Abo
  • Services:
Anzeige
Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

HTTPS ist nicht Standard

Nachdem wir durch die Google-Ergebnisse einen ersten Ansatzpunkt hatten, wollten wir uns genauer ansehen, ob Google tatsächlich alle direkt über IPv4 erreichbaren Windparks indexiert hat oder ob wir selbst in der Lage sind, noch zusätzliche Windparks auszumachen. Für diese Zwecke nutzten wir einen wöchentlichen Scan der University of Michigan und passten ein Such-Script an, das wir bereits für frühere Funde, etwa die von Wasserwerken im Internet, genutzt hatten. Insgesamt konnten wir so 218 Windfarm-Steuerungen ausmachen. Google waren davon bereits etwas weniger als die Hälfte der Systeme (104) bekannt.

Anzeige

Mit dem Titel der Webseiten und der Geo-IP-Information lassen sich die Anlagen genaueren Standorten zuordnen, auch wenn das Geo-IP-System nicht immer eindeutige Adressen liefert. Von den Anlagen befinden sich circa 20 in Deutschland. Der Großteil der Anlagen lässt sich im restlichen Europa (Frankreich, Vereinigtes Königreich, Dänemark) finden, allerdings gibt es auch Anlagen in den USA und Asien. Einigen konnte auf Grund mangelnder Informationen kein genauer Ort zugeordnet werden. Mittels Google Maps ließen sich viele der aufgefundenen Systeme in der Satellitenansicht von oben wiedererkennen. Hier ist beispielsweise ein Windpark in Behrendorf (Schleswig-Holstein) zu sehen. Die über Google Maps ermittelten Informationen können mit Daten, etwa zur Anzahl der Turbinen, aus der jeweilig zugehörigen Webapplikation überprüft werden.

Zahlreiche Informationen einsehbar

Das Bundesamt für Sicherheit in der Informationstechnik kritisiert die einfache Auffindbarkeit der Anlagen auf Anfrage von Golem.de: "Die Verfügbarkeit dieser Daten eröffnet zunächst keine direkten zusätzlichen Manipulationsmöglichkeiten. Dennoch werden im vorliegenden Fall unnötige zusätzliche Informationen (Firmwareversion, Betriebssystem, interne Prozessparameter [OPC]) preisgegeben, die Angreifern Vorteile verschaffen können." Dies könne "die Angriffsfläche erweitern", sei kritisch und daher abzustellen.

Nachdem wir alle für uns erreichbaren Nordex-Systeme ausgemacht hatten und sicher waren, dass es sich um echte Systeme handelt, wollten wir wissen, welche Informationen einsehbar sind und wie es um die Sicherheit der Systeme bestellt ist. Dazu haben wir uns zunächst einige Google-Ergebnisse näher angeschaut. Nach Aufruf der Webseiten erscheint ein Login, allerdings sind auch ohne Angabe der Logindaten in der oberen rechten Ecke der Webapplikation verschiedene Statistiken, etwa die Anzahl der Turbinen, das Datum der Inbetriebnahme, die durchschnittliche Windgeschwindigkeit und die produzierte Gesamtleistung einzusehen - aus unserer Sicht durchaus interessante Informationen für einen Angreifer, die in der Form nicht öffentlich abrufbar sein sollten, allerdings nicht extrem kritisch sind.

Kein verpflichtendes HTTPS

Wir konzentrierten uns fortan auf sicherheitskritischere Aspekte. Ein Blick in die Adresszeile überraschte: Der Webserver liefert die Webseite im Standard mittels HTTP und damit im Klartext aus. Die Übermittlung von Kennwörtern oder sonstigen Daten wäre durch einen Man-in-the-Middle-Angriff mitlesbar. Es ist überraschend, dass professionelle Anbieter nicht durchgängig HTTPS einsetzen - laut aktueller Statistik von Mozilla werden 50 Prozent des Webseitentraffics mittlerweile verschlüsselt.

Wir wollten wissen, ob HTTPS wenigstens als Alternative genutzt werden kann und forderten durch die Eingabe von "https" vor der IP Adresse eine verschlüsselte Verbindung zum Webserver an. Nach der Eingabe und dem anschließenden Druck auf Enter wurden wir erneut überrascht, denn die Seite ist weder mit Internet Explorer noch mit Mozilla Firefox abrufbar, stattdessen wird dort eine Warnung ausgegeben wie: "SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY". Da wir annahmen, dass dies ein bedauerlicher Einzelfall sei, versuchten wir es mit anderen IP-Adressen - leider mit dem gleichen Ergebnis. Der Webbrowser weist darauf hin, dass die vorliegende Verschlüsselung mittels SSL/TLS so unsicher ist, dass er die Webseite lieber nicht aufrufen möchte, und warnt deshalb aktiv davor.

Grund dafür sind die mangelhafte Schlüssellänge und die Verwendung von alten Cipher-Algorithmen (wie RC4). Dieser Hinweis lässt sich in modernen Webbrowsern nur mit Tricks und einem grundlegenden Eingriff in die Sicherheitsmechanismen abstellen, weil aktuelle Browser zurecht vor den Sicherheitsgefahren entsprechender Zertifikate warnen. Erst danach ist ein Aufruf der Webseiten möglich. Zu empfehlen ist das wegen Sicherheitsbedenken allerdings grundsätzlich nicht.

Wegen der alten Verschlüsselung sind die Systeme für zahlreiche bekannte Sicherheitslücken anfällig, wie weitere Tests zeigen.

 Energieversorgung: Windparks sind schlechter gesichert als E-Mail-KontenEin Zertifikat für fast alle Windräder 

eye home zur Startseite
Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³



Anzeige

Stellenmarkt
  1. flexis AG, Chemnitz
  2. Tetra GmbH, Melle
  3. Lernstudio Barbarossa GmbH, Kaiserslautern
  4. Giesecke & Devrient 3S GmbH, München


Anzeige
Hardware-Angebote
  1. täglich neue Deals

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Einer der schnellsten

    Rubbelbubbel | 21:57

  2. Re: Funktioniert nicht

    Kakiss | 21:48

  3. Re: 1050 und dann noch langsamer?

    madejackson | 21:42

  4. Re: schön die datenblätter zitiert

    logged_in | 21:37

  5. Re: Anstatt Eisen zu Gold machen sie Pappe zu Gold.

    Tigtor | 21:31


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel