Industrieanlagen-Steuerungen ungeschützt im Netz

Speicherprogrammierbare Steuerungen (SPS), die zur Steuerung von Industrieanlagen eingesetzt werden, sind unter Umständen ungeschützt über das Internet erreichbar, warnte der Sicherheitsexperte Jonathan Pollet während des Workshops "Building, Attacking And Defending SCADA Systems in the Age of Stuxnet" auf der Black-Hat-Konferenz. Laut Cnet gelang es dem Experten, über Google die ungeschützte Steueroberfläche eines Transformators aufzuspüren, der in einem britischen Umspannwerk im Betrieb ist.

Eine Passwortabfrage gab es nicht, Pollet hätte die volle Kontrolle übernehmen und etwa für einen Stromausfall sorgen können. Auch anwesend war der Experte Tom Parker, der das Webinterface einer Pumpensteuerung über Google aufspürte. Diese Oberfläche war zwar mit einem Passwort geschützt, allerdings befand sich dieses gleich mit unter den Suchtreffern – "1234".

Die Steuerung und Regelung von Industrieanlagen standardisiert SCADA, das unter anderem für die Kommunikation mit den Steuersystemen zuständig ist. Doch speicherprogrammierbare Steuerungen sind oft gar nicht darauf ausgelegt, über das Internet erreichbar zu sein, betont Pollet: "Die meisten SCADA-Protokolle kennen weder Verschlüsselung noch Authentifizierung. Und sie haben keine Zugriffskontrolle. Das bedeutet, wenn eine SPS einen Webserver hat und mit dem Internet verbunden ist, kann jeder der die IP-Adresse entdeckt, Steuerbefehle an das Gerät schicken.".

Bereits im Mai dieses Jahres hatte der deutsche Sicherheitsforscher Oliver Sucker auf dieses Problem aufmerksam gemacht. Ihm gelang es, über eine spezielle Suchmaschine auf die SPS einiger Energieversorger im europäischen Ausland zuzugreifen. Auch Systeme von Unternehmen der Lebensmittelindustrie waren bei seinem Test ungeschützt übers Netz erreichbar. (rei)