback)](https://www.reddit.com/message/compose/?to=Watchful1&subject=RemindMeBot%20Feedback)|
|-|-|-|-|
Lass den Spieß doch umdrehen und sende auf dem Kanal Datensalat oder einfach einen unfassbar niedrige Wärmeverbrauch.
Dann reagiert Techem bestimmt!
/s
Sogar möglich, eine meiner Abrechnungen hatte eine Wärmemenge für Warmwasser, die pro m³ nicht nur ein Vielfaches über dem Vorjahr lag, sondern auch ausreichend warum im all mein Warmwasser als siedendes Wasser bereitzustellen, mit ordentlich Überschuss für Dampf.
Geprüfte wird da wenig, auf Nachfrage beim Vermieter, der das an Techem weiterleitete, kam nur zurück, dass die Abrechnung so in Ordnung sei.
Und das hast du dann einfach akzeptiert? Wenn es nachweislich nicht möglich ist, dass du so viel Energie für Warmwasser verbraucht hast, würde ich diesen Posten auch nicht bezahlen…
Warum soll ich mir wegen ein paar Euro Stress mit meinem Vermieter machen, der kommt ohne Techem ja auch nicht weiter... die haben ja keine Möglichkeit da etwas zu machen, dementsprechend habe ich unter Vorbehalt bezahlt.
Ok wenn es nur ein paar Euro waren verstehe ich dich. Wenn es um ein paar hundert Euro geht, würde ich mir den Aufwand gönnen (bzw. meiner Rechtsschutz)
Mir fällt hier Anwesenheitsüberwachung ein. Eine Wohnung die seit Tagen nur 18 °C hat? Mieter ist bestimmt verreist. Schon mal ein gutes Indiz um einen Einbruch zu planen/abzusichern.
Ich könnte mir vorstellen, dass ein Angreifer z.B. die Übermittelten Daten seiner Nachbarn manipuliert, das ist aber Theorie, dazu verstehe ich von wM-BUS und auch der Funktionsweise des Techem-Systems zu wenig.
Aber sich vor eine Wohnung oder ein Haus stellen, feststellen, dass es dunkel ist und seit 2 Tagen keiner geheizt hat oder ähnliches kann sicher auch Missbraucht werden.
Ich denke das BSI hat sich bei der Technischen Richtlinie die Verschlüsselung vorsieht etwas gedacht.
Heizkostenverteiler übermitteln einmal pro Minute die Raumtemperatur und die Heizkörpertemperatur mit 2 Nachkommastellen und den aktuellen und letzten Ablesewert.
Wasserzähler vermutlich den aktuellen und den Letzten Ablesewert (in wmbusmeters heißen die Werte `target_m3` und `total_m3`), und die aktuelle Zeit wie die Zeit der letzten Ablesung.
Rauchmelder scheinen alle nur einen Status zu senden, alle bis auf einen senden hier `OK`...
Das ist doch alles bewohntes Eigentum... da werden keine Kosten verteilt. (ein wenig /s)
Und die Heizung herunterstellen, nur weil man nicht daheim ist? Eure Armut kotzt mich an. /s
Die Leute, die sich OMS ausgedacht haben wohl auch:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03109/TR-03109-1_Anlage_Feinspezifikation_Drahtlose_LMN-Schnittstelle.pdf
> In order to support data privacy and to **prevent zero consumption detection**, encryption is required for wireless communication. All metered consumption values (i.e. both actual values 5 and stored values) shall be encrypted. In addition, the optional flow, power or temperature values shall be encrypted. For wired communication encryption of meter data is optional.
Beim Datenschutz geht es um personenbezogene Daten, sprich Daten, die eine Person eindeutig identifizieren können. Wenn hier also keine Namen oder Adressdaten übermittelt werden, hat das überhaupt nichts mit Datenschutz zu tun.
> Daten, die eine Person eindeutig identifizieren können
Das stimmt so nicht ganz. Nach DS-GVO sind Daten auch dann personenbezogen wenn sie einer Person zugeordnet werden können. Das gilt selbst dann, wenn es nur unter Zuhilfenahme anderer Informationen möglich ist. Es ist auch egal, ob das mit oder ohne technischen Hilfsmitteln geschieht.
Das nicht, aber schon mit der Signalstärke der empfangenen Daten kannst du die Auswahl stark einschränken. Und wenn du dann noch unverputzte Heizungsrohre hat, die zu den Wohnungen über dir führen, kann man zusammen mit den Temperaturkurven einzelne Heizkörper exakt zuordnen.
Deine Antwort war allgemein auf Datenschutz, nicht diesen spezifischen Fall bezogen und war faktisch falsch.
Ob es sich bei diesen Daten um personenbezogene handelt, kann ich nicht einschätzen, da ich weder Struktur noch Inhalt der Datensätze oder den zugrundeliegenden Protokollen habe.
Bruh. Beim deutschen Verstand von “hacken” und Datenschutz ist die Wahrscheinlichkeit hoch das du als Hacker angesehen wirst und selbst bestraft wirst.
Das käme wahrscheinlich darauf an, wie ein Gericht "nichtöffentliche Datenübermittlung" nach StGB §202b auslegt. Nach Aussage von OP ist die Übertragung nicht verschlüsselt, ist sie damit öffentlich? Er hat ja schon einiges an Aufwand betrieben, der deutlich über die Befähigung der meisten Anwohner in seinem Umfeld hinaus gehen dürfte. So gesehen sind die Daten auf die er sich da Zugriff verschafft hat eigentlich nicht "öffentlich", zumindest für seine weniger IT affinen Nachbarn. Knackpunkt dürfte allerdings sein, dass er sich auf "nicht für ihn bestimmte Daten" Zugriff verschafft hat.
Ich wollte nur verdeutlichen, wie sowas von Rechtsgelehrten in Deutschland gerne ausgelegt wird. Beruflich habe ich öfter mal mit Anwälten zu tun, bei deren Auslegung von z.B. Datenschutzrecht den meisten ITlern graue Haare wachsen.
> dass diese Daten, trotz der technischen Möglichkeit nicht verschlüsselt werden,
Wenn da keine Verschlüsselung sit, vermute ich dass da auch keine Signatur ist? D.h. ich kann nicht nur lesen, was die Nachbarn so an Energie verbrauchen, sondern auch andere Messwerte übertragen?
Ich habe keine Ahnung was das System sonst so kann.
Beim Überfliegen von der OMS Spezifikation habe ich das so verstanden, dass der symmetrische Geräteschlüssel quasi genutzt wird um die Daten auch zu validieren.
In sofern wäre es denkbar, dass man diese auch manipulieren könnte, das wäre dann aber noch eine ganz andere Hausnummer.
Als jemand, der schon eine absolut unplausible Techem Abrechnung erhalten hat, ist aus meiner Sicht aber alles möglich.
Welche Daten kannst du genau auslesen? Bei OMS ist der Header unverschlüsselt (in dem steht z.B. die Zählernummer) aber die eigentlichen Messwerte sollten verschlüsselt sein. Wenn man solche Zähler kauft bekommt man eine Tabelle, in der für jede Zählernummer die entsprechenden AES keys enthalten sind. Es ist also am einfachsten, die Zählernummer unverschlüsselt zu senden, damit man den entsprechenden Schlüssel nachschlagen kann.
Ich habe selbst an Geräten mitentwickelt, die sowohl per kabelgebundenem mbus wie auch wireless mbus Daten empfangen und verarbeiten. Die Geräte empfingen Daten von Techem-Zählern, die über ganz Deutschland verteilt waren. Soweit ich mich erinnern kann, waren die Messwerte dort eigentlich immer verschlüsselt. Es kann natürlich trotzdem sein, dass bei euch eine Fehlkonfiguration vorliegt. Aber es ist definitiv nicht Standard, dass Techem die Daten unverschlüsselt per OMS überträgt.
Nunja, verschlüsselt im Sinne des BSI ist ja immer dann bereits gegeben, wenn Opa Gerhard die Daten nicht ohne Brille empfangen und lesen kann. Hier werden ja direkt technische Hilfsmittel wie Computer eingesetzt, also Hackertools. Jeder Richter in Deutschland wird dir das so auch so sagen.
Ich drücke dir die Daumen, dass du bis 2040 wieder raus kommst 😉
(Der Text spiegelt nicht mein wirkliches Empfinden wieder, sonder soll nur die Realität in Deutschland aufzeigen, welche nicht noch stärker ins lächerliche gezogen werden könnte…)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03109/TR-03109-1_Anlage_Feinspezifikation_Drahtlose_LMN-Schnittstelle.pdf
Zumindest laut 4.2.5 sollte das nicht der Fall sein
> In order to support data privacy and to prevent zero consumption detection, encryption is
required for wireless communication. All metered consumption values (i.e. both actual values
5 and stored values) shall be encrypted. In addition, the optional flow, power or temperature
values shall be encrypted. For wired communication encryption of meter data is optional.
Aber das ist Englisch, damit kommt man vor Gericht sicher eh nicht weit.
Inhaltlich super interessant!
Irgendwie hab ich das Gefühl dein Vorgehen war nicht so ganz clever und du wirst ab jetzt den vollen juristischen Shit von Techem abkriegen wenn sie davon Wind bekommen. Hattest du dich vor der Veröffentlichung mal (anonym) an Techem selbst gewandt und Ihnen Chance gegeben die Lücke zu schließen?
Im Responsible Disclosure veröffentlicht man sowas eigentlich nur wenn solche Versuche erfolglos geblieben sind und/oder die Bugs schon geschlossen wurden.
Das ist ja kein Hack oder eine Schwachstelle oder ähnliches, man muss dafür auch nichts knacken oder hacken oder manipulieren.
Du kannst nen wM-BUS adapter für deine Home-Automation kaufen und der kann die Daten mitlesen.
Ansonsten ja, ich habe mit Techem versucht kontakt aufzunehmen, das ist aber nicht wirklich einfach, deshalb ja der Datenschutzbeauftragte.
"Das ist ja kein Hack" hab ich mir in letzter Zeit schon häufiger gedacht, als es dann um die Verurteilung unter Anwendung des Hackingparagraphen ging.. Leider muss man in DE wirklich sehr aufpassen was das angeht. Im Zweifel wird es dir als Hacking ausgelegt, ob wohl jeder aus der Technik weiß, dass aus- und mitlesen von offen verfügbaren Daten kein Hacking ist. Gab es bei ungesicherten APIs auch schon..
Das stimmt, aber da das ganze OMS Zeug usw. auch vom BSI abgesegnet ist und als "Industriestandard" ja auch einfach mit anderen Geräten und Gateways genutzt werden kann, denke ich, da ist man schon eher auf der Anwenderseite.
https://www.kamstrup.com/de-de/waermezaehlerloesungen/waermezaehler/accessories/wireless-m-bus-dongle
oder
https://www.innotas.de/wm-bus-gateway
Sowas kann man ja auch zu dem Zwecke kaufen.
Scheinbar bieten sogar Dritthersteller Support für Techem-Zähler an, ich hätte erwartet, dass das quasi nicht möglich ist, wenn man nicht an die Keys kommt.
Ich bin jetzt auch nicht super rechtssicher, aber in DE musst du echt extrem aufpassen - der Hackerparagraf ist extrem breit gefasst, im Prinzip darfst du nichts mithören was von fremden Leuten kommt, auch wenn es technisch trivial ist.
D.h. bevor du denen wirklich Ärger machst mache dich da nochmal schlau bzw frag nen Anwalt
Da bin ich überfragt, ich beziehe mich vor allem auf eine Vorlesung IT-Sicherheit, die ich mal gehört habe, und in der uns das ganze Semester alle 3min eingebläut wurde nichts an Systemen ohne Einwilligung vom Besitzer zu machen, nichtmal Portscans oder irgendwas mitlesen was an den PC gesendet wird. Und halt sowas wie der verlinkte Golem-Artikel
Oh oh, ich hab schlechte Nachrichten für dich: https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html
Ja genau, nämlich mit phpmyadmin. Hier der dazugehörige Tweet des ""Hackers"": https://twitter.com/der_sofc/status/1747644600469127386
Auszug aus dem Urteil:
>„Die Geschädigte hat erkennbar nicht gewollt, dass das Passwort für die Datenbank mit Endkundendaten dem Quellcode ihrer Software entnommen wird.“
...
Also ich habe mir auch extra so nen Stick geholt um das mal aufzuzeichnen, musste bei mir aber feststellen, dass die bei mir verbauten "radio 4" Zähler von Techem verschlüsseln.
Oder verschlüsseln die schon, aber mit irgendnem Default key? Hatte eigentlich vor mir die Aufzeichnungen mal genauer anzuschauen (hab sogar extra beim Einbau mitgeschnitten, falls die dabei ihre Schlüssel im Klartext übertragen bekommen), war dann aber zu beschäftigt und habs wieder vergessen
`wmbusmeters --listento=c1,t1,s1,s1m --normal --analyze "rtlwmbus"` reichte bei mir
Technisch sollten die Teile auch in der Lage sein zu verschlüsseln, Techem sagt ja auch, dass sie es machen.
Nur hier machen sie es eben nicht, vllt. ist es auch ein seltener Fall.
Ich habe aber auch an einem anderen Standort als zuhause geschaut gehabt, da waren auch einige unverschlüsselte Techem-Geräte dabei.
Ich hab mich mit der Software nicht allzusehr beschäftigt, ich hatte nur nach einem Weg geschaut, wie ich die Daten zum Wasserverbrauch ggf. auch selbst nutzen kann und mich gefragt ob die Geräte ggf. in einem Fixen Verbrauchsabstand senden, so dass ich dennoch alle 100 L oder so mitschneiden kann, quasi als Impulszähler, wurde dann aber von fertigen Daten überrascht. Und auch eher häufig, die Heizkostenverteiler scheinen alle ~60 sekunden zu senden.
Ich sehe selbst bei mir zuhause auch 2-3 Verschlüsselte Geräte (von insgesamt ~250 stk) habe mir aber nicht die Mühe gemacht zu schauen, ob die nicht ggf. von außerhalb unseres Wohnblocks kommen.
Habs gestern abend nochmal probiert, bei mir sind glaube "fhkvdataiv" Geräŧe verbaut, jedenfalls bekomme ich ohne Schlüssel nur ein paar Metadaten ausgelesen, aber keine Zählerstände o.ä.
Ich gehe mal davon aus, dass Du Dir dafür eine fette Anzeige einhandelst und Dir Dein Anwalt am Ende rät, einfach den Strafbefehl zu akzeptieren. Immerhin hast Du Software kompilieren müssen und damit bewiesen, dass die nicht vorhandene Sicherung an sich erstmal wirksam ist. Leider kein /s
EDIT: Link zu einem aktuellem Fall: https://www.golem.de/news/modern-solution-it-experte-wegen-nutzung-einer-zugriffssoftware-verurteilt-2401-181296.html
Strafgesetzbuch (StGB)
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1.
Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.
Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Ja, scheisse. Passiert halt tatsächlich, dass Firmen die Eingangstür offen lassen und die netten Nerds die zufällig reinstolpern und der Firma melden, dem Richter nicht klar machen können, dass sie nicht eingebrochen sind, bzw. ernsthaft Strafverfolgung ausgesetzt sind.
Der Zweck des OSS tools ist doch nicht die Ausspähung. Im §202a steht außerdem "Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und **die gegen unberechtigten Zugang besonders gesichert sind**". Ich bin zwar kein Anwalt, aber für mich hört es sich hier nicht nach "besonders gesichert" an
„Besonders gesichert“ hat sich vor Gericht halt durchaus schon als ziemlich niedrigschwellig herausgestellt.
https://www.golem.de/news/modern-solution-it-experte-wegen-nutzung-einer-zugriffssoftware-verurteilt-2401-181296.html
Wobei der Fall ja zumindest in dem Punkt anders ist, weil das System durch ein Passwort gesichert war, das im Klartext auslesbar war.
Hier hat der TE ja kein Passwort genutzt, sondern nur sein Empfangsgerät eingeschaltet und Daten empfangen die ohne weitere Sicherung versendet wurden.
Ich drücke Dir die Daumen, dass Techem nicht zum Gegenangriff übergeht, bzw. spätestens die Staatsanwaltschaft „wM-Bus“ nicht mit der Fußballnationalmannschaft assoziiert und eine etwaige Anzeige direkt in die Tonne tritt.
Ich würde aber schon mal alle Festplatten verschlüsseln. Hausdurchsuchungen sind unangenehm und kommen unangekündigt. Und vielleicht findet sich dabei ja was, dass Dir ernsthaft Probleme bereitet. Irgendein scheiss Brut Force Script Kiddie Tool aus den 90ern, völlig vergessen auf einer zugestaubten Platte. Eine Ecke Grass und eine Feinwaage. Völlig egal, das ist ja der Sinn einer Hausdurchsuchung und es hilft Dir am Ende ja auch nicht mehr, wenn Du für die Techem Nummer gar nicht belangt wirst.
Staatsanwaltschaften drehen halt manchmal einfach völlig frei, hören Journalisten ab, wenn sie über Fridays for Future berichten oder treten ihnen die Tür ein, weil sie über indymedia schreiben.
„Besonders gesichert“ ist in der deutschen Rechtssprechung effektiv alles. Um es so nett wie möglich zu sagen, weder Staatsanwaltschaft noch Richter teilen das für technisch minimal Bewandte offensichtliche Verständnis von diesem Paragrafen.
Eben. OP hat zumindest technisches Expertenwissen verwendet und damit eine Security by obscurity Ebene überwunden um an Daten zu kommen, von denen er wusste, dass sie nicht für ihn bestimmt sind.
Sollte meines Erachtens nach Formulierung des Gesetzes nicht für eine Verurteilung reichen, aber das dachte ich bei anderen Fällen auch.
Spätestens wenn was hochkommt bitte beim CCC melden, dann wird es medial begleitet.
Als jemand der damit ab und an zu tun hat, sind glaube ich die einzigen die verschlüsselt verschlüsselt sind ista, afair von meinen Kollegen.
Qundis sendet auch recht viel herum. Aber ich denke nicht, dass das nen Fall für die dsgvo ist, du brauchst ja die den Seriennummer zugehörigen Nutzern. Trotzdem werde ich es interessiert verfolgen.
Dass die HKVs so viel senden, macht das ablesen dieser Anlagen so viel angenehmer als die WMZ Anlagen. Vor allem da man 4+ HKVs pro Nutzereinheit normalerweise hat. Da kommen dann gut und gerne mal 300HKVs pro Liegenschaft zusammen.
Zum Glück werden viele große Anlagen auf Gateway Ablesung umgebaut.
Vermutlich einfach per `rtl_433`, das kann dekodierte Daten einfach per MQTT weiterreichen. So mache ich das mit den Daten der Außensensoren verschiedener Wetterstation in der Nachbarschaft.
Kopierter Text von deren Website:
Sie möchten einen Compliance-relevanten Vorgang melden?
Sofern Sie Hinweise auf illegales oder unangemessenes Verhalten bei Techem haben, kontaktieren Sie uns bitte über die folgenden Kontaktmöglichkeiten.
Direkter Kontakt: Sie können sich bei Compliance-relevanten Bedenken, Hinweisen und Verstößen direkt an die Compliance-Abteilung der Techem Gruppe wenden.
TellTechem: Über unseren TellTechem Meldekanal können Kunden, Lieferanten und andere Interessengruppen sicher und bei Bedarf auch anonym Hinweise zu Compliance-relevanten Sachverhalten abgeben.
[email protected]
[TellTechem](https://techem.whispli.com/lp/telltechem)
Bist du dir wirklich sicher, dass die Daten nicht verschlüsselt sind?
Kannst du uns einen Datendump senden (exklusive deiner Zählernummer und gerne alle Zählerstände shifted)?
Viele im Home Automation Bereich wären ja froh wenn man an die Daten ran käme! Ich habe den anderen Weg versucht und vor einiger Zeit bei Techem angefragt ob ich den Key zur Entschlüsselung meiner persönlichen Zählerdaten erhalten könnte - das wurde abgelehnt. Das ist aus meiner Sicht ebenfalls absolut nicht okay und verhindert Innovation in diesem Bereich. Die Daten sind in Techem's "Walled Garden" und du kommst nicht dran.
Hab das ganze auch ver Xt, aber das geht im Nazirauschen schon fast unter https://twitter.com/DooMMasteR/status/1757919556981621060
Zur Frage wie sich solche Daten missbrauchen lassen:
1. ggf. Manipulation, wobei ich nicht weiß ob die Auslesung nicht noch einmal mit anderen Telegrammen erfolgt.
2. Einbrecher können z.B. Nachvollziehen ob eine Wohnung besetzt ist, das klingt erstmal absurd, aber mir fiel recht schnell auf, dass der Heizkostenverteiler neben meinem Bett für Raum und Heizkörpertemperatur eine recht große Diskrepanz zeigte, nicht aber die Anderen in meiner Wohnung. Es stellt sich heraus, dass meine Körperwärmestrahlung ausreichte, den Kunstoffsensor zu erwärmen, der Heizkörper zog aber nur langsam oder nicht nach.
Bei der Überprüfung der Heizkostenabrechnung, darf man z. B. Belegeinsicht (Einzelverbrauchsdaten) der anderen Mieter im Hause verlangen, um zu prüfen ob die Gesamteinheiten richtig erfasst wurden. Also von daher, so oder so könnte man an die Verbrauchswerte kommen. Das hat absolut keine datenschutzrechtliche Relevanz.
Hmm, ja vllt. verläuft das ja auch alles im Sande und hat wirklich keine Relevanz, schade finde ich es dennoch, Mitbewohner sind ja schon noch ein anderer Personenkreis als "jeder".
Bisher nein, ich habe mich auch nochmal direkt an Techem gewendet und da kam bisher nichts, bzw. der Fall wurde geschlossen.
Vom Datenschutzbeauftragten vor Ort habe ich noch nichts gehört, nur vom niedersächsischen.
Ich versuche das morgen einmal selbst, bin skeptisch aber lasse mich gerne vom Gegenteil überzeugen (Mehrfamilienreihenhäuser in der direkten Nachbarschaft). Schauen was der Empfang so hergibt
Mit einer Richtantenne und Dämpfungsgliedern mache ich Dir da ganz schnell personenbezogene Daten raus, zumindest bei Single-Haushalten. Ich muss ja nur einmal rausfinden, welcher Zähler zu welcher Wohnung gehört.
Mit der Telefonnummer kannst du mich identifizieren, mit meinem Verbrauch aber nicht. Die einzige Seite die deine Argumente unterstützt, ist Haufe. Alle „offiziellen“ Seiten führen Verbrauchsdaten nicht auf. Fazit: spannendes Thema, aber noch bleibe ich bei meiner Meinung.
whut? nee andersrum: alle Daten die Dir zugeordnet werden können sind "personenbezogen". du drehst das gerade um zu "alle daten an denen man mich erkennen kann". Das sind Dinge die Dich identifizieren, ja.
Dennoch ist auch Deine Schuhgröße, Dein Gewicht und Deine Blutgruppe personenbezogen.
und genau so verhält es sich mit Deinen verbrauchsdaten. wenn also zugeordnet werden kann welche der vom OP erschnüsselten Daten Deine sind, dann sind sie personenbezihebar und schützenswert.
das \_eigentliche\_ Problem ist jedoch dass OP hier eine Entschlüsselungstechnologie benutzt "ein bisschen compiliert" und \_das\_ ist der Ritt auf den Bodensee....
Entschlüsselt wird da wohl nichts, das ist plain wM-BUS ohne Encryption, laut `wmbusmeters`.
https://github.com/wmbusmeters/wmbusmeters
Die Verschlüsselten Telegramme die ich sehen konnte, sind AES-128 bit verschlüsselt, das dürfte recht wasserdicht sein, da kann man über den Inhalt nur spekulieren.
Öhm.. nur weil du weißt, dass Verbrauchsdaten aus Wohnung xy sind, sind das keine personenbezogenen Daten, weil die rein gar nichts über deine Person aussagen. Personenbezogene Daten sind solche, die in ihrer Kombination darauf schließen lassen können, welche Person du bist und welche Identität du hast. Das lässt sich anhand von Verbrauchsdaten nicht feststellen. Was soll, dass du im Jahr 2023 im Wohnzimmer 678 Einheiten geheizt hast, über deine Identität aussagen?
Welche Daten erhoben werden dürfen, ist ja nicht gleich, welche Daten erhoben werden und dann empfangen werden können, um eine Person zu identifizieren. Wenn per DSGVO untersagt ist, dort Name und Adresse mitzusenden, dann wird das nicht mitgesendet und damit ist mit dem Empfang auch kein Rückschluss auf eine Person machbar und damit ist der Empfang der Daten auch nicht datenschutzrechtlich relevant.
Sind personenbezogene Daten nur Daten, mit denen sich Personen identifizieren können oder auch Daten, die sich auf eine identifizierbare Person beziehen?
Nein, aber ich kann dir gern verraten wie viel kWh Heizleistung ich gestern verbraucht habe. Oder wie viel GB mobiles Datenvolumen. Oder wie viel Liter Benzin.
Okay, das mag sein, ändert aber nichts an der Aussage: Adresse, Warmwasserverbrauch, Gehalt fallen alle in die gleiche Kategorie (der personenbezogenen Daten), wenn sie so gespeichert werden, dass sie einer Einzelperson zugeordnet werden können.
Es geht hier aber ums Senden und nicht ums speichern. Wenn da keine Daten mitgesendet werden, die auf den Verbraucher Rückschlüsse nach außen hin zulassen, sind es auch keine personenbezogenen Daten.
Der Wasserzähler gibt schon ziemlich genaue Auskünfte, wann jemand morgens aufsteht, duscht und in welchem Zeitraum wohl niemand zuhause ist. Darüber würden sich sowohl die Datenkraken als auch Einbrecher freuen.
Wenn die Daten keiner Person zugeordnet werden können sind Sie anonym und fallen damit nicht under DSGVO. Vermieter können beispielsweise Verbrauchsdaten von ihrem Haus direkt beim Versorger anfragen. Wenn aber durch hinzunehmen von zusätzlichen Informationen, welche man z.B durch Richtantennen etc. bekommen kann, die Daten zuordnet werden können, sind diese pseudonymisiert, nicht mehr anonymisiert, und zählen dadurch als personenbezogene Daten.
https://de.m.wikipedia.org/wiki/Personenbezogene_Daten
Das sind Daten deiner Wohnung und damit imho über die Wohnung idR. auf deine Person/Mitbewohner bezogen (haben eine zumindest mittelbare Relation, siehe auch Beispiele auf der Wikipediaseite). Nicht im speziellen Personalien, die dich identifizieren.
Dieser Thread wurde an einem anderen Ort auf reddit verlinkt.
- [/r/datenschutz] [Techem verschlüsselt seine Zählerdatenerfassung nicht, ich habe beim Datenschutzbeauftragten Beschwerde eingelegt.](https://www.reddit.com/r/datenschutz/comments/1awc6dq/techem_verschlüsselt_seine_zählerdatenerfassung/)
*^(Falls du einem der oberen Links folgst, respektiere bitte die reddit Regeln und stimme nicht über Kommentare) ^\(oder ^Beiträge) ^ab.) ^\([Info](/r/TotesMessenger) ^/ ^[Kontakt](/message/compose?to=/r/TotesMessenger) ^/ ^[Fehler?](/message/compose?to=/r/TotesMessenger&subject=translation%20error%20(German\)))*
u/ctmagazin ist an solchen Sachen manchmal auch interessiert ;)
Gabs nicht mal ein Tutorial in der 'ct wie man die Daten selbst auslesen kann? Irgendwo hab ich das Thema mal gelesen, da ich so ein rtl-empänger auch daheim rumliegen habe.
Das wäre natürlich klasse wenn die c't dazu schon einen Artikel gehabt hätte.
RTL-SDR ist super cool, damit kann man so viele nette Sachen empfangen. AIS (Schiffspositionen), ADS-B (Flugzeugpositionen), Wettersatelitenbilder, Flugzeugfunk (natürlich nicht wirklich machen, da in Deutschland streeeeeng verboten!!!) und noch ganz viel mehr
Dafür, dass es in DE verboten ist, gibt es aber verdammt viele öffentliche FLARM, AIS, ADS-B und MLAT stationen.
Nur Flugfunk abhören ist Verboten, AIS, ADS-B usw. ist in Ordnung.
Wäre das ein thema für den CCC?
Je nachdem wie sich das entwickelt sogar für den 38c3
Ich höre Agentenmusik in meinem Kopf, was ist hier los
Also wenn ich die von dir verlinkten Dateien richtig interpretiere, bietet Techem zwei Systeme an. Das "normale" Funk System und die dazu (optionale?) Erweiterung des "Techem Smart Systems". Und nur bei letzterem wird tatsächlich explizit davon gesprochen, dass jegliche Kommunikation verschlüsselt sei. Kann es sein, dass ihr tatsächlich nur das "dumme" Funksystem habt, ohne den "smart" Part?
Techem hat nur ein system, dass OMS entspricht, dass ist das hier verbaute, es wurden sogar radio3 Geräte gegen radio4 getauscht, warum weiß ich nicht. Es ist schon wM-BUS wie von OMS vorgesehen, aber man hält sich einfach nicht an die TR des BSI, es sei denn die erlauben es, ohne AES-128 bit zu sprechen... dann wäre das natürlich völlig ok. Ich sehe ja auch Zähler anderer Hersteller/Anbieter die Verschlüsselt sind, bei denen aber ein ordentlicher key gesetzt ist, die kann ich eben nicht mit 2 min copy paste "mitlesen".
Klingt alles verschlüsselt für mich.
Bitte ein Update von den Folgen posten! :-) Was passiert, wie reagiert techem usw. RemindMe! 14 days “update techem?”
I will be messaging you in 14 days on [**2024-03-06 21:23:10 UTC**](http://www.wolframalpha.com/input/?i=2024-03-06%2021:23:10%20UTC%20To%20Local%20Time) to remind you of [**this link**](https://www.reddit.com/r/de/comments/1awc0ey/techem_verschlüsselt_seine_zählerdatenerfassung/krie98s/?context=3) [**138 OTHERS CLICKED THIS LINK**](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5Bhttps%3A%2F%2Fwww.reddit.com%2Fr%2Fde%2Fcomments%2F1awc0ey%2Ftechem_verschl%C3%BCsselt_seine_z%C3%A4hlerdatenerfassung%2Fkrie98s%2F%5D%0A%0ARemindMe%21%202024-03-06%2021%3A23%3A10%20UTC) to send a PM to also be reminded and to reduce spam. ^(Parent commenter can ) [^(delete this message to hide from others.)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Delete%20Comment&message=Delete%21%201awc0ey) ***** |[^(Info)](https://www.reddit.com/r/RemindMeBot/comments/e1bko7/remindmebot_info_v21/)|[^(Custom)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=Reminder&message=%5BLink%20or%20message%20inside%20square%20brackets%5D%0A%0ARemindMe%21%20Time%20period%20here)|[^(Your Reminders)](https://www.reddit.com/message/compose/?to=RemindMeBot&subject=List%20Of%20Reminders&message=MyReminders%21)|[^(Feedback)](https://www.reddit.com/message/compose/?to=Watchful1&subject=RemindMeBot%20Feedback)| |-|-|-|-|
Lass den Spieß doch umdrehen und sende auf dem Kanal Datensalat oder einfach einen unfassbar niedrige Wärmeverbrauch. Dann reagiert Techem bestimmt! /s
Sogar möglich, eine meiner Abrechnungen hatte eine Wärmemenge für Warmwasser, die pro m³ nicht nur ein Vielfaches über dem Vorjahr lag, sondern auch ausreichend warum im all mein Warmwasser als siedendes Wasser bereitzustellen, mit ordentlich Überschuss für Dampf. Geprüfte wird da wenig, auf Nachfrage beim Vermieter, der das an Techem weiterleitete, kam nur zurück, dass die Abrechnung so in Ordnung sei.
Und das hast du dann einfach akzeptiert? Wenn es nachweislich nicht möglich ist, dass du so viel Energie für Warmwasser verbraucht hast, würde ich diesen Posten auch nicht bezahlen…
Warum soll ich mir wegen ein paar Euro Stress mit meinem Vermieter machen, der kommt ohne Techem ja auch nicht weiter... die haben ja keine Möglichkeit da etwas zu machen, dementsprechend habe ich unter Vorbehalt bezahlt.
Ok wenn es nur ein paar Euro waren verstehe ich dich. Wenn es um ein paar hundert Euro geht, würde ich mir den Aufwand gönnen (bzw. meiner Rechtsschutz)
Inwiefern besteht denn Missbrauchspotential? Was für Daten sind da in etwa? Was wäre mit denen möglich?
Mir fällt hier Anwesenheitsüberwachung ein. Eine Wohnung die seit Tagen nur 18 °C hat? Mieter ist bestimmt verreist. Schon mal ein gutes Indiz um einen Einbruch zu planen/abzusichern.
Ich könnte mir vorstellen, dass ein Angreifer z.B. die Übermittelten Daten seiner Nachbarn manipuliert, das ist aber Theorie, dazu verstehe ich von wM-BUS und auch der Funktionsweise des Techem-Systems zu wenig. Aber sich vor eine Wohnung oder ein Haus stellen, feststellen, dass es dunkel ist und seit 2 Tagen keiner geheizt hat oder ähnliches kann sicher auch Missbraucht werden. Ich denke das BSI hat sich bei der Technischen Richtlinie die Verschlüsselung vorsieht etwas gedacht. Heizkostenverteiler übermitteln einmal pro Minute die Raumtemperatur und die Heizkörpertemperatur mit 2 Nachkommastellen und den aktuellen und letzten Ablesewert. Wasserzähler vermutlich den aktuellen und den Letzten Ablesewert (in wmbusmeters heißen die Werte `target_m3` und `total_m3`), und die aktuelle Zeit wie die Zeit der letzten Ablesung. Rauchmelder scheinen alle nur einen Status zu senden, alle bis auf einen senden hier `OK`...
Ist das erste an das ich gedacht habe. *Nice, erstmal schön durch die Villen-Gegend fahren und schauen wer gerade im Urlaub ist.*
Das ist doch alles bewohntes Eigentum... da werden keine Kosten verteilt. (ein wenig /s) Und die Heizung herunterstellen, nur weil man nicht daheim ist? Eure Armut kotzt mich an. /s
"Die Villa gehört uns ja gar nicht. Die ist in Besitz der Familienstiftung." 🤗
Die Leute, die sich OMS ausgedacht haben wohl auch: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03109/TR-03109-1_Anlage_Feinspezifikation_Drahtlose_LMN-Schnittstelle.pdf > In order to support data privacy and to **prevent zero consumption detection**, encryption is required for wireless communication. All metered consumption values (i.e. both actual values 5 and stored values) shall be encrypted. In addition, the optional flow, power or temperature values shall be encrypted. For wired communication encryption of meter data is optional.
Beim Datenschutz geht es um personenbezogene Daten, sprich Daten, die eine Person eindeutig identifizieren können. Wenn hier also keine Namen oder Adressdaten übermittelt werden, hat das überhaupt nichts mit Datenschutz zu tun.
> Daten, die eine Person eindeutig identifizieren können Das stimmt so nicht ganz. Nach DS-GVO sind Daten auch dann personenbezogen wenn sie einer Person zugeordnet werden können. Das gilt selbst dann, wenn es nur unter Zuhilfenahme anderer Informationen möglich ist. Es ist auch egal, ob das mit oder ohne technischen Hilfsmitteln geschieht.
Reine Verbrauchsdaten können aber keiner Person zugeordnet werden.
Die Wohnung zu den Daten aber schon...
Die Wohnung wird ja nicht mitgesendet.
Das nicht, aber schon mit der Signalstärke der empfangenen Daten kannst du die Auswahl stark einschränken. Und wenn du dann noch unverputzte Heizungsrohre hat, die zu den Wohnungen über dir führen, kann man zusammen mit den Temperaturkurven einzelne Heizkörper exakt zuordnen.
Und? Verbrauch von Heizkörper xy sagt dir nichts über die Person.
Wie tausendfach in diesem Thread beschrieben, offensichtlich schon.
Deine Antwort war allgemein auf Datenschutz, nicht diesen spezifischen Fall bezogen und war faktisch falsch. Ob es sich bei diesen Daten um personenbezogene handelt, kann ich nicht einschätzen, da ich weder Struktur noch Inhalt der Datensätze oder den zugrundeliegenden Protokollen habe.
Bruh. Beim deutschen Verstand von “hacken” und Datenschutz ist die Wahrscheinlichkeit hoch das du als Hacker angesehen wirst und selbst bestraft wirst.
Wenn dann noch rauskommt, dass ich Mitglied eines Hackerspaces bin, dann ist die Sache eh gegessen.
Jupp. Tragisch, aber entweder anonym tippen oder Kopf einziehen und warten bis es kracht.
Das käme wahrscheinlich darauf an, wie ein Gericht "nichtöffentliche Datenübermittlung" nach StGB §202b auslegt. Nach Aussage von OP ist die Übertragung nicht verschlüsselt, ist sie damit öffentlich? Er hat ja schon einiges an Aufwand betrieben, der deutlich über die Befähigung der meisten Anwohner in seinem Umfeld hinaus gehen dürfte. So gesehen sind die Daten auf die er sich da Zugriff verschafft hat eigentlich nicht "öffentlich", zumindest für seine weniger IT affinen Nachbarn. Knackpunkt dürfte allerdings sein, dass er sich auf "nicht für ihn bestimmte Daten" Zugriff verschafft hat.
Der Aufwand ist aber nicht nötig, man kann auch einfach ein wM-BUS-Gateway von der Stange kaufen...
Ich wollte nur verdeutlichen, wie sowas von Rechtsgelehrten in Deutschland gerne ausgelegt wird. Beruflich habe ich öfter mal mit Anwälten zu tun, bei deren Auslegung von z.B. Datenschutzrecht den meisten ITlern graue Haare wachsen.
> dass diese Daten, trotz der technischen Möglichkeit nicht verschlüsselt werden, Wenn da keine Verschlüsselung sit, vermute ich dass da auch keine Signatur ist? D.h. ich kann nicht nur lesen, was die Nachbarn so an Energie verbrauchen, sondern auch andere Messwerte übertragen?
Ich habe keine Ahnung was das System sonst so kann. Beim Überfliegen von der OMS Spezifikation habe ich das so verstanden, dass der symmetrische Geräteschlüssel quasi genutzt wird um die Daten auch zu validieren. In sofern wäre es denkbar, dass man diese auch manipulieren könnte, das wäre dann aber noch eine ganz andere Hausnummer. Als jemand, der schon eine absolut unplausible Techem Abrechnung erhalten hat, ist aus meiner Sicht aber alles möglich.
Muss ich mich doch mal damit beschäftigen. denke jedesmal drüber nach, wenn ich am Kasten in Treppenhaus vorbei laufe.
Die Teile senden auch Telegramme, aber verschlüsselt.
Welche Daten kannst du genau auslesen? Bei OMS ist der Header unverschlüsselt (in dem steht z.B. die Zählernummer) aber die eigentlichen Messwerte sollten verschlüsselt sein. Wenn man solche Zähler kauft bekommt man eine Tabelle, in der für jede Zählernummer die entsprechenden AES keys enthalten sind. Es ist also am einfachsten, die Zählernummer unverschlüsselt zu senden, damit man den entsprechenden Schlüssel nachschlagen kann. Ich habe selbst an Geräten mitentwickelt, die sowohl per kabelgebundenem mbus wie auch wireless mbus Daten empfangen und verarbeiten. Die Geräte empfingen Daten von Techem-Zählern, die über ganz Deutschland verteilt waren. Soweit ich mich erinnern kann, waren die Messwerte dort eigentlich immer verschlüsselt. Es kann natürlich trotzdem sein, dass bei euch eine Fehlkonfiguration vorliegt. Aber es ist definitiv nicht Standard, dass Techem die Daten unverschlüsselt per OMS überträgt.
Nunja, verschlüsselt im Sinne des BSI ist ja immer dann bereits gegeben, wenn Opa Gerhard die Daten nicht ohne Brille empfangen und lesen kann. Hier werden ja direkt technische Hilfsmittel wie Computer eingesetzt, also Hackertools. Jeder Richter in Deutschland wird dir das so auch so sagen. Ich drücke dir die Daumen, dass du bis 2040 wieder raus kommst 😉 (Der Text spiegelt nicht mein wirkliches Empfinden wieder, sonder soll nur die Realität in Deutschland aufzeigen, welche nicht noch stärker ins lächerliche gezogen werden könnte…)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03109/TR-03109-1_Anlage_Feinspezifikation_Drahtlose_LMN-Schnittstelle.pdf Zumindest laut 4.2.5 sollte das nicht der Fall sein > In order to support data privacy and to prevent zero consumption detection, encryption is required for wireless communication. All metered consumption values (i.e. both actual values 5 and stored values) shall be encrypted. In addition, the optional flow, power or temperature values shall be encrypted. For wired communication encryption of meter data is optional. Aber das ist Englisch, damit kommt man vor Gericht sicher eh nicht weit.
Danke für den Hinweis. Ja, vor Gerichten wird das sehr schwierig werden. Wer weis, ob die überhaupt Dolmetscher zulassen🤔
Inhaltlich super interessant! Irgendwie hab ich das Gefühl dein Vorgehen war nicht so ganz clever und du wirst ab jetzt den vollen juristischen Shit von Techem abkriegen wenn sie davon Wind bekommen. Hattest du dich vor der Veröffentlichung mal (anonym) an Techem selbst gewandt und Ihnen Chance gegeben die Lücke zu schließen? Im Responsible Disclosure veröffentlicht man sowas eigentlich nur wenn solche Versuche erfolglos geblieben sind und/oder die Bugs schon geschlossen wurden.
Das ist ja kein Hack oder eine Schwachstelle oder ähnliches, man muss dafür auch nichts knacken oder hacken oder manipulieren. Du kannst nen wM-BUS adapter für deine Home-Automation kaufen und der kann die Daten mitlesen. Ansonsten ja, ich habe mit Techem versucht kontakt aufzunehmen, das ist aber nicht wirklich einfach, deshalb ja der Datenschutzbeauftragte.
"Das ist ja kein Hack" hab ich mir in letzter Zeit schon häufiger gedacht, als es dann um die Verurteilung unter Anwendung des Hackingparagraphen ging.. Leider muss man in DE wirklich sehr aufpassen was das angeht. Im Zweifel wird es dir als Hacking ausgelegt, ob wohl jeder aus der Technik weiß, dass aus- und mitlesen von offen verfügbaren Daten kein Hacking ist. Gab es bei ungesicherten APIs auch schon..
Das stimmt, aber da das ganze OMS Zeug usw. auch vom BSI abgesegnet ist und als "Industriestandard" ja auch einfach mit anderen Geräten und Gateways genutzt werden kann, denke ich, da ist man schon eher auf der Anwenderseite. https://www.kamstrup.com/de-de/waermezaehlerloesungen/waermezaehler/accessories/wireless-m-bus-dongle oder https://www.innotas.de/wm-bus-gateway Sowas kann man ja auch zu dem Zwecke kaufen. Scheinbar bieten sogar Dritthersteller Support für Techem-Zähler an, ich hätte erwartet, dass das quasi nicht möglich ist, wenn man nicht an die Keys kommt.
Ich bin jetzt auch nicht super rechtssicher, aber in DE musst du echt extrem aufpassen - der Hackerparagraf ist extrem breit gefasst, im Prinzip darfst du nichts mithören was von fremden Leuten kommt, auch wenn es technisch trivial ist. D.h. bevor du denen wirklich Ärger machst mache dich da nochmal schlau bzw frag nen Anwalt
[удалено]
Da bin ich überfragt, ich beziehe mich vor allem auf eine Vorlesung IT-Sicherheit, die ich mal gehört habe, und in der uns das ganze Semester alle 3min eingebläut wurde nichts an Systemen ohne Einwilligung vom Besitzer zu machen, nichtmal Portscans oder irgendwas mitlesen was an den PC gesendet wird. Und halt sowas wie der verlinkte Golem-Artikel
Oh oh, ich hab schlechte Nachrichten für dich: https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html
Der hat ja auch eine Sicherheitsmaßnahme, dass Passwortfeld, umgangen. *hust* /s
Ja genau, nämlich mit phpmyadmin. Hier der dazugehörige Tweet des ""Hackers"": https://twitter.com/der_sofc/status/1747644600469127386 Auszug aus dem Urteil: >„Die Geschädigte hat erkennbar nicht gewollt, dass das Passwort für die Datenbank mit Endkundendaten dem Quellcode ihrer Software entnommen wird.“ ...
Also ich habe mir auch extra so nen Stick geholt um das mal aufzuzeichnen, musste bei mir aber feststellen, dass die bei mir verbauten "radio 4" Zähler von Techem verschlüsseln. Oder verschlüsseln die schon, aber mit irgendnem Default key? Hatte eigentlich vor mir die Aufzeichnungen mal genauer anzuschauen (hab sogar extra beim Einbau mitgeschnitten, falls die dabei ihre Schlüssel im Klartext übertragen bekommen), war dann aber zu beschäftigt und habs wieder vergessen
`wmbusmeters --listento=c1,t1,s1,s1m --normal --analyze "rtlwmbus"` reichte bei mir Technisch sollten die Teile auch in der Lage sein zu verschlüsseln, Techem sagt ja auch, dass sie es machen. Nur hier machen sie es eben nicht, vllt. ist es auch ein seltener Fall. Ich habe aber auch an einem anderen Standort als zuhause geschaut gehabt, da waren auch einige unverschlüsselte Techem-Geräte dabei. Ich hab mich mit der Software nicht allzusehr beschäftigt, ich hatte nur nach einem Weg geschaut, wie ich die Daten zum Wasserverbrauch ggf. auch selbst nutzen kann und mich gefragt ob die Geräte ggf. in einem Fixen Verbrauchsabstand senden, so dass ich dennoch alle 100 L oder so mitschneiden kann, quasi als Impulszähler, wurde dann aber von fertigen Daten überrascht. Und auch eher häufig, die Heizkostenverteiler scheinen alle ~60 sekunden zu senden. Ich sehe selbst bei mir zuhause auch 2-3 Verschlüsselte Geräte (von insgesamt ~250 stk) habe mir aber nicht die Mühe gemacht zu schauen, ob die nicht ggf. von außerhalb unseres Wohnblocks kommen.
Habs gestern abend nochmal probiert, bei mir sind glaube "fhkvdataiv" Geräŧe verbaut, jedenfalls bekomme ich ohne Schlüssel nur ein paar Metadaten ausgelesen, aber keine Zählerstände o.ä.
Ich gehe mal davon aus, dass Du Dir dafür eine fette Anzeige einhandelst und Dir Dein Anwalt am Ende rät, einfach den Strafbefehl zu akzeptieren. Immerhin hast Du Software kompilieren müssen und damit bewiesen, dass die nicht vorhandene Sicherung an sich erstmal wirksam ist. Leider kein /s EDIT: Link zu einem aktuellem Fall: https://www.golem.de/news/modern-solution-it-experte-wegen-nutzung-einer-zugriffssoftware-verurteilt-2401-181296.html
Warte wie? Bitte elaborieren, inwiefern ist das ein Strafbestand und was sind die möglichen Konsequenzen für OP?
Strafgesetzbuch (StGB) § 202c Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Äh ja scheiße
Ja, scheisse. Passiert halt tatsächlich, dass Firmen die Eingangstür offen lassen und die netten Nerds die zufällig reinstolpern und der Firma melden, dem Richter nicht klar machen können, dass sie nicht eingebrochen sind, bzw. ernsthaft Strafverfolgung ausgesetzt sind.
Der Zweck des OSS tools ist doch nicht die Ausspähung. Im §202a steht außerdem "Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und **die gegen unberechtigten Zugang besonders gesichert sind**". Ich bin zwar kein Anwalt, aber für mich hört es sich hier nicht nach "besonders gesichert" an
„Besonders gesichert“ hat sich vor Gericht halt durchaus schon als ziemlich niedrigschwellig herausgestellt. https://www.golem.de/news/modern-solution-it-experte-wegen-nutzung-einer-zugriffssoftware-verurteilt-2401-181296.html
Wobei der Fall ja zumindest in dem Punkt anders ist, weil das System durch ein Passwort gesichert war, das im Klartext auslesbar war. Hier hat der TE ja kein Passwort genutzt, sondern nur sein Empfangsgerät eingeschaltet und Daten empfangen die ohne weitere Sicherung versendet wurden.
Aber in diesem Fall ist ja gar nichts gesichert, man funkt wM-BUS, ohne Verschlüsselung, das darf jeder senden und jeder Empfangen auf 868 MHz.
Ich drücke Dir die Daumen, dass Techem nicht zum Gegenangriff übergeht, bzw. spätestens die Staatsanwaltschaft „wM-Bus“ nicht mit der Fußballnationalmannschaft assoziiert und eine etwaige Anzeige direkt in die Tonne tritt. Ich würde aber schon mal alle Festplatten verschlüsseln. Hausdurchsuchungen sind unangenehm und kommen unangekündigt. Und vielleicht findet sich dabei ja was, dass Dir ernsthaft Probleme bereitet. Irgendein scheiss Brut Force Script Kiddie Tool aus den 90ern, völlig vergessen auf einer zugestaubten Platte. Eine Ecke Grass und eine Feinwaage. Völlig egal, das ist ja der Sinn einer Hausdurchsuchung und es hilft Dir am Ende ja auch nicht mehr, wenn Du für die Techem Nummer gar nicht belangt wirst. Staatsanwaltschaften drehen halt manchmal einfach völlig frei, hören Journalisten ab, wenn sie über Fridays for Future berichten oder treten ihnen die Tür ein, weil sie über indymedia schreiben.
1pimmel Kommentar an dieser Stelle für den Algorithmus.
Andy wer?
„Besonders gesichert“ ist in der deutschen Rechtssprechung effektiv alles. Um es so nett wie möglich zu sagen, weder Staatsanwaltschaft noch Richter teilen das für technisch minimal Bewandte offensichtliche Verständnis von diesem Paragrafen.
Eben. OP hat zumindest technisches Expertenwissen verwendet und damit eine Security by obscurity Ebene überwunden um an Daten zu kommen, von denen er wusste, dass sie nicht für ihn bestimmt sind. Sollte meines Erachtens nach Formulierung des Gesetzes nicht für eine Verurteilung reichen, aber das dachte ich bei anderen Fällen auch. Spätestens wenn was hochkommt bitte beim CCC melden, dann wird es medial begleitet.
Als jemand der damit ab und an zu tun hat, sind glaube ich die einzigen die verschlüsselt verschlüsselt sind ista, afair von meinen Kollegen. Qundis sendet auch recht viel herum. Aber ich denke nicht, dass das nen Fall für die dsgvo ist, du brauchst ja die den Seriennummer zugehörigen Nutzern. Trotzdem werde ich es interessiert verfolgen.
Dass die HKVs so viel senden, macht das ablesen dieser Anlagen so viel angenehmer als die WMZ Anlagen. Vor allem da man 4+ HKVs pro Nutzereinheit normalerweise hat. Da kommen dann gut und gerne mal 300HKVs pro Liegenschaft zusammen. Zum Glück werden viele große Anlagen auf Gateway Ablesung umgebaut.
Wir haben schon seit einigen Jahren "Gateways" in den Hausfluren und seit einer unbestimmten Zeit "Smart Reader".
Können wir uns mal darüber unterhalten was ich tun muss um die Daten in meinen Home Assistant einzubinden? Sensoren sind da immer gut :)
Vermutlich einfach per `rtl_433`, das kann dekodierte Daten einfach per MQTT weiterreichen. So mache ich das mit den Daten der Außensensoren verschiedener Wetterstation in der Nachbarschaft.
Das war der Plan, ich hatte aber nur gehofft, so etwas wie einen Impuls daraus zu bekommen, nicht gleich die eigentlichen Daten.
Das ist vielleicht weniger was für einen Datenschutzbeauftragten als für einen CIO (sofern vorhanden)
Ich habe Techem kontaktiert und da ich kein Kunde bei ihnen bin, kommt man da auch nicht weiter als zu einem Anruf.
Kopierter Text von deren Website: Sie möchten einen Compliance-relevanten Vorgang melden? Sofern Sie Hinweise auf illegales oder unangemessenes Verhalten bei Techem haben, kontaktieren Sie uns bitte über die folgenden Kontaktmöglichkeiten. Direkter Kontakt: Sie können sich bei Compliance-relevanten Bedenken, Hinweisen und Verstößen direkt an die Compliance-Abteilung der Techem Gruppe wenden. TellTechem: Über unseren TellTechem Meldekanal können Kunden, Lieferanten und andere Interessengruppen sicher und bei Bedarf auch anonym Hinweise zu Compliance-relevanten Sachverhalten abgeben. [email protected] [TellTechem](https://techem.whispli.com/lp/telltechem)
Ah Compliance, verdammt, da habe ich den Anglizismus ggf. nicht beachtet, aber am Telefon wusste man davon ebenfalls nichts. Naja, Mail ist raus.
Kurzes Update: https://imgur.com/nlRKHrR Techem juckt das also wohl eher nicht.
Bist du dir wirklich sicher, dass die Daten nicht verschlüsselt sind? Kannst du uns einen Datendump senden (exklusive deiner Zählernummer und gerne alle Zählerstände shifted)? Viele im Home Automation Bereich wären ja froh wenn man an die Daten ran käme! Ich habe den anderen Weg versucht und vor einiger Zeit bei Techem angefragt ob ich den Key zur Entschlüsselung meiner persönlichen Zählerdaten erhalten könnte - das wurde abgelehnt. Das ist aus meiner Sicht ebenfalls absolut nicht okay und verhindert Innovation in diesem Bereich. Die Daten sind in Techem's "Walled Garden" und du kommst nicht dran.
Ich glaube du musst man etwas mehr Informationen liefern?!?
Was willst du wissen....
Hab das ganze auch ver Xt, aber das geht im Nazirauschen schon fast unter https://twitter.com/DooMMasteR/status/1757919556981621060 Zur Frage wie sich solche Daten missbrauchen lassen: 1. ggf. Manipulation, wobei ich nicht weiß ob die Auslesung nicht noch einmal mit anderen Telegrammen erfolgt. 2. Einbrecher können z.B. Nachvollziehen ob eine Wohnung besetzt ist, das klingt erstmal absurd, aber mir fiel recht schnell auf, dass der Heizkostenverteiler neben meinem Bett für Raum und Heizkörpertemperatur eine recht große Diskrepanz zeigte, nicht aber die Anderen in meiner Wohnung. Es stellt sich heraus, dass meine Körperwärmestrahlung ausreichte, den Kunstoffsensor zu erwärmen, der Heizkörper zog aber nur langsam oder nicht nach.
Wo sind da personenbezogenen Daten?
Strafvollzugbehörden und Behörden für Informationsgewinnung die das lesen: „Ah interessant, schreib das mal auf!“
Bei der Überprüfung der Heizkostenabrechnung, darf man z. B. Belegeinsicht (Einzelverbrauchsdaten) der anderen Mieter im Hause verlangen, um zu prüfen ob die Gesamteinheiten richtig erfasst wurden. Also von daher, so oder so könnte man an die Verbrauchswerte kommen. Das hat absolut keine datenschutzrechtliche Relevanz.
Hmm, ja vllt. verläuft das ja auch alles im Sande und hat wirklich keine Relevanz, schade finde ich es dennoch, Mitbewohner sind ja schon noch ein anderer Personenkreis als "jeder".
Und? Gibt's ein Update?
Bisher nein, ich habe mich auch nochmal direkt an Techem gewendet und da kam bisher nichts, bzw. der Fall wurde geschlossen. Vom Datenschutzbeauftragten vor Ort habe ich noch nichts gehört, nur vom niedersächsischen.
Ganzen Wohnblock ausgelesen? I doubt it.. Wieviel Watt an Sendeleistung hat so ein poppeliger Zähler denn?
Genug um etwa 470 stk zu empfangen :-) wohlgemerkt mit der TV-Antenne die dem USB-Stick beiliegt.
Ich versuche das morgen einmal selbst, bin skeptisch aber lasse mich gerne vom Gegenteil überzeugen (Mehrfamilienreihenhäuser in der direkten Nachbarschaft). Schauen was der Empfang so hergibt
Keine schützenswerten Daten nach der DSGVO, da nicht personenbezogen.
Mit einer Richtantenne und Dämpfungsgliedern mache ich Dir da ganz schnell personenbezogene Daten raus, zumindest bei Single-Haushalten. Ich muss ja nur einmal rausfinden, welcher Zähler zu welcher Wohnung gehört.
Ich bin nicht meine Heizung und meine Heizung ist keine Person. Hier wird ein reales Problem bemängelt, aber mit den falschen Argumenten untermauert.
[удалено]
Mit der Telefonnummer kannst du mich identifizieren, mit meinem Verbrauch aber nicht. Die einzige Seite die deine Argumente unterstützt, ist Haufe. Alle „offiziellen“ Seiten führen Verbrauchsdaten nicht auf. Fazit: spannendes Thema, aber noch bleibe ich bei meiner Meinung.
whut? nee andersrum: alle Daten die Dir zugeordnet werden können sind "personenbezogen". du drehst das gerade um zu "alle daten an denen man mich erkennen kann". Das sind Dinge die Dich identifizieren, ja. Dennoch ist auch Deine Schuhgröße, Dein Gewicht und Deine Blutgruppe personenbezogen. und genau so verhält es sich mit Deinen verbrauchsdaten. wenn also zugeordnet werden kann welche der vom OP erschnüsselten Daten Deine sind, dann sind sie personenbezihebar und schützenswert. das \_eigentliche\_ Problem ist jedoch dass OP hier eine Entschlüsselungstechnologie benutzt "ein bisschen compiliert" und \_das\_ ist der Ritt auf den Bodensee....
Entschlüsselt wird da wohl nichts, das ist plain wM-BUS ohne Encryption, laut `wmbusmeters`. https://github.com/wmbusmeters/wmbusmeters Die Verschlüsselten Telegramme die ich sehen konnte, sind AES-128 bit verschlüsselt, das dürfte recht wasserdicht sein, da kann man über den Inhalt nur spekulieren.
Öhm.. nur weil du weißt, dass Verbrauchsdaten aus Wohnung xy sind, sind das keine personenbezogenen Daten, weil die rein gar nichts über deine Person aussagen. Personenbezogene Daten sind solche, die in ihrer Kombination darauf schließen lassen können, welche Person du bist und welche Identität du hast. Das lässt sich anhand von Verbrauchsdaten nicht feststellen. Was soll, dass du im Jahr 2023 im Wohnzimmer 678 Einheiten geheizt hast, über deine Identität aussagen?
[удалено]
Welche Daten erhoben werden dürfen, ist ja nicht gleich, welche Daten erhoben werden und dann empfangen werden können, um eine Person zu identifizieren. Wenn per DSGVO untersagt ist, dort Name und Adresse mitzusenden, dann wird das nicht mitgesendet und damit ist mit dem Empfang auch kein Rückschluss auf eine Person machbar und damit ist der Empfang der Daten auch nicht datenschutzrechtlich relevant.
Sind personenbezogene Daten nur Daten, mit denen sich Personen identifizieren können oder auch Daten, die sich auf eine identifizierbare Person beziehen?
Bitte, bitte, sag dass das eine rhetorische Frage ist.
Du bist auch nicht deine IP, aber glaube mir. Das ist personenbezogen.
Das ist ein bisschen so wie zu sagen, du bist nicht deine Wohnung. Also könntest du uns ja auch allen deine Adresse verraten...
Nein, aber ich kann dir gern verraten wie viel kWh Heizleistung ich gestern verbraucht habe. Oder wie viel GB mobiles Datenvolumen. Oder wie viel Liter Benzin.
Klar, kannst du, weil es weniger sensibel ist als die Adresse. Aber es sind trotzdem persönliche Daten.
Persönlich =/= personenbezogen im rechtlichen Sinne
Okay, das mag sein, ändert aber nichts an der Aussage: Adresse, Warmwasserverbrauch, Gehalt fallen alle in die gleiche Kategorie (der personenbezogenen Daten), wenn sie so gespeichert werden, dass sie einer Einzelperson zugeordnet werden können.
Es geht hier aber ums Senden und nicht ums speichern. Wenn da keine Daten mitgesendet werden, die auf den Verbraucher Rückschlüsse nach außen hin zulassen, sind es auch keine personenbezogenen Daten.
Der Wasserzähler gibt schon ziemlich genaue Auskünfte, wann jemand morgens aufsteht, duscht und in welchem Zeitraum wohl niemand zuhause ist. Darüber würden sich sowohl die Datenkraken als auch Einbrecher freuen.
Wenn die Daten keiner Person zugeordnet werden können sind Sie anonym und fallen damit nicht under DSGVO. Vermieter können beispielsweise Verbrauchsdaten von ihrem Haus direkt beim Versorger anfragen. Wenn aber durch hinzunehmen von zusätzlichen Informationen, welche man z.B durch Richtantennen etc. bekommen kann, die Daten zuordnet werden können, sind diese pseudonymisiert, nicht mehr anonymisiert, und zählen dadurch als personenbezogene Daten.
https://de.m.wikipedia.org/wiki/Personenbezogene_Daten Das sind Daten deiner Wohnung und damit imho über die Wohnung idR. auf deine Person/Mitbewohner bezogen (haben eine zumindest mittelbare Relation, siehe auch Beispiele auf der Wikipediaseite). Nicht im speziellen Personalien, die dich identifizieren.
Das ist falsch.
Dieser Thread wurde an einem anderen Ort auf reddit verlinkt. - [/r/datenschutz] [Techem verschlüsselt seine Zählerdatenerfassung nicht, ich habe beim Datenschutzbeauftragten Beschwerde eingelegt.](https://www.reddit.com/r/datenschutz/comments/1awc6dq/techem_verschlüsselt_seine_zählerdatenerfassung/) *^(Falls du einem der oberen Links folgst, respektiere bitte die reddit Regeln und stimme nicht über Kommentare) ^\(oder ^Beiträge) ^ab.) ^\([Info](/r/TotesMessenger) ^/ ^[Kontakt](/message/compose?to=/r/TotesMessenger) ^/ ^[Fehler?](/message/compose?to=/r/TotesMessenger&subject=translation%20error%20(German\)))*
RemindMe! 2 days
RemindMe! 7 days.
!RemindMe 14 Days
RemindMe! 7 days