Abo
  • Services:

HTTPS ist nicht Standard

Nachdem wir durch die Google-Ergebnisse einen ersten Ansatzpunkt hatten, wollten wir uns genauer ansehen, ob Google tatsächlich alle direkt über IPv4 erreichbaren Windparks indexiert hat oder ob wir selbst in der Lage sind, noch zusätzliche Windparks auszumachen. Für diese Zwecke nutzten wir einen wöchentlichen Scan der University of Michigan und passten ein Such-Script an, das wir bereits für frühere Funde, etwa die von Wasserwerken im Internet, genutzt hatten. Insgesamt konnten wir so 218 Windfarm-Steuerungen ausmachen. Google waren davon bereits etwas weniger als die Hälfte der Systeme (104) bekannt.

Stellenmarkt
  1. über Dr. Heimeier & Partner, Management- und Personalberatung GmbH, Süddeutschland
  2. Kratzer Automation AG, verschiedene Standorte

Mit dem Titel der Webseiten und der Geo-IP-Information lassen sich die Anlagen genaueren Standorten zuordnen, auch wenn das Geo-IP-System nicht immer eindeutige Adressen liefert. Von den Anlagen befinden sich circa 20 in Deutschland. Der Großteil der Anlagen lässt sich im restlichen Europa (Frankreich, Vereinigtes Königreich, Dänemark) finden, allerdings gibt es auch Anlagen in den USA und Asien. Einigen konnte auf Grund mangelnder Informationen kein genauer Ort zugeordnet werden. Mittels Google Maps ließen sich viele der aufgefundenen Systeme in der Satellitenansicht von oben wiedererkennen. Hier ist beispielsweise ein Windpark in Behrendorf (Schleswig-Holstein) zu sehen. Die über Google Maps ermittelten Informationen können mit Daten, etwa zur Anzahl der Turbinen, aus der jeweilig zugehörigen Webapplikation überprüft werden.

Zahlreiche Informationen einsehbar

Das Bundesamt für Sicherheit in der Informationstechnik kritisiert die einfache Auffindbarkeit der Anlagen auf Anfrage von Golem.de: "Die Verfügbarkeit dieser Daten eröffnet zunächst keine direkten zusätzlichen Manipulationsmöglichkeiten. Dennoch werden im vorliegenden Fall unnötige zusätzliche Informationen (Firmwareversion, Betriebssystem, interne Prozessparameter [OPC]) preisgegeben, die Angreifern Vorteile verschaffen können." Dies könne "die Angriffsfläche erweitern", sei kritisch und daher abzustellen.

Nachdem wir alle für uns erreichbaren Nordex-Systeme ausgemacht hatten und sicher waren, dass es sich um echte Systeme handelt, wollten wir wissen, welche Informationen einsehbar sind und wie es um die Sicherheit der Systeme bestellt ist. Dazu haben wir uns zunächst einige Google-Ergebnisse näher angeschaut. Nach Aufruf der Webseiten erscheint ein Login, allerdings sind auch ohne Angabe der Logindaten in der oberen rechten Ecke der Webapplikation verschiedene Statistiken, etwa die Anzahl der Turbinen, das Datum der Inbetriebnahme, die durchschnittliche Windgeschwindigkeit und die produzierte Gesamtleistung einzusehen - aus unserer Sicht durchaus interessante Informationen für einen Angreifer, die in der Form nicht öffentlich abrufbar sein sollten, allerdings nicht extrem kritisch sind.

Kein verpflichtendes HTTPS

Wir konzentrierten uns fortan auf sicherheitskritischere Aspekte. Ein Blick in die Adresszeile überraschte: Der Webserver liefert die Webseite im Standard mittels HTTP und damit im Klartext aus. Die Übermittlung von Kennwörtern oder sonstigen Daten wäre durch einen Man-in-the-Middle-Angriff mitlesbar. Es ist überraschend, dass professionelle Anbieter nicht durchgängig HTTPS einsetzen - laut aktueller Statistik von Mozilla werden 50 Prozent des Webseitentraffics mittlerweile verschlüsselt.

Wir wollten wissen, ob HTTPS wenigstens als Alternative genutzt werden kann und forderten durch die Eingabe von "https" vor der IP Adresse eine verschlüsselte Verbindung zum Webserver an. Nach der Eingabe und dem anschließenden Druck auf Enter wurden wir erneut überrascht, denn die Seite ist weder mit Internet Explorer noch mit Mozilla Firefox abrufbar, stattdessen wird dort eine Warnung ausgegeben wie: "SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY". Da wir annahmen, dass dies ein bedauerlicher Einzelfall sei, versuchten wir es mit anderen IP-Adressen - leider mit dem gleichen Ergebnis. Der Webbrowser weist darauf hin, dass die vorliegende Verschlüsselung mittels SSL/TLS so unsicher ist, dass er die Webseite lieber nicht aufrufen möchte, und warnt deshalb aktiv davor.

Grund dafür sind die mangelhafte Schlüssellänge und die Verwendung von alten Cipher-Algorithmen (wie RC4). Dieser Hinweis lässt sich in modernen Webbrowsern nur mit Tricks und einem grundlegenden Eingriff in die Sicherheitsmechanismen abstellen, weil aktuelle Browser zurecht vor den Sicherheitsgefahren entsprechender Zertifikate warnen. Erst danach ist ein Aufruf der Webseiten möglich. Zu empfehlen ist das wegen Sicherheitsbedenken allerdings grundsätzlich nicht.

Wegen der alten Verschlüsselung sind die Systeme für zahlreiche bekannte Sicherheitslücken anfällig, wie weitere Tests zeigen.

 Energieversorgung: Windparks sind schlechter gesichert als E-Mail-KontenEin Zertifikat für fast alle Windräder 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. 284,90€ statt über 320€ im Vergleich (+ 50€ Rabatt bei 0%-Finanzierung und Gutschein: NAS-50)
  2. (u. a. Define R6 für 94,90€ + Versand, Zotac GeForce GTX 1080 Ti Blower für 639€ + Versand...
  3. (u. a. HP Omen 17.3" FHD mit i7-8750H/8 GB/128 GB + 1 TB/GTX 1050 Ti 4 GB für 1.049€ statt 1...
  4. (u. a. Creative Sound BlasterX Katana für 189,90€ + Versand statt 229,88€ im Vergleich und...

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Google Home Max im Test

Der Home Max ist Googles teuerster smarter Lautsprecher. Mit einem Preis von 400 Euro gehört er zu den teuersten smarten Lautsprechern am Markt. Der Home Max kann wahlweise im Hoch- oder Querformat verwendet werden und liefert einen guten Klang, schafft es aber nicht, sich den Rang der Klangreferenz zu erkämpfen. Dafür liegt der Home Max bei der Mikrofonleistung ganz vorne und gehört damit zu den besten Google-Assistant-Lautsprechern am Markt.

Google Home Max im Test Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
    Elektroroller-Verleih Coup
    Zum Laden in den Keller gehen

    Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
    Ein Bericht von Friedhelm Greis

    1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
    2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
    3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

      •  /