IoT-Server und Industriesteuerungen ungesichert im Netz: Das zeigen Stichproben

Inhaltsverzeichnis

Wenn Privatpersonen versehentlich ihr Smart-Home ungeschützt ins Internet hängen, ist der Schaden überschaubar. Schlimmstenfalls können Scherzbolde aus der Ferne das Licht abschalten oder die Rollläden schließen. Richtig unangenehm wird es aber, wenn Industrieunternehmen ihre vernetzte oder "smarte" Fabrik mit der ganzen Welt teilen. Das Potenzial für Erpressungen und Sabotage ist riesig. Was passiert, wenn Angreifer eine Chemiefabrik oder eine Ölraffinerie fernsteuern, möchte man sich nicht ausmalen. Eigentlich sollte man davon ausgehen, dass solche Unternehmen eigene IT-Sicherheitsexperten beschäftigen oder Expertise einkaufen und sich nach dem Stand der Technik gegen Angriffe schützen. Eigentlich.

Auf die Idee, die Sicherheit von Industrieanlagen mal systematisch zu untersuchen, brachte uns ein Tippgeber, der durch Zufall einen offenen MQTT-Server im Internet gefunden hatte. MQTT ist ein Protokoll, über das Sensoren und Aktoren einander Nachrichten schicken. Dabei läuft die Kommunikation nicht direkt von Gerät zu Gerät, sondern immer über einen MQTT-Broker, bei dem andere die Nachrichten abonnieren können. Das Protokoll haben wir bereits ausführlich vorgestellt und nutzen es in Kombination mit Node-Red im Smart-Home. Hat man gute Gründe dafür, kann man MQTT durchaus im Internet veröffentlichen – dafür verwendet man aber unbedingt MQTT über TLS auf Port 8883 und richtet für alle Endgeräte Benutzerkonten ein. Anmelden können Sie sich entweder per Passwort oder noch besser mit einem Zertifikat.

Unseren Scanner haben wir nur auf ungeschützte Broker angesetzt. Zunächst ließen wir ihn eine Liste aller Server generieren, die auf Port 1883, also mit unverschlüsseltem MQTT antworten. Die Treffer haben wir dann darauf geprüft, ob sie Verbindungen ohne Anmeldedaten zulassen – über 10.000 Adressen landeten so in unserer Liste.

Das war die Leseprobe unseres heise-Plus-Artikels "IoT-Server und Industriesteuerungen ungesichert im Netz: Das zeigen Stichproben". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Smartes Klimagerät: Ecoflow Wave 2 im Test

Wenn man ein Balkonkraftwerk betreibt, ist ein Klimagerät kein Luxus mehr. Denn wenn es richtig heiß ist, steht auch genügend günstiger Solarstrom bereit.

---

Kamerasensoren erklärt: So wird aus Licht ein Bild

Die Bauart eines Kamerasensors beeinflusst die Bildqualität. Wir erklären, wie, und was das für Ihre Fotos bedeutet.

---

Volvo EX30 im Test: Elektroauto mit überreichlich Power

Der Volvo EX30 ist gelungen. Der Komfort ist hoch, und auch das Google-Infotainment arbeitet ausgezeichnet. Nachbessern muss Volvo die Software.

---

ChatGPT: Was der Sprachbot alles kann und wann sich ein Abo lohnt

OpenAI entwickelt ChatGPT laufend weiter. Er führt Gespräche, malt Bilder und analysiert Dokumente. Wir zeigen die Einsatzfelder und wo Sie aufpassen sollten.

---

Apple iPad Air 2024 mit 13"-Display im Test: Das bezahlbare Pro

An Bord hat das neue iPad Air einige Features der teuren Pro-Modelle. Wir klären, für wen angesichts der Preisunterschiede ein Air das bessere Pro ist.

• iPad Pro 2024 im Test

---

Ein Android-Tablet zum Malen: XPPen Magic Drawing Pad im Test

Das Besondere am Android-Tablet XPPen Magic Drawing Pad ist sein batterieloser Stylus mit 16.384 Druckstufen. Kann man damit endlich malen wie auf Papier?

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Smartes Klimagerät: Ecoflow Wave 2 im Test

Wenn man ein Balkonkraftwerk betreibt, ist ein Klimagerät kein Luxus mehr. Denn wenn es richtig heiß ist, steht auch genügend günstiger Solarstrom bereit.

---

Kamerasensoren erklärt: So wird aus Licht ein Bild

Die Bauart eines Kamerasensors beeinflusst die Bildqualität. Wir erklären, wie, und was das für Ihre Fotos bedeutet.

---

Volvo EX30 im Test: Elektroauto mit überreichlich Power

Der Volvo EX30 ist gelungen. Der Komfort ist hoch, und auch das Google-Infotainment arbeitet ausgezeichnet. Nachbessern muss Volvo die Software.

---

ChatGPT: Was der Sprachbot alles kann und wann sich ein Abo lohnt

OpenAI entwickelt ChatGPT laufend weiter. Er führt Gespräche, malt Bilder und analysiert Dokumente. Wir zeigen die Einsatzfelder und wo Sie aufpassen sollten.

---

Apple iPad Air 2024 mit 13"-Display im Test: Das bezahlbare Pro

An Bord hat das neue iPad Air einige Features der teuren Pro-Modelle. Wir klären, für wen angesichts der Preisunterschiede ein Air das bessere Pro ist.

• iPad Pro 2024 im Test

---

Ein Android-Tablet zum Malen: XPPen Magic Drawing Pad im Test

Das Besondere am Android-Tablet XPPen Magic Drawing Pad ist sein batterieloser Stylus mit 16.384 Druckstufen. Kann man damit endlich malen wie auf Papier?