Menü
Update
Security

Kritische Schwachstelle in hunderten Industrieanlagen

Von
vorlesen Drucken Kommentare lesen 328 Beiträge

Hunderte Industrieanlagen in Deutschland sind kaum vor Hackerangriffen geschützt. heise Security entdeckte unter anderem Fernwärmekraftwerke, wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Stadion, dessen Industriesteuerungen sorglos mit dem Internet verbunden waren. Doch das ist noch nicht alles: Wie c't in der kommenden Ausgabe berichtet, hätten wir uns durch eine triviale Sicherheitslücke als Techniker anmelden und die Kontrolle übernehmen können.

Wenn im Winter ein ganzes Dorf im Kalten sitzt, kann das eine Folge unzureichend abgesicherter Industriesteuerungen sein.

Zahlreiche Betreiber von Industrieanlagen haben ihre Steuerungsmodule leichtsinnig mit dem Internet verbunden. heise Security stieß auf hunderte, öffentlich erreichbare IP-Adressen von virtuellen Schaltzentralen, die ohne effektive Authentifizierung sperrangelweit offen standen. Unter den aufgespürten Anlagen befinden sich etwa Fernwärmekraftwerke, die mehrere tausend Einwohner mit Wärme versorgen. Per Mausklick hätten wir die Wärmeversorgung lahmlegen können, was zu einem Ausfall von mehreren Stunden geführt hätte. Ferner hätte eine Manipulation zu einem beträchtlichen Sachschaden führen können, wie ein namhafter Kesselhersteller gegenüber heise Security bestätigte.

Dies ist kein Computerspiel, sondern die Schaltzentrale einer Brauerei im Schwarzwald.

Wir entdeckten das Sicherheitsproblem bereits im Februar und haben daraufhin sofort das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) eingeschaltet. Das BSI hat das Problem ebenfalls als kritisch eingestuft und konnte rund 500 betroffene Anlagen in Deutschland aufspüren. Sowohl das BSI als auch heise Security standen seit geraumer Zeit im regelmäßigen Kontakt mit dem Hersteller des verwundbaren Steuermoduls. Wir haben das Unternehmen in aller Dringlichkeit darauf hingewiesen, dass die Betreiber der betroffenen Industrieanlagen umgehend zu informieren sind. Zwar hat uns der Hersteller das auch zugesichert – unklar ist allerdings, inwieweit das bisher tatsächlich erfolgt ist. Die von uns kontaktierten Betreiber wussten von nichts, ferner sind zahlreiche Anlagen nach wie vor erreichbar.

Bei dieser hessischen JVA standen zumindest online die Gefängnistore offen.

Generell ist es fahrlässig, eine Industriesteuerung direkt über das Internet zugänglich zu machen. Man gibt Unbefugten dadurch die Chance, die oftmals betagten Embedded Webserver der Systeme auf Sicherheitslücken abzuklopfen. Ist es nötig, ein solches System aus der Ferne zu administrieren, muss man einen verschlüsselten VPN-Tunnel mit starker Authentifizierung einrichten.

Industrieanlagen schutzlos im Internet

Weitere Details lesen Sie in c't 11/2013, die ab Montag am Kiosk liegt. Abonnenten haben das Heft bereits am Samstag im Briefkasten. (rei)