Abo
  • Services:
Anzeige
Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

HTTPS ist nicht Standard

Nachdem wir durch die Google-Ergebnisse einen ersten Ansatzpunkt hatten, wollten wir uns genauer ansehen, ob Google tatsächlich alle direkt über IPv4 erreichbaren Windparks indexiert hat oder ob wir selbst in der Lage sind, noch zusätzliche Windparks auszumachen. Für diese Zwecke nutzten wir einen wöchentlichen Scan der University of Michigan und passten ein Such-Script an, das wir bereits für frühere Funde, etwa die von Wasserwerken im Internet, genutzt hatten. Insgesamt konnten wir so 218 Windfarm-Steuerungen ausmachen. Google waren davon bereits etwas weniger als die Hälfte der Systeme (104) bekannt.

Anzeige

Mit dem Titel der Webseiten und der Geo-IP-Information lassen sich die Anlagen genaueren Standorten zuordnen, auch wenn das Geo-IP-System nicht immer eindeutige Adressen liefert. Von den Anlagen befinden sich circa 20 in Deutschland. Der Großteil der Anlagen lässt sich im restlichen Europa (Frankreich, Vereinigtes Königreich, Dänemark) finden, allerdings gibt es auch Anlagen in den USA und Asien. Einigen konnte auf Grund mangelnder Informationen kein genauer Ort zugeordnet werden. Mittels Google Maps ließen sich viele der aufgefundenen Systeme in der Satellitenansicht von oben wiedererkennen. Hier ist beispielsweise ein Windpark in Behrendorf (Schleswig-Holstein) zu sehen. Die über Google Maps ermittelten Informationen können mit Daten, etwa zur Anzahl der Turbinen, aus der jeweilig zugehörigen Webapplikation überprüft werden.

Zahlreiche Informationen einsehbar

Das Bundesamt für Sicherheit in der Informationstechnik kritisiert die einfache Auffindbarkeit der Anlagen auf Anfrage von Golem.de: "Die Verfügbarkeit dieser Daten eröffnet zunächst keine direkten zusätzlichen Manipulationsmöglichkeiten. Dennoch werden im vorliegenden Fall unnötige zusätzliche Informationen (Firmwareversion, Betriebssystem, interne Prozessparameter [OPC]) preisgegeben, die Angreifern Vorteile verschaffen können." Dies könne "die Angriffsfläche erweitern", sei kritisch und daher abzustellen.

Nachdem wir alle für uns erreichbaren Nordex-Systeme ausgemacht hatten und sicher waren, dass es sich um echte Systeme handelt, wollten wir wissen, welche Informationen einsehbar sind und wie es um die Sicherheit der Systeme bestellt ist. Dazu haben wir uns zunächst einige Google-Ergebnisse näher angeschaut. Nach Aufruf der Webseiten erscheint ein Login, allerdings sind auch ohne Angabe der Logindaten in der oberen rechten Ecke der Webapplikation verschiedene Statistiken, etwa die Anzahl der Turbinen, das Datum der Inbetriebnahme, die durchschnittliche Windgeschwindigkeit und die produzierte Gesamtleistung einzusehen - aus unserer Sicht durchaus interessante Informationen für einen Angreifer, die in der Form nicht öffentlich abrufbar sein sollten, allerdings nicht extrem kritisch sind.

Kein verpflichtendes HTTPS

Wir konzentrierten uns fortan auf sicherheitskritischere Aspekte. Ein Blick in die Adresszeile überraschte: Der Webserver liefert die Webseite im Standard mittels HTTP und damit im Klartext aus. Die Übermittlung von Kennwörtern oder sonstigen Daten wäre durch einen Man-in-the-Middle-Angriff mitlesbar. Es ist überraschend, dass professionelle Anbieter nicht durchgängig HTTPS einsetzen - laut aktueller Statistik von Mozilla werden 50 Prozent des Webseitentraffics mittlerweile verschlüsselt.

Wir wollten wissen, ob HTTPS wenigstens als Alternative genutzt werden kann und forderten durch die Eingabe von "https" vor der IP Adresse eine verschlüsselte Verbindung zum Webserver an. Nach der Eingabe und dem anschließenden Druck auf Enter wurden wir erneut überrascht, denn die Seite ist weder mit Internet Explorer noch mit Mozilla Firefox abrufbar, stattdessen wird dort eine Warnung ausgegeben wie: "SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY". Da wir annahmen, dass dies ein bedauerlicher Einzelfall sei, versuchten wir es mit anderen IP-Adressen - leider mit dem gleichen Ergebnis. Der Webbrowser weist darauf hin, dass die vorliegende Verschlüsselung mittels SSL/TLS so unsicher ist, dass er die Webseite lieber nicht aufrufen möchte, und warnt deshalb aktiv davor.

Grund dafür sind die mangelhafte Schlüssellänge und die Verwendung von alten Cipher-Algorithmen (wie RC4). Dieser Hinweis lässt sich in modernen Webbrowsern nur mit Tricks und einem grundlegenden Eingriff in die Sicherheitsmechanismen abstellen, weil aktuelle Browser zurecht vor den Sicherheitsgefahren entsprechender Zertifikate warnen. Erst danach ist ein Aufruf der Webseiten möglich. Zu empfehlen ist das wegen Sicherheitsbedenken allerdings grundsätzlich nicht.

Wegen der alten Verschlüsselung sind die Systeme für zahlreiche bekannte Sicherheitslücken anfällig, wie weitere Tests zeigen.

 Energieversorgung: Windparks sind schlechter gesichert als E-Mail-KontenEin Zertifikat für fast alle Windräder 

eye home zur Startseite
Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Themenstart

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

Themenstart

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

Themenstart

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

Themenstart

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. über JBH-Management- & Personalberatung Herget, keine Angabe
  2. Rentschler Biotechnologie GmbH, Laupheim
  3. JOB AG Industrial Service GmbH, Kassel
  4. Atlas Copco - Synatec GmbH, Stuttgart


Anzeige
Blu-ray-Angebote
  1. 12,85€ + 5€ FSK18-Versand
  2. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  2. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  3. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor

  4. Drei

    Netzanbieter warnt vor Upgrade auf iOS 11

  5. Microsoft

    Zusatzpaket bringt wichtige Windows-Funktionen für .Net Core

  6. Olympus Tough TG5 vs. Nikon Coolpix W300

    Die Schlechtwetter-Kameras

  7. Elektroauto

    Elektrobus stellt neuen Reichweitenrekord auf

  8. Apple

    Xcode 9 bringt Entwicklertools für CoreML und Metal 2

  9. Messenger

    Wire-Server steht komplett unter Open-Source-Lizenz

  10. Smart Glass

    Amazon plant Alexa-Brille



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: CO2 Ausstoß dieses Akkus bei der Produktion?

    EFuchs | 15:11

  2. Re: Als Android-Nutzer beneide ich euch

    Lapje | 15:10

  3. Hab 2Mbit DSL ich nehme alles was schneller ist

    Mastercontrol | 15:10

  4. Re: Genesis: 250 MH/s fuer USD 7000 inkl. 2 Jahre...

    Seargas | 15:10

  5. Re: Kontrollzentrum GPS deaktivieren?

    Trollversteher | 15:09


  1. 14:28

  2. 13:55

  3. 13:40

  4. 12:59

  5. 12:29

  6. 12:00

  7. 11:32

  8. 11:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel