Verwundbare Industrieanlagen: Fernsteuerbares Gotteshaus
Zwei Monate, nachdem c't über hunderte unzureichend geschützte deutsche Industrieanlagen berichtete, ist das Problem noch nicht gelöst – auch wenn das BMI das Gegenteil behauptet. Im Internet stoßen wir noch immer auf neue Fälle – darunter eine Kirche.
- Louis-F. Stahl
Anfang Mai berichteten wir in c't 11/13 darüber, dass hunderte Industrieanlagen allein in Deutschland unzureichend geschützt mit dem Internet verbunden sind – darunter Fernwärmekraftwerke, eine Brauerei und sogar eine Justizvollzugsanstalt. Durch eine von heise Security aufgedeckte Schwachstelle in den Steuersystemen war es sogar möglich, die Kontrolle zu übernehmen, zum Beispiel einer Kirche.
Wir informierten im Februar – also lange bevor der Artikel erschienen ist – das Bundesamt für Sicherheit in der Informationstechnik (BSI) über unsere Entdeckung. Das BSI bat daraufhin den Hersteller der verwundbaren Industriesteuerungen, das Schweizer Unternehmen Saia-Burgess, die betroffenen Kunden zu informieren und einen Sicherheits-Patch zu entwickeln.
Ungeachtet der möglichen Schäden, die man durch ein absichtliches Fehlbedienen potenziell anrichten kann, haben die Schweizer jedoch erst damit begonnen, den Forderungen nachzukommen, als wir Ende April auf die bevorstehende Veröffentlichung unseres Artikels Gefahr im Kraftwerk hingewiesen haben.
Ende gut, alles gut? Mitnichten. Denn wie c't in der aktuellen Ausgabe 15/13 berichtet, ist der dringend nötige Sicherheitspatch immer noch nicht fertig – obwohl das Bundesministerium des Innern (BMI) in seiner Antwort auf eine parlamentarische Anfrage der Grünen das Gegenteil behauptet.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Und auch in puncto Aufkärung besteht seitens des Herstellers offenbar Nachholbedarf, dann nach wie vor sind etliche Saia-Burgess-Steuermodule unzureichend – oder auch gar nicht – geschützt mit dem Internet verbunden. So gelang es der c't vor wenigen Tagen, unter anderem die Kirchturmsteuerung der Propsteikirche St. Stephanus im nordrheinwestfälischen Beckum über das Internet aufzuspüren.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Über die Steueroberfläche lässt sich nicht nur die Kirchenuhr verstellen, sondern auch die zahlreichen Glocken per Mausklick aktivieren. Stattdessen haben wir uns jedoch in den ICE gesetzt, um den zuständigen Küster persönlich über die öffentlich zugängliche Kirchensteuerung zu informieren. Wir wurden freundlich empfangen und durften abschließend sogar selbst den Netzwerkstecker ziehen.
Weitere Details lesen Sie in c't 15/2013, die ab Montag am Kiosk liegt. Abonnenten haben das Heft bereits am Samstag im Briefkasten. (rei)
