Bambu Connect: Sicherheitsupdate sorgt für Shitstorm & kommt anders als geplant: Das solltet ihr wissen

Zwischen Freiheit und Sicherheit liegt bekanntlich ein schmaler Grat. Und den scheint Bambu Lab trotz allgemeiner Entrüstung in Foren und Social-Media-Beiträgen zugunsten von Sicherheit nun verlassen zu haben: Der Stein des Anstoßes: Ein neues heiß diskutiertes Sicherheitsupdate für Bambu Lab Drucker, das demnächst kommt – oder doch nicht?

Bambu Lab Sicherheitsupdate

Bambu Lab Sicherheitsupdates: grundsätzlich natürlich notwendig

Bambu Lab setzt für seine 3D-Drucker auf regelmäßige Sicherheitsupdates. Genau so, wie es eigentlich jedes Unternehmen mit Anspruch auf dauerhafte sichere Funktion und Handhabung eigener Produkte tun sollte. Nun gibt es aber einige Spinner, die dem Hersteller und uns Anwendern mit ihren unbefugten Zugriffen und DDOS-Angriffen auf die Bambu Lab Cloud-Dienste einen enormen abnormalen Datenverkehr bescheren und das Leben schwer machen. Bambu Lab spricht hier in der letzten Zeit von bis zu 30 Millionen unautorisierter Anfragen pro Tag. Sensible Operationen wie das Heiz-Management von Bett und Düse können damit z.B. Ziel von Hackern sein, was auch in der Vergangenheit schon für Ärger bei anderen Druckerherstellern gesorgt hat.

Bambu Lab Updates

Bambu Lab Sicherheitsupdate = neues Autorisierungskontrollsystem

Deshalb hatte Bambu Lab am 16.01.2024 in einem Post angekündigt, ein neues Sicherheitsupdate in Form eines neuen Tools herauszubringen, dass solche unbefugten Anfragen unterbindet: Bambu Connect – eine Software, die als Update zuerst für die X-Serie ausgerollt werden soll, sich aber noch in der Betaphase befindet. Nach Update der Firmware (01.08.03.00 und höher), des Bambu Studios (1.10.02.64 oder höher) und der Bambu Handy Version (2.17.0. oder höher) soll somit ein neues Autorisierungskontrollsystem eingeführt werden. Damit braucht es sozusagen eine offizielle Genehmigung über Bambu Connect um „kritische Operationen“ auszuführen.

Baambu Lab Post 16.Jan

Was sind nun aber „kritische Operationen“? Laut Bambu Lab sind das Maßnahmen wie das Binden und Entbinden des Druckers, der Remote-Videozugriff, Firmware-Updates, Online-Druckauftragsübermittlung via LAN oder Cloud und die bereits erwähnte Steuerung wichtiger Druckerparameter wie Bewegungssystem, Heizelementen oder AMS-Einstellungen. Ausgenommen bleiben Statusinformationen vom Drucker (z.B. über MQTT für Home Assistant), der Druck über die SD-Karte und alle weiteren oben nicht genannten Operationen.

Rückschlag für Orca-Slicer und andere Drittanbieter?

Für Drittanbieter-Software wie Home Assistant hätte das bedeutet: Vorerst keine Online-Druckauftragsübermittlung mehr und kein Zugriff auf den Videostream. Hauptleidtragender wäre hier aber der Open-Source Slicer „Orca Slicer“ gewesen. Der Grund: Bambu Lab ersetzt das für die Netzwerk-Druckauftragsübermittlung notwendige Bambu Netzwerk-Plugin durch die eben skizzierte Bambu Connect Client Software. Zwar kündigte Bambu Lab ohne einen zeitlichen Rahmen zu nennen an, mit Drittanbietern zusammenzuarbeiten um damit in Zukunft erneut eine volle Kompatibilität zum Orca Slicer zu gewährleisten. Bis dahin aber – so der Hersteller – sollten Orca Slicer-Nutzern schlichtweg nicht updaten.

Qidi X Plus 4 Orca Slicer Print Job Wifi Support Fluidd
Bald im Orca-Slicer bei Bambu Druckern in dieser Form nicht mehr möglich: Druckauftragsübermittlung und Video-Stream (Beispielbild hier mit Qidi Plus4)

In den FAQs ging man auf die Frage ein, warum von der Umstellung auch der LAN-Modus – also die Nutzung der Drucker ausschließlich im eigenen Netzwerk ganz ohne Cloud – betroffen sei. Hier gab man offiziell an, dass ein unautorisierter Fremdzugriff von außen weiterhin möglich sei, wenn es sich um ein öffentliches Netzwerk handele oder andere Schadsoftware (Trojaner, Backdoof-Software, etc.) von vernetzten Geräten (Laptops, Smartphones, usw.) übertragen und für Schaden sorgen würden.

4 Tage später: Bambu Lab rudert teilweise zurück

Nun hat man allem Anschein nach aber nicht mit einem derart großen Aufschrei gerechnet: Seit der Ankündigung des Updates vom 16. Januar sind nur 4 Tage vergangen, bis am 20.01.2025 erneut ein offizielles Statement des Herstellers online ging: Hier bedankt man sich für das „wertvolle Feedback“ – auch von Unternehmerseite – und verurteilt Social-Media-Falschmeldungen. Zudem betont man, nicht Drittanbieter einschränken zu wollen, sondern diese (namentlich: Orca Slicer, Bigtreetech) mit ins Boot zu holen und gemeinsam fit für Bambu Connect zu machen. Der Aufbau dieser neuen Software wird dabei sehr detailliert erklärt. Auch die Integration der Neuerungen in Druckfarm-Management-Software sei bereits im Gange.

Baambu Lab Post 20.Jan

Bambu Connect: Das solltet ihr wissen

Zentral für Endverbraucher dürfte Bambu Labs „Klarstellung“ vom 20.01.2025 wohl in folgender Hinsicht sein: Es wird einen aktualisierten LAN-Modus geben, der Benutzerin weiterhin die volle Kontrolle und Flexibilität liefern soll. Bambu Lab schreibt hierzu:

  • Standardmodus (Standard):  Standardmäßig umfasst der LAN-Modus einen Autorisierungsprozess, der für robuste Sicherheit sorgt. Diese Option ist ideal für die Mehrheit der Benutzer, die Sicherheit und Benutzerfreundlichkeit priorisieren. Trotz gegenteiliger Behauptungen erfordert der LAN-Modus über Bambu Connect weder Internetzugang noch ein Benutzerkonto. Dies hat sich nicht geändert und wird sich auch nicht ändern.
  • Entwicklermodus (optional):  Für fortgeschrittene Benutzer von X1, P1, A1 und A1 Mini, die die volle Kontrolle über ihre Netzwerksicherheit bevorzugen, steht die Option zur Verfügung, den MQTT-Kanal, den Live-Stream und FTP offen zu lassen. Diese Funktion muss auf dem Drucker manuell aktiviert werden, und Benutzer, die diese Option auswählen, übernehmen die volle Verantwortung für die Sicherung ihrer lokalen Netzwerkumgebung. Bitte beachten Sie, dass Bambu Lab für diesen Modus keinen Kundensupport bieten kann, da die Kommunikationsprotokolle nicht offiziell unterstützt werden.

Einerseits heißt das an die Adresse aller Home Assistant Nutzer: Volle Kontrolle gibt es weiterhin, aber inoffiziell und ohne Support. Andererseits beweist ein in der aktuellen Mitteilung vom 20. Januar gezeigtes Demo etwa, dass sich Orca-Slicer Nutzer freuen dürfen; denn die Bambu Connect-Einbindung in den Orca Slicer scheint hier schon erfolgt und wird derzeit getestet. Orca-Slicer Nutzer dürften also nicht all zulange warten müssen, bis sie wieder Druckaufträge online übermitteln können. Ob im Orca-Slicer weiterhin auch eine Videoübertragung erfolgt, ist fraglich.

Bambu Lab X1 Aufmacher 734x466 1
Bekommt das umstrittene Update zuerst: Bambu Lab X1-Serie (hier: X1C)

Warum geht Bambu Lab diesen Schritt – und rudert dann wieder zurück?

Hohe unautorisierte Anfragen und entsprechende Systemüberlastungen gibt es nicht seit gestern. Natürlich geht es einem Unternehmen  wie Bambu Lab, das ohnehin eher auf  „Closed Source“ setzt, also darum, hier eine tragfähige Lösung zu finden um hohe Latenzzeiten und Störungen in den Systemen zu minimieren. Und diese Lösung lautet im Zweifelsfall: Abschottung statt Freiheit. Warum?

Stellen wir Bambu Labs Bemühen doch einmal in einen makroökonomischen Kontext. Das Signal: „Unsere Drucker bieten größtmögliche Sicherheit und verlässliche Performance“ dürfte insbesondere Bambu Labs nächstes angepeiltes Ziel interessieren: Unternehmen. Hier verzeichnet man großes Wachstum, das nicht zuletzt den 3D-Druck-Dinosaurier im B2B-Bereich, Stratasys, zu einer großen Klage „inspiriert“ hat. Es dürfte also darum gehen, bei Unternehmen zu punkten – auch wenn das zu Lasten des Endverbrauches geht, wenn letzterer im Einzelfall nicht gerade ein sehr hohes individuelles Sicherheitsbedürfnis hat.

Heißt das jetzt also „BambuLabGoesEvil“, wie ein vielgenutzter Hashtag dieser Tage lautet? Nein, so einfach ist das nicht. Immerhin verdeutlicht das Zurückrudern des Herstellers eben auch, dass man auf die Community hört – zumindest teilweise. Die nunmehr gefundene Kompromisslösung im Streit um das neue Sicherheitskonzept sorgt für ein kleines Licht am Ende des Shitstorm-Tunnels – insbesondere für Orca-Slicer-Nutzer, die mit einer baldigen Implementierung von Bambu Connect rechnen können – wenn auch leider ohne Kamera-Support.

46f95c098446440cb171ff513c7d1dcf Hier geht's zum Gadget

Wenn du über einen Link auf dieser Seite ein Produkt kaufst, erhalten wir oftmals eine kleine Provision als Vergütung. Für dich entstehen dabei keinerlei Mehrkosten und dir bleibt frei wo du bestellst. Diese Provisionen haben in keinem Fall Auswirkung auf unsere Beiträge. Zu den Partnerprogrammen und Partnerschaften gehört unter anderem eBay und das Amazon PartnerNet. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Profilbild von Thommy

Thommy

Wenn ich nicht gerade mit Familie und Freunden unterwegs bin, findet man mich im Bastelkeller. Dort tüftele ich zwischen Multiplex Easystar-Klonen, Impeller-Jets, RC-Crawlern und insbesondere meinem geliebten Anycubic Mega S, dem möglichst bald noch weitere 3D-Drucker folgen sollen.

Sortierung: Neueste | Älteste

Kommentare (12)

  • Profilbild von chriss_goe
    # 20.01.25 um 17:40

    chriss_goe

    Vielen Dank für die Berichterstattung, viele der Medien und YouTuber haben ja direkt den Vogel abgeschossen nach dem Blog Post vom 16.01

    Ich denke die werden dass schon in den Griff kriegen und mit den Developern von Orca Slicer etc gut zusammenarbeiten. Den Aufschrei im Internet in diesen 4 Tagen fand ich mehr als Bedenklich, man schaue sich mal die Trusted Pilots Rezensionen alleine deswegen an. Es gibt noch nichts handfestes und trotzdem wird ein Unternehmen schlecht bewertet? Das zählt unter Rufmord und finde ich unter aller Sau.

    • Profilbild von Kakue
      # 20.01.25 um 20:54

      Kakue

      Ja, Du hast Recht, hier wird gerade viel unrechtmäßig und auch unberechtigter weise kritisiert. Diese unberechtigte Kritik darf aber nicht den Blick auf die durchaus berechtigte Kritik versperren.
      Und leider auch wahr: am Vorgehen von Bambulab ist viel Schlechtes!

      • Profilbild von Wolfgang
        # 21.01.25 um 13:46

        Wolfgang

        Sie haben selber auf ihrer Homepage geschrieben, dass der Drucker nicht mehr drucken wird, wenn man nicht updated. Nur weil sie das von der Homepage löschen ist es nicht unwahr oder rufmord.
        Bambulab hat in der Vergangenheit auch ihre Garantiebedingungen geändert und unrechtmäßig reperaturen verweigert. Da haben sie auch einfach die Bedingungen auf der Homepage nachträglich geändert!

  • Profilbild von Max
    # 20.01.25 um 18:09

    Max

    Egal wie gut oder wie günstig die Drucker wären, wenn die das realisieren war es das mit Bambu Lab.
    Würde mir nie wieder etwas von denen holen.
    Man muß die Hersteller auch erziehen, sonst drehen die komplett durch.

    • Profilbild von Meine Meinung
      # 20.01.25 um 18:52

      Meine Meinung

      ähm, aber den Artikel hast du schon gelesen (und verstanden)?

  • Profilbild von Max Mustermann
    # 20.01.25 um 20:05

    Max Mustermann

    Es geht halt nicht um die Sicherheit, Bambu Connect bringt in der Art NULL weitere Sicherheit.
    Wurde bereits alles auseinandergenommen, siehe z.B. Videos von Louis Rossmann
    Schwach, dass hier keine Recherche betrieben wurde.

    Es gibt Möglichkeiten, die Sicherheit wirklich gut zu implementieren ohne Nutzer zu benachteiligen, aber das ist halt nicht in Bambu Labs Interesse.

    • Profilbild von Dörrobstautomat
      # 20.01.25 um 21:44

      Dörrobstautomat

      Man Max, das ist sooo ein Bullshit. Hör mal auf mit deiner ständigen unfairen Kritik. Louis Rossmann zerreißt Bambu auf dem Stand vom 16. Januar. Arbeitest du bei Bambu? Kennst die Unterschiede zwischen Bambu Connect und dem bisherigen Network-Plugin? Geh woanders nerven.

      • Profilbild von Max Mustermann
        # 20.01.25 um 22:34

        Max Mustermann

        Ja, ich habe mir als einer der ersten die Implementierung in Bambu Connect angeschaut, war nicht sonderlich gut geschützt. Der private Schlüssel von Bambu kann da ausgelesen werden und wurde schon veröffentlicht. Wie gesagt, Sicherheit = Null. Einen PRIVATEN Schlüssel in einer ÖFFENTLICHEN Anwendung zu verteilen ist keine Sicherheit.

        In Louis Wiki habe ich auch einen Artikel darüber geschrieben und sein letztes Video bespricht auch diesen.
        Der andere Max hier bin übrigens nicht ich.

        Ich entwickle beruflich embedded Linux Systeme und kenne mich mit Sicherheit aus, das ist mein Job. Was ist deine Qualifikation?

        • Profilbild von Thommy
          # 21.01.25 um 08:21

          Thommy CG-Team

          Hey ihr Lieben, besonders @Max Mustermann

          ich schreite hier mal ein, bevor das ausartet. Erst einmal danke euch für das Feedback, von dem mich natürlich das positive besonders freut, weil ich zu behaupten wage, dass das zumindest ein recht ausgewogener und im Vergleich zu anderen Portalen sehr ausführlicher Beitrag ist.
          Erfasst er das Geschehen korrekt? Das weiß ich nicht. Jedenfalls ist das zumindest meine Sicht als Außenstehender, der eben kein Informatiker ist. Insofern freue mich über deinen Input @Max Mustermann und hätte mir gewünscht, dass du deinen zweiten konstruktiven Experten-Beitrag direkt rausgehauen hättest. Das hilft hier allen total weiter, das weiter einschätzen zu können. Überhaupt wäre es super, wenn wir dich als Experten zu der Thematik an Bord holen könnten. Das wäre mal ein toller Mehrwert für die Community. Außerdem könnten wir den direkten Kontakt zu Bambu Lab herstellen, falls gewünscht. Ich glaube, dass das wieder ein Fall ist, der genau wie damals bei Joshua Wises alternativer Firmware viel Diskussion MIT und nicht ÜBER Bambu Lab erfordert. Was meinst du?

          Besten Gruß in die Runde – was druckt ihr heute Feines? =)

          Thommy

        • Profilbild von Max Mustermann
          # 21.01.25 um 22:44

          Max Mustermann

          Hallo Thommy, danke für deine konstruktive Antwort.

          Ich verstehe, dass ihr nicht alle technischen Aspekte im Detail einschätzen könnt, aber ein wenig eigene Recherche wäre doch sinnvoll gewesen. Ohne bleibt der Artikel leider sehr oberflächlich. Der Beitrag "BambuConnect has been pwnd" ist z. B. auf /r/BambuLab Platz 4 diese Woche. Auch ein Blick auf OrcaSlicer/SoftFever hätte gereicht: Auf Twitter schreibt SoftFever gestern früh dazu: „Working with“ sei irreführend, er sei es langsam leid, im PR-Spiel benutzt zu werden.

          Bambus Ansatz, ihre Probleme durch Einschränkungen für Nutzer und Drittentwickler zu lösen, wirkt entweder maximal inkompetent oder absichtlich manipulativ. Die genannten Sicherheitsprobleme sind nichts neues oder ungewöhnliches für Cloud-Systeme. Sie ließen sich mit etablierten Maßnahmen wie Rate Limiting, DDoS-Schutz und gezieltem Ausschluss fehlerhafter Anfragen sowie einer sicheren Authentifizierung lösen – ohne die Freiheit der Nutzer übermäßig einzuschränken. Stattdessen setzt Bambu auf Security through Obscurity, ein längst überholtes Konzept, was noch nie gut funktioniert hat.

          Mit „Sicherheit“ zu argumentieren, aber dann so unausgereifte Lösungen zu präsentieren, ist bezeichnend. Das Hauptproblem ist, dass diese Maßnahmen nur Drittentwickler behindern, während Angreifer weiterhin leicht Zugriff haben können. Drittentwickler wie OrcaSlicer können nicht einfach den Schlüssel extrahieren und verwenden, weil das illegal wäre. Einem Angreifer wird das naturgemäß egal sein.
          Mit Bambu Connect wird nur ein weiterer Schritt zur potentiellen Kontrolle und Einschränkung von Drittanbietern eingeführt.
          Dass seit immer auch bei OrcaSlicer ein propriäteres, nicht offenes, Bambu Netzwerk Plugin verwendet wird ist ja schon grenzwertig, aber zumindest wäre es erlaubt, dieses nachzubauen und Minimum die lokalen Anfragen direkt zum Drucker zu schicken. Mit dem hinzufügen des privaten Schlüssels wird es illegal, denn egal wie schlecht die Authentifizierung ist, sie zu knacken ist nicht erlaubt.
          Ohne den großen Aufschrei der Community wäre Bambu hier sicher nicht zurückgerudert.

          Wenn man sich die Geschichte von Bambu anschaut, ist auch einfach wenig um nicht zu sagen kein Vertrauen vorhanden. Es hat ja schon mit dem geklauten Slicer und Missachtung von Open Source Lizenzen angefangen, ging über heimliche Änderungen der TOS/AGB weiter und geht jetzt zu manipulativen Beiträgen über. Im aktuellen Blogpost wird ja so getan, als wäre fast alle Kritik völlig an den Haaren herbeigezogen, während z.B. weiterhin in den TOS/AGB steht, dass die Drucker automatisch nach Updates sucht und Bambu jederzeit den Drucker außer Betrieb setzen kann, bis ein Update gemacht wird. Wie gesagt, kein Vertrauen. Was die heute erzählen, kann morgen schon wieder anders aussehen.

          Die Einführung des „Expertenmodus“ ohne Support ist ebenfalls eine fragwürdige Strategie, da dies bisher Standard war. Bedeutet das auch, dass für die alte Firmware kein Support mehr existiert? Denn wenn sich das von der Sicherheit nicht unterscheidet, gibt es doch keinen Grund, es unterschiedlich zu behandeln.

          Sehr fragwürdig das alles… ich bin froh, dass ich nur ein bisschen die X1C Drucker auf Arbeit betreue und mir privat keinen gekauft habe. Ich drucke aktuell sowieso recht selten, die paar privaten Sachen drucke ich dann auf der Arbeit, der alte Anycubic steht eingemottet im Keller.

          Hoffentlich holt die Konkurenz bald auf, damit es gute Alternativen gibt. Denn bei aller Kritik an der Software, die Hardware und die Druckergebnisse sind wirklich gut und die Bedienung sehr einfach, das muss man Bambu schon lassen.

  • Profilbild von Max Mustermann
    # 20.01.25 um 20:07

    Max Mustermann

    Bambu Connect’s Authentication X.509 Certificate And Private Key Extracted:
    https://hackaday.com/2025/01/19/bambu-connects-authentication-x-509-certificate-and-private-key-extracted/

    Reverse Engineering Bambu Connect:
    https://wiki.rossmanngroup.com/wiki/Reverse_Engineering_Bambu_Connect

    NULL Sicherheit, nur Gängelung.

  • Profilbild von Claus HH
    # 21.01.25 um 16:29

    Claus HH

    Danke an die Max Mustermanns für die deutlichen Klarstellungen.
    Die Sicherheit kann nur ein vorgeschobener Grund sein, wenn die privat keys nach wenigen Stunden gehackt wurden. Und es gibt absolut keinen Grund eine Software zur Authentifizierung im lokalen Betrieb zu erzwingen.
    Ich besitze derzeit 6 Bambu Drucker und mehrere diverser anderer Marken. Wenn mein Eigentum nachträglich beschnitten oder verändert wird, reagiere ich empfindlich. Besonders wenn ich meinen gesamten geschäftlichen Workflow in diesem Bereich deshalb überarbeiten muss.
    Es mag sein, dass Bambulab diesmal noch zurück rudert, aber mein Vertrauen ist gestört und ich werde mich in Zukunft wieder woanders umschauen. Es wird schwer mein Vertrauen wieder zu gewinnen. Auf keinen Fall aber mit solchen Aussagen wie das letzte Statement von Bambu.

Kommentar schreiben

Name
E-Mail
Diese E-Mail-Adresse wird nicht veröffentlicht

Mit Absenden des Formulars akzeptiere ich die Datenschutzerklärung und die Nutzungsbedingungen.