Kritische Schwachstelle in hunderten Industrieanlagen
heise Security hat etliche deutsche Industrieanlagen entdeckt, die leichtsinnig mit dem Internet verbunden sind. Doch damit nicht genug: Durch eine Schwachstelle kann quasi jeder die Kontrolle über Heizkraftwerke, Rechenzentren oder Brauereien übernehmen.
- Ronald Eikenberg
Hunderte Industrieanlagen in Deutschland sind kaum vor Hackerangriffen geschützt. heise Security entdeckte unter anderem Fernwärmekraftwerke, wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Stadion, dessen Industriesteuerungen sorglos mit dem Internet verbunden waren. Doch das ist noch nicht alles: Wie c't in der kommenden Ausgabe berichtet, hätten wir uns durch eine triviale Sicherheitslücke als Techniker anmelden und die Kontrolle übernehmen können.
Zahlreiche Betreiber von Industrieanlagen haben ihre Steuerungsmodule leichtsinnig mit dem Internet verbunden. heise Security stieß auf hunderte, öffentlich erreichbare IP-Adressen von virtuellen Schaltzentralen, die ohne effektive Authentifizierung sperrangelweit offen standen. Unter den aufgespürten Anlagen befinden sich etwa Fernwärmekraftwerke, die mehrere tausend Einwohner mit Wärme versorgen. Per Mausklick hätten wir die Wärmeversorgung lahmlegen können, was zu einem Ausfall von mehreren Stunden geführt hätte. Ferner hätte eine Manipulation zu einem beträchtlichen Sachschaden führen können, wie ein namhafter Kesselhersteller gegenüber heise Security bestätigte.
Wir entdeckten das Sicherheitsproblem bereits im Februar und haben daraufhin sofort das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) eingeschaltet. Das BSI hat das Problem ebenfalls als kritisch eingestuft und konnte rund 500 betroffene Anlagen in Deutschland aufspüren. Sowohl das BSI als auch heise Security standen seit geraumer Zeit im regelmäßigen Kontakt mit dem Hersteller des verwundbaren Steuermoduls. Wir haben das Unternehmen in aller Dringlichkeit darauf hingewiesen, dass die Betreiber der betroffenen Industrieanlagen umgehend zu informieren sind. Zwar hat uns der Hersteller das auch zugesichert – unklar ist allerdings, inwieweit das bisher tatsächlich erfolgt ist. Die von uns kontaktierten Betreiber wussten von nichts, ferner sind zahlreiche Anlagen nach wie vor erreichbar.
Generell ist es fahrlässig, eine Industriesteuerung direkt über das Internet zugänglich zu machen. Man gibt Unbefugten dadurch die Chance, die oftmals betagten Embedded Webserver der Systeme auf Sicherheitslücken abzuklopfen. Ist es nötig, ein solches System aus der Ferne zu administrieren, muss man einen verschlüsselten VPN-Tunnel mit starker Authentifizierung einrichten.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Weitere Details lesen Sie in c't 11/2013, die ab Montag am Kiosk liegt. Abonnenten haben das Heft bereits am Samstag im Briefkasten. (rei)