Menü
Security

Verwundbare Industrieanlagen: Fernsteuerbares Gotteshaus

vorlesen Drucken Kommentare lesen 160 Beiträge

Anfang Mai berichteten wir in c't 11/13 darüber, dass hunderte Industrieanlagen allein in Deutschland unzureichend geschützt mit dem Internet verbunden sind – darunter Fernwärmekraftwerke, eine Brauerei und sogar eine Justizvollzugsanstalt. Durch eine von heise Security aufgedeckte Schwachstelle in den Steuersystemen war es sogar möglich, die Kontrolle zu übernehmen, zum Beispiel einer Kirche.

Diese Steuerkonsole einer Brauerei im Schwarzwald entdeckten wir im Frühjahr im Internet.

Wir informierten im Februar – also lange bevor der Artikel erschienen ist – das Bundesamt für Sicherheit in der Informationstechnik (BSI) über unsere Entdeckung. Das BSI bat daraufhin den Hersteller der verwundbaren Industriesteuerungen, das Schweizer Unternehmen Saia-Burgess, die betroffenen Kunden zu informieren und einen Sicherheits-Patch zu entwickeln.

Ungeachtet der möglichen Schäden, die man durch ein absichtliches Fehlbedienen potenziell anrichten kann, haben die Schweizer jedoch erst damit begonnen, den Forderungen nachzukommen, als wir Ende April auf die bevorstehende Veröffentlichung unseres Artikels Gefahr im Kraftwerk hingewiesen haben.

Ende gut, alles gut? Mitnichten. Denn wie c't in der aktuellen Ausgabe 15/13 berichtet, ist der dringend nötige Sicherheitspatch immer noch nicht fertig – obwohl das Bundesministerium des Innern (BMI) in seiner Antwort auf eine parlamentarische Anfrage der Grünen das Gegenteil behauptet.

Glöckner in Heimarbeit Die Steueranlage der Propsteikirche St. Stephanus war bis vor kurzem ungeschützt über das Internet erreichbar.

Und auch in puncto Aufkärung besteht seitens des Herstellers offenbar Nachholbedarf, dann nach wie vor sind etliche Saia-Burgess-Steuermodule unzureichend – oder auch gar nicht – geschützt mit dem Internet verbunden. So gelang es der c't vor wenigen Tagen, unter anderem die Kirchturmsteuerung der Propsteikirche St. Stephanus im nordrheinwestfälischen Beckum über das Internet aufzuspüren.

Hightech im Gotteshaus Die Propsteikirche St. Stephanus wird über einen Touchscreen gesteuert. Die gleiche Oberfläche baute sich allerdings auch auf einem Rechner in der c't-Redaktion auf.

Über die Steueroberfläche lässt sich nicht nur die Kirchenuhr verstellen, sondern auch die zahlreichen Glocken per Mausklick aktivieren. Stattdessen haben wir uns jedoch in den ICE gesetzt, um den zuständigen Küster persönlich über die öffentlich zugängliche Kirchensteuerung zu informieren. Wir wurden freundlich empfangen und durften abschließend sogar selbst den Netzwerkstecker ziehen.

Weitere Details lesen Sie in c't 15/2013, die ab Montag am Kiosk liegt. Abonnenten haben das Heft bereits am Samstag im Briefkasten. (Louis-F. Stahl) / (rei)