Gefällt dir dieser Artikel?

unsichere Industrieanlagen

erschienen in der Kategorie Technik, am 06.05.2013
Schnatterente
Ich denke viele Leser dieses Blogs kennen noch den guten alten Hackerfilm "23 - Nichts ist so wie es scheint". In dem Film von 1998 ist zu sehen, wie zwei junge Computergenies in den 80er Jahren, das Atomkraftwerk Jülich hacken.

Wir leben im Jahr 2013. Das Internet hat die ganze Welt vernetzt und kaum ein Gerät kommt noch ohne Computertechnik und eine Netzwerkschnittstelle aus. Dementsprechend müsste man davon ausgehen, dass heutige Industrieanlagen, wie Kraftwerke und Ähnliches, sicher gegen Angriffe aus der digitalen Welt sind. Die Wahrscheinlichkeit, dass ein paar junge Nerds, ähnlich der fiktiven Handlung des genannten Filmes, die Kontrolle übernehmen, sollte gegen Null gehen.

Doch die Realität sieht anders aus. Heise Security ist es gelungen, die Steuerungen von einigen Hundert Industrieanlagen online zu erreichen. Es wäre problemlos möglich gewesen, die Kontrolle zu übernehmen und somit schlimme Schäden anzurichten. Unter anderem fanden die Redakteure der c't Kontrollwebseiten von Heizkraftwerken, Brauereien, Gefängnisanlagen, Rechenzentren und Fußballstadien vor. Und das mit sehr geringem Aufwand, die Geräte ließen sich einfach mit der Suchmaschine Shodan aufspüren, welche sich darauf spezialisiert hat, über das Internet erreichbare Geräte zu indexieren.

Alle Anlagen weisen die gleichen, gravierenden Sicherheitsprobleme auf. Auf den Geräten läuft ein Embedded Webserver mit angreifbaren Java Applets. Nutzt man eine Sicherheitslücke der Software aus, bringt man diese dazu, alle Passwörter im Klartext auszugeben. Dies gilt nicht nur für die Passwörter der jeweiligen Kunden bzw. Betreiber, sondern auch für die Logins von Service-Mitarbeitern und Entwicklern, die in der Regel den Zugang zu mehr Funktionen frei machen. Wer die Geräte erst einmal gefunden hat, kann mit einfachen Mitteln die Kontrolle übernehmen.

Verwerflich ist schon die Tatsache an sich, dass die Steuerung der besagten Anlagen überhaupt über das Internet erreichbar ist. Üblicherweise werden eingebettete Systeme, wie der eingesetzte Webserver, nur selten oder gar nicht mit Sicherheitsupdates versorgt. Wer derartige Schnittstellen ohne einen weiteren Schutz, wie zum Beispiel einen verschlüsselten VPN-Tunnel, online verfügbar macht, handelt grob fahrlässig. Des Weiteren stellt sich bei vielen Anlagen auch die Frage, was für einen Nutzen es bringen soll, dass man sie von der ganzen Welt aus steuern kann. Das Sicherheitsleck würde in dieser Form auch nicht bestehen, wenn der Schweizer Software-Hersteller Saia- Burgess Controls sich an gängige Normen gehalten hätte und die Passwörter nicht im Klartext speichern würde.

Heise hat neben vielen Betroffenen auch das beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelte Computer Emergency Response Team (CERT-Bund) informiert. Viele Anlagen wurden inzwischen vom Netz getrennt, aber nicht wenige sind nach wie vor aktiv und somit für jedermann über das Internet erreichbar.

Niemand stellt sein Fahrrad ohne ein Schloss mitten in die Innenstadt. Für das Thema Sicherheit in der Informationstechnologie fehlt vielen Menschen hingegen nach wie vor das nötige Bewusstsein.

Geschnatter

2 Kommentare, selbst mitschnattern << < Seite 1/1 > >>
Telekom, am 06.05.2013 um 10:13 Uhr
Ist alles kein Problem, nach dem dritten Angriffsversuch ist der Traffic des mutmaßlichen Hackers sowieso aufgebraucht - dann wird er gedrosselt und kommt nur noch so langsam voran, dass es keinen Spaß mehr macht und er aufgibt. :)
Antwort: :'D
Anonym, am 06.05.2013 um 10:18 Uhr
was genau hätten die denn da steuern können?
Antwort: Laut dem c't Artikel hätten sie z.B. die Fernwärme für einige Tausend Bürger abschalten können. Es wäre auch möglich gewesen verschiedene Werte so zu manipulieren, dass Anlagen kaputt gehen.

Im Falle der JVA ging es wohl auch um die Heizungsanlagen, z.B. hätte man den Inhaftierten das warme Wasser beim Duschen abschalten können.

Beim Fußballstadion war es möglich, die Eingänge zu öffnen und zu schließen und die zugehörigen Alarmanlagen abzuschalten.

Dann hatten sie noch Zugang zu einem Rechenzentrum der Schweizer Bank Swisscom, da konnte man beispielsweise einsehen, wie viel Strom die Server gerade verbrauchen.