Buderus Logamatic Web KM200

Hallo,

cool, mit der Begründung „Verletzung des Urheberrechts“ wurde Steiner von Bosch Thermotechnik GmbH dazu gedrängt den gleichnamigen Thread zu löschen.

Liebe Bosch Thermotechnik GmbH, ihr lest besser mal eure eigene EULA (Nutzungsvertrag), das UrhG und die EU-Richtlinie 2009/24/EG.

Aus dem Nutzungsvertrag der Remote-App „EasyControl“:

  1. Nutzung von EasyControl:
    […]
    Sie sind nicht berechtigt, den Programmcode vonEasyControl oder Teile hiervon zu verändern, rückwärts zu entwickeln (reverse engineering), zu dekompilieren, zu disassemblieren oder den Quellcode auf andere Weise festzustellen sowie abgeleitete Werke hiervon zu erstellen. Die Bestimmungen der §§ 69d, 69e UrhG bleiben hiervon jedoch unberührt.

Hier der vom Nutzungsvertrag ausdrücklich nicht berührte § 69d UrhG (Ausnahmen von den zustimmungsbedürftigen Handlungen), Absatz 3:

Der zur Verwendung eines Vervielfältigungsstücks eines Programms Berechtigte kann ohne Zustimmung des Rechtsinhabers das Funktionieren dieses Programms beobachten, untersuchen oder testen, um die einem Programmelement zugrundeliegenden Ideen und Grundsätze zu ermitteln, wenn dies durch Handlungen zum Laden, Anzeigen, Ablaufen, Übertragen oder Speichern des Programms geschieht, zu denen er berechtigt ist.

http://www.gesetze-im-internet.de/urhg/__69d.html

Das bedeutet konkret: Das Beobachten der App mit Wireshark und Debugger ist völlig rechtens.

Hier der vom Nutzungsvertrag ebenfalls ausdrücklich nicht berührte § 69e UrhG (Dekompilierung), Hervorhebungen von mir:

(1) Die Zustimmung des Rechtsinhabers ist nicht erforderlich, wenn die Vervielfältigung des Codes oder die Übersetzung der Codeform im Sinne des § 69c Nr. 1 und 2 unerläßlich ist, um die erforderlichen Informationen zur Herstellung der Interoperabilität eines unabhängig geschaffenen Computerprogramms mit anderen Programmen zu erhalten, sofern folgende Bedingungen erfüllt sind:

  1. Die Handlungen werden von dem Lizenznehmer oder von einer anderen zur Verwendung eines Vervielfältigungsstücks des Programms berechtigten Person oder in deren Namen von einer hierzu ermächtigten Person vorgenommen;
  2. die für die Herstellung der Interoperabilität notwendigen Informationen sind für die in Nummer 1 genannten Personen noch nicht ohne weiteres zugänglich gemacht;
  3. die Handlungen beschränken sich auf die Teile des ursprünglichen Programms, die zur Herstellung der Interoperabilität notwendig sind.
    (2) Bei Handlungen nach Absatz 1 gewonnene Informationen dürfen nicht
  4. zu anderen Zwecken als zur Herstellung der Interoperabilität des unabhängig geschaffenen Programms verwendet werden,
  5. an Dritte weitergegeben werden, es sei denn, daß dies für die Interoperabilität des unabhängig geschaffenen Programms notwendig ist,
  6. für die Entwicklung, Herstellung oder Vermarktung eines Programms mit im wesentlichen ähnlicher Ausdrucksform oder für irgendwelche anderen das Urheberrecht verletzenden Handlungen verwendet werden.
    (3) Die Absätze 1 und 2 sind so auszulegen, daß ihre Anwendung weder die normale Auswertung des Werkes beeinträchtigt noch die berechtigten Interessen des Rechtsinhabers unzumutbar verletzt.

http://www.gesetze-im-internet.de/urhg/__69e.html

Laut Absatz 1 darf ich zum einen ohne Zustimmung von Bosch Thermotechnik GmbH eine Interoperabilität (mit IP Symcon) herstellen, da ich zum einen Lizenznehmer bin, zum zweiten mir auf Anfrage der Schlüssel nicht mitgeteilt wurde und ich mich zum dritten auf die Interoperabilitätsaspekte beschränkt habe. Weiterhin darf ich laut Absatz 2 die Kenntnisse dazu (hier) teilen, da es zur Interoperabilität erforderlich ist - so sind Skriptsprachen wie PHP nunmal.

Eine Beeinträchtigung (z.B. Kompromittierung der Sicherheit) laut Absatz 3 ist trotz einer Veröffentlichung des MD5-Salts durch die Architektur und Anwendung der Verschlüsselung NICHT gegeben. Dies habe ich vorher sorgfältig geprüft, die Crypto wurde vernünftig implementiert. Durch das Salt sind Rainbow-Tables (der einzig sinnvolle Brute-Force-Angriffsvektor auf MD5-Hashes) wirkungslos, und der Sinn und Zweck eines Salt ist es gerade eben, dass es öffentlich sein kann ohne dass dabei Sicherheit verloren geht.

Abschließend sei noch die EU-Richtlinie 2009/24/EG genannt, deren Artikel 6 fast 1:1 in §69e UrhG umgesetzt wurde:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:111:0016:0022:DE:PDF

Mein Fazit:
Liebe Bosch Thermotechnik GmbH, ihr habt den gleichen, alten, verknöcherten Blick auf Software wie Steve Ballmer, der Microsoft mit der Umsetzung dieser Denkweise die schlechtesten 10 Jahre ihres Bestehens geliefert hat, jetzt kann Satya Nadella dort erst einmal aufräumen. Denkt mal über euer Verhalten nach! Selber verwendet ihr in der iOS-App einen ganzen Strauß von frei verfügbaren Frameworks und Komponenten (JSON, cocoalumberjack, XMPP-Framework für Cocoa, SynthesizeSingleton, CocoaWithLove und GCSAsyncSocket), aber euer Produkt nagelt ihr mit fadenscheinigen Erklärungen und Einschüchterungen zu wie Microsoft einst das SMB-Protokoll (übrigens erfolglos).

Wenn ich meine Buderus-Anlage nicht gerade erst eingebaut hätte, ich werde mir wegen dieses Verhaltens garantiert nie (wieder) eine Anlage von einer Marke der Bosch Thermotechnik GmbH einbauen lassen. Auch werde ich mich nicht einschüchtern lassen und weiterhin meine Rechte wahrnehmen. Meine Erkenntnisse zur Interoperabilität mit der KM200 werde ich demnächst an anderer Stelle - außerhalb dieses Forums um aus der Symcon GmbH keine Zielscheibe für die Bosch Thermotechnik GmbH zu machen - veröffentlichen. Stay tuned.

An die IP-Symcon-Community: Was haltet ihr von der Löschaufforderung der Bosch Thermotechnik GmbH?

Ich bin momentan auf der Suche nach einer neuen Heizung, Vorraussetzung: diese muss per IPS abfragbar und programmierbar sein. Bis jetzt hatte ich buderus auf den Plan aber nach dieser Aktion muss der Preis schon extrem gut sein bzw. Ich keine andere Alternative Heizung finden damit das noch ein Gerät von buderus wird. Auch werde ich dieses Verhalten von buderus in meinem Bekanntenkreis weitergeben…
So kann man sich auch als Firma ‚einen Namen‘ machen…

Bitte bleibt am Thema dran ich würde mich sehr freuen wenn wir uns alle hier nicht diesen Einschüchterungen beugen würden!

Viele Grüße

Chris

Ich finde Deine Argumentationskette schlüssig und kann dem nur zustimmen.

Da ich mich vor der Arbeit von Slash verneigen muss, finde ich auch gerade diesen Schritt ungeheuerlich. Umso besser, dass du dich nicht versteckst. Ich hatte schon ein wenig Sorge, dass jetzt alle die Köpfe einziehen. Die Reaktion vom IPS Team kann ich allerdings auch verstehen.

Wie wäre es denn mal, eine offene Schnittstelle für alle zu schaffen? DAS wäre mal ein Kaufgrund zu so einer Anlage, für die Bastler unter uns. Das sind sicher einen ganzen Haufen Leute, die sich dafür interessieren.
Okay ein Großteil der Kunden nutzt diese Funktionalität eh nicht, aber die würden sich evtl. auch nicht eine KM200 kaufen.
Und somit wäre die ganze Steuerungsgeschichte eh für die Katz.
Nur die technisch interessieren legen sich doch so ein Modul zu.

Also seid nicht so verbohrt, sondern schafft lieber Möglichkeiten! Das würde ich mir allerdings von mehreren Herstellern wünschen!

Da ich das Thema auch für gewerbliche Zwecke Analysieren musste, habe ich einen Anwalt angesprochen was der davon hält ein Kommunikationsprotokoll für eine Automatisierung zu verwenden mit EIGENER Hardware !

Ich nehme Bezug auf unser Beratungsgespräch - ich habe mir die Sache nochmal unter den urheberrechtlichen Gesichtspunkten angesehen:

Auch Software kann urheberrechtlich geschützt sein - wenngleich hier möglicherweise nur eine nicht schutzfähige Datenbank vorliegen mag so ist doch im Zweifel von einem Urheberrechtsschutz auszugehen.

Sofern Sie allerdings über die Schnittstelle lediglich die Daten auslesen, die der Urheber oder Rechteinhaber zur Verfügung stellt und Sie keine Schutzmechanismen umgehen, gehe ich derzeit nicht davon aus, dass Sie urheberrechtswidrig die Daten auslesen.

Zur weiteren Beurteilung wäre auch wichtig die Bedingungen der Hersteller zum Umfang mit Ihrer Software zu erfahren.

Eine verlässliche Aussage hierzu fällt aber schwer, da einschlägige Rechtsprechung nicht bekannt ist bzw. nicht existiert.

Natürlich würde da jeder Anwalt etwas anderes sagen, weil es in diesem Falle keine Präzendenzfälle gibt. Gerade im gewerblichen Bereich versuchen die Firmen natürlich auch immer ihre Eigenen Lösungen zu "schweineteueren Preisen " zu verkaufen.

Soweit ich das verstanden habe sagt die aktuelle Rechtslage, wenn das Protokoll etc. durch diverse Schutzmechanismen
( auch wenn Sie nur Marginal / Schwach vorhanden sind ) geschützt wurden ein Verstoß gegen das Urheberrecht vorliegt.
Sind die Kommunikationsprotokolle allerdings ungeschützt darf man damit machen was man will.
Ich finde es Schade das der Kunde sich für teures Geld ein Gateway kaufen muss ( Was sein Eigentum ist ) und die Daten der Heizung sozusagen Gratis Daten zur Analyse an die Herstellerfirma weiterleitet. Die Datenverarbeiteten Server stehen in dem Fall beim Hersteller der Heizung, der dann wiederum nur ein App anbietet an dem man die Temperatur einstellen kann, aber keinerlei Einstellung / Optimierung an der Heizung selber vornehmen kann.
Sorry wo liegt dann der Sinn des Geräts ?

Ich finde es zudem Schade und Traurig das das IPS Team darauf angesprochen wird mit wohl offensichtlichen rechtlichen Druck den Thread zu entfernen aber keinerlei Stellungnahme oder Hinweise auf eine Einbindung der Heizungen in ein Automatisierungssystem veröffentlicht. Das spricht für eine verstaubte und ziemlich konservative Unternehmensphilosophie die augenscheinlich nur auf Profit ausgelegt ist. Viele Hersteller haben die Zeichen der Zeit mittlerweile erkannt und stellen entsprechende Lösungen wie eine offene API etc bereit.

Also dann mal auf ans EMS / Can Protokoll :slight_smile:

P.S.: Ich habe hier mit Absicht keine Herstellernamen oder Produktnamen erwähnt.

Riecht für mich nach Abzocke. Man will zwar die Daten haben - vielleicht treibt man da Handel mit? Man muss deren Infrastruktur verwenden - Vielleicht werden da (zukünftig) Werbeeinblendungen gezeigt mit denen man Geld verdient? Man muss die App benutzen, die ihrerseits vielleicht weitere Daten an die Firma übermittelt? Ist denn irgendwo explizit genannt welche Daten wie lange gespeichert werden?

In meinen Augen wird hier ganz klar versucht ohne fundiertes Hintergrundwissen auf den Cloud-Zug aufzuspringen von dem ich ohnehin hoffe, dass er bald entgleist. Eine „anonyme Datenwolke aus der man sich einfach bedienen kann“ gibt es faktisch nicht. Die Benutzer werden hier verkohlt weil sie es nicht besser wissen. Sobald die viel geforderte Medienkompetenz soweit in den Köpfen der Leute angekommen ist, dass sie sehen was dort passiert wird hoffendlich ein Umdenken stattfinden.

[Edit]Mein Nachbar ist nicht mehr so fit wie früher. Würde ich nun in seinen prall gefüllten Werkzeugschuppen gehen und Stück für Stück sein altes Werkzeug verkaufen weil er es eh nicht vermissen würde, wäre dies nicht nur moralisch verwerflich. Es wäre höchst illegal. Nur weil er es nicht braucht, und genug davon vorhanden ist, habe ich kein Recht mich daran zu bereichern. Würden wir hinterher den Erlös teilen oder ich würde ihm im Gegenzug den Rasen mähen und die Hecke schneiden wäre das hingegen ein Geschäft von dem beide etwas haben.[/Edit]

Eure Daten und euer Verhalten sind eine Ware. Eure Daten werden gehandelt wie an der Börse und euer Verhalten wird versucht zu beeinflussen. Das ist längst schon so und daran wird man nur schwer etwas ändern. Nur die Einzigen, die all zu oft eben nicht daran verdienen, seid Ihr selbst. Das sollte geändert werden. Es wäre nur fair wenn ihr ein Stück vom Kuchen ab bekommt. Aber Ihr müsst das ändern. Verknappung der Ressource ist ein Mittel. Schützt eure Daten. Schließt euren Schuppen ab. Handelt einen Deal aus.

Hier wird versucht euch weiter an eine App/ein Webportal und somit an einen fremden Server zu binden obwohl es offensichtlich gar nicht technisch notwendig ist. Nicht nur, dass es einem unnötig schwer gemacht wird an die eigenen Daten zu kommen für dessen Erhebung man ein Gerät kaufen musste, dass es nur bei dem einen Hersteller gibt. Nein man bekommt auch noch Post von der Rechtsabteilung wenn man es dennoch schafft. Man kann nun also vermuten dass es sich dabei einfach um technisches Unvermögen handelt und es der Hersteller einfach nicht besser weiss oder er hat einfach andere Pläne mit euch.

Gruß,

Toni

Das ist aber hier nicht die Frage.

Bisher gibt es schon sein einigen Jahren verschiedene Ansätze, um auf den Heizungsbus zu kommen, damit ich wie es in der heutigen Zeit selbstverständlich sein sollte, das Teil auch „fernbedienen“ kann.

Aus der Erinnerung die Möglichkeiten:

  • Da gibt es den ServiceKey, der ist teuer und bisher nur mit Buderussoftware nutzbar (ok, rudimentäre Einzelbastellei gibt es noch)
  • Dann diverse Eigenplatinenprojekte, die mehr oder weniger ausgereift sind und immer noch eher beta sind und
  • da gibt es die Logamatic web KM200 Schnittstelle, die ich per App bedienen kann.
    Die kann ich lassen wie sie ist (mit Verbindung zu Bosch) und mich damit dem Riskiko aussetzen, dass ich ne Schwachstelle habe.
    Aber evtl. ist ja auch ein Weg wie bei Philips HUE möglich, damit ich den Hersteller künftig raus lassen kann.

Für mich ist das immer noch der einfachere Weg und beste Ansatz.

Dann musst du mir die Fragestellung offensichtlich noch mal erklären. Für mich stellt sie sich nämlich derzeitig so dar, dass ein Hersteller hier versucht eine klassische Cloud-Lösung, wie sie leider grad in Mode ist, mit „Gewalt“ zu verteidigen statt eine anständig dokumentierte (lokale) Schnittstelle bereit zu stellen. Der hier unterdrückte Lösungsansatz zu einem Problem, dass ich auf Herstellerseite nicht richtig verstanden sehe, ist von Slash in meinen Augen gut und schlüssig gerechtfertigt worden.

Was andere Hersteller und Bastler anderswo versuchen gehört, denke ich, auch anderswo diskutiert.

[Edit]Klar sind wir Heimautomatisierer im Vergleich zur Zielgruppe der sorglosen „Hab-ich-ne-App-für-Juppies“ nur eine Randgruppe. Aber wir wollen doch nur sehr viel weniger von dem was die Anlage ohnehin leistet. Das muss doch gar nicht mit einem potentiellem Sicherheitsrisiko einher gehen und es sollte nicht wie ein Exploit behandelt werden. Wenn man nur wollte dürfte es durchaus möglich sein diese Daten „inhouse“ auszulesen. Ein potentielles Risiko entsteht doch ohnehin erst durch die (ungewollte) Weiterleitung ins Netz. Wir reden ja schließlich nicht über Funktionen, die zu Recht dem Servicetechniker vorbehalten bleiben sollten. Ich finde man darf sich schon fragen warum dies vom Hersteller verlangt wird und was er davon hat.

Wer vom Hersteller Anwaltsschreiben statt Support bekommt fragt sich doch, zu Recht wie ich finde, bei was für einem Laden man da Kunde geworden ist. Keine gute PR - Und ich hoffe google hat seinen cache gut sortiert.[/Edit]

Toni

Also hier bin ich wieder voll bei Dir.

Für mich ist das einmal der technische Ansatz und das andere ist die Firmenpolitik. Mich interessiert hier nur ersteres, da ich in die Firma selbst nicht viel Hoffnung lege. Ich bräuchte nur einen direkten Zugriff auf den Webserver des KM200 und würde gerne den Weg zu Buderus (Bosch) unterbinden. Ich lege fast nichts in irgendeine Cloud und schon gar nicht meine Heizung, wenn ich es nicht muss.
Seit über zwei Jahren bringen die gar nix auf den Weg. Die App entwickelt sich im Schneckentempo und kann fast gar nix. Einfach lächerlich. Die ersten Versionen hatten nur Fehler und der Kasten hing unnütz an der Wand.
Nichts gegen die Heizungen selbst. Da lass ich nix drauf kommen.

Hallo,

ich habe in Absprache mit Steiner einen neuen Thread mit einem neuen Coding aufgemacht: Klick

Auf ein Neues :slight_smile:

Hallo,

In der Betriebsanleitung der KM200 wird sogar explizit darauf hingewiesen, wie man das „Heimtelefonieren“ am Router verhindern kann. Also ist der rein lokale Zugriff ein auch von Bosch erkannter Use-Case, aber eben nur über ihre App. Wer Fernsteuerung will braucht so zwingend ihre Cloud.