Kraftwerkssteuerung offen im Netz
Experten haben aufgedeckt, dass Infrastruktur – auch in Österreich – ungeschützt ist
In mehrmonatigen Recherchen haben Journalisten von Golem.de in Zusammenarbeit mit Sicherheitsexperten Steuerungssysteme im Internet gesucht, die kaum oder nicht geschützt über das Internet erreichbar sind. Sie haben weltweit über 100 offene Anlagen aufgespürt, darunter Kraftwerke in Deutschland und Österreich, Wasserwerke, Steuerungsanlagen für die Industrie sowie für Wohngebäude.
Bei einigen Online-Zugriffen war es sogar möglich, die Kontrolle über einzelne Systeme komplett zu übernehmen. Die meisten Schwachstellen wurden mittlerweile behoben. Der Zugang erfolgte über Steuerungssoftware, die eigentlich nicht über das Internet erreichbar sein sollte. Im Fall dreier deutscher Wasserwerke hätten Werte in der Systemüberwachung geändert und in einem Fall auch die Kontrolle über Pumpen übernommen werden können. Bei deutschen und österreichischen Heiz- und Blockkraftwerken sowie Biogasanlagen stand die Tür der Steuerungsanlagen zum Netz ebenfalls weit offen.
Erhebliche Gefahr
Bei einigen Zugängen wurde in weiterer Folge zwar eine Authentifizierung verlangt, sie waren aber trotzdem verwundbar für Angriffe, mit denen Systeme außer Gefecht gesetzt werden könnten. „Die beschriebenen Fälle bergen erhebliche Gefahren, das darf so nicht passieren“, sagte der Präsident des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), ArneSchönbohm, dem Spiegel. In Israel haben die Journalisten einen LuxusWohnkomplex gefunden, dessen komplette Steuerung sie über das Internet übernehmen hätten können, von der Kontrolle der Heizung bis zur Notstromversorgung. In einer österreichischen Ferienwohnung, die online ge- mietet werden kann, hätten ebenfalls Heizung und Beleuchtung von außen gesteuert werden können. Die Methoden der Journalisten waren nicht einmal sonderlich aufwendig. Sie haben auf Basis einer Schwachstelle in Zürich nach ähnlichen offenen Zugängen gesucht und wurden schnell fündig.
Kein Verständnis
Aufgespürte Sicherheitslücken haben sie den zutreffenden CERTs (Computer Emergency Response Teams) in den jeweiligen Ländern mitgeteilt. Softwarehersteller und Systembetreiber wurden ebenfalls informiert, waren aber in vielen Fällen unkooperativ und spielten das Gefahrenpotenzial herunter. Viele Steuerungssysteme sind durch die Recherchen aber aus dem frei zugänglichen Internet verschwunden. Mit den gefundenen Einfallstoren hätte enormer Schaden angerichtet werden können. Von falschen Daten, die menschliche Fehlreaktionen provozieren, über den Start kostenpflichtiger Software bis zum Außerkraftsetzen von Anlagen. Es hätte etwa die Wasserversorgung Zehntausender Menschen beeinträchtigt werden können. Das Bewusstsein für die Verwundbarkeit solcher Systeme ist aber schwach ausgeprägt. Teilweise werden grundlegende Sicherheitsmechanismen ignoriert, Systeme falsch konfiguriert und unnötige Zugänge offengelassen. Hier sind die Hersteller von Software und Betreiber der Anlagen gefordert, ihre Ansätze zu überdenken.