zurück zum Artikel

Nicht abgesichert: Steuerungen deutscher Wasserwerke über das Internet manipulierbar

Wasserwerk

(Bild: Bernd Baltz, (CC BY 2.0 )

Zwei Sicherheitsforscher hatten Zugriff auf die Steuerungs-Systeme verschiedener Wasserwerke aus Deutschland. Dabei hätten sie die Anlagen sabotieren können. Einzelfälle seien das nicht.

Die beiden Sicherheitsforscher Tim Philipp Schäfers und Sebastian Neef von Internetwache.org konnten über das Internet auf verschiedene Industrie-Steuer-Anlagen zugreifen. Darunter etwa Blockheizkraftwerke und drei deutsche Wasserwerke, berichtet Spiegel Online [1].

Eigenen Angaben zufolge gelang der Zugriff mit überschaubaren Aufwand. Ein Übergriff soll über einen Webbrowser von Computern und Smartphones aus gelingen. Im schlimmsten Fall hätten sie auf diesem Weg Daten auslesen oder dank Admin-Rechten sogar ganze Anlagen lahmlegen können. In einem Wasserwerk hierzulande hatten sie die Kontrolle über eine Pumpen-Steuerung und hätten so ganzen Landstrichen das Wasser abdrehen können.

Für den vergleichsweise einfachen Zugriff auf die Steuer-Anlagen kritischer Infrastrukturen machen Neef und Schäfers unzureichende Sicherheits-Konfigurationen verantwortlich; in einigen Fällen seien Anlagen komplett ungeschützt gewesen. In einem Artikel auf der IT-Nachrichtenseite Golem.de [2] beschreiben die Sicherheitsforscher ihre Erfahrungen.

Um Angriffspunkte ausfindig zu machen, haben die beiden Sicherheitsforscher mithilfe einer eigens entwickelten Software mehr als vier Milliarden Internet-Adressen gescannt, erläutert Spiegel Online. Dabei stießen sie auf 80 ungeschützte Steuer-Anlagen vom gleichen Software-Hersteller.

Mittlerweile seien die Anlagen nicht mehr über das Internet erreichbar. Der Hersteller der Software sei sich Spiegel Online zufolge bewusst, dass es Risiken gebe. Für die sichere Konfiguration der Systeme sei jedoch der Kunde verantwortlich.

Regelmäßig warnen Sicherheitsforscher vor den Gefahren, wenn Hacker Steuerungs-Systeme kritischer Infrastrukturen infiltrieren. So gehen Sicherheitsexperten davon aus, dass die Stromausfälle in der Ukraine [3] Ende vergangenen Jahres zum Teil durch einen Hacker-Angriff ausgelöst wurden.

Bereits vor rund einem Jahr warnten die Sicherheitsforscher Johannes Klick und Stephan Lau vor aus dem Internet zugänglichen Programmable Logic Controller (PLC) [4] zum Steuern von Industrie-Systemen. Während ihrer Forschung stießen sie auf 28.000 über das Internet erreichbare PLC. (des [5])


URL dieses Artikels:
http://www.heise.de/-3268693

Links in diesem Artikel:
[1] http://www.spiegel.de/netzwelt/web/deutschland-sicherheitsluecke-wasserwerke-ungeschuetzt-im-internet-a-1103147.html
[2] http://www.golem.de/news/schwachstellen-aufgedeckt-der-leichtfertige-umgang-mit-kritischen-infrastrukturen-1607-122063.html
[3] https://www.heise.de/meldung/Stromausfall-in-der-Ukraine-augenscheinlich-durch-Hacker-ausgeloest-3063343.html
[4] https://www.heise.de/meldung/Scada-Sicherheit-Siemens-PLC-wird-zum-Einbruchswerkzeug-2774812.html
[5] mailto:des@heise.de