Ein Zertifikat für fast alle Windräder

Unsere Prüfung mittels verschiedener Onlinetools hat ergeben, dass Angriffe gegen die SSL/TLS-Verschlüsselung wie Poodle, Logjam und Freak allesamt bei der absoluten Mehrheit (über 90 Prozent) der Anlagen möglich sind. Immerhin: Einen Heartbleed konnten wir nicht entdecken. An dieser Stelle kommen wir dennoch zu dem Eindruck, dass selbst die Verbindung zu den meisten Webservern von großen E-Mail-Anbietern und damit die meisten E-Mail-Accounts besser abgesichert sind als die Administrationspanels von Windparks.

Stellenmarkt
  1. IT Support- und Digitalisierungsmanager(in) (w/m/d)
    Krone gebäudemanagment und technologie gmbh, Berlin
  2. IT-Recruiter (m/w/d)
    Cegeka Deutschland GmbH, Neu Isenburg, Köln
Detailsuche

Der IT-Grundschutz des BSI enthält einen extra Maßnahmenkatalog zur Verwendung von SSL/TLS. Darüber hinaus hat das BSI einen definierten Mindeststandard zu TLS veröffentlicht. Die Windanlagen folgen keiner der Empfehlungen. Da es sich bei diesen allerdings nicht um Regelwerke oder Gesetze handelt, sondern um nicht verpflichtende IT-Sicherheitsstandards, liegt hier kein Verstoß vor. Das BSI erklärte uns dazu dennoch: "Allerdings sollten die von Ihnen genannten Sicherheitslücken auf einem am Internet angeschlossenen System behoben werden. Sowohl Hersteller als auch Betreiber sind dazu in der Verantwortung. Es wurden in dem beschriebenen Fall nicht alle Best Practices zum Einrichten befolgt."

One Certificate fits all

Uns hat neben der Anfälligkeit gegen Sicherheitslücken allerdings noch eine weitere Angelegenheit stutzig gemacht, denn ein Blick in die Zertifikatsinformationen verrät, dass nicht nur ein Großteil der Windparks alte Verschlüsselungsalgorithmen unterstützt, sondern es handelt sich bei fast allen Anlagen um das gleiche SSL/TLS-Zertifikat.

Um das genauer zu untersuchen, haben wir mit Hilfe eines Befehls sämtliche zuvor erhobenen IP-Adressen eingelesen und mittels Openssl ein Fingerprint des Zertifikats erzeugt. Die Informationen werden in einer Datei dokumentiert, wo sie zur weiteren Auswertung genutzt werden können. Das Ergebnis war, dass circa 90 Prozent den gleichen Fingerprint erzeugen, also das gleiche Zertifikat nutzen. Sollte das Zertifikat einer der betreffenden Anlagen kompromittiert sein, so wäre die Sicherheit der anderen Anlagen ebenfalls gefährdet. Dass so etwas nicht auf Dauer gutgehen kann, sollte klar sein. Die Problematik ist, wie auch bei den zuvor erwähnten Sicherheitslücken, in der Verschlüsselung seit Jahren bekannt, wurde mehrfach diskutiert und sollte gerade bei kritischen Industrieanlagen, die mit dem Internet verbunden sind, behoben werden.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    14.–15. Oktober 2021, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    12.–13. Januar 2022, virtuell
Weitere IT-Trainings

Bislang haben wir betrachtet, wie man massenhaft Windanlagen simpel auffinden und von ihnen Informationen gewinnen kann und haben ihre SSL/TL-Sicherheit untersucht und grobe Verstöße gegen Best Practices gefunden. Damit haben wir unsere Analyse allerdings noch nicht abgeschlossen. Wir können noch deutlich weitergehen und etwa Portscans durchführen, HTTP-Header analysieren oder auf Erkenntnisse von Suchmaschinen wie Shodan.io zurückgreifen, um an Informationen zum Webserver, der Webapplikation und zur sonstigen Infrastruktur zu kommen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 HTTPS ist nicht StandardZahlreiche weitere Sicherheitsrisiken 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³



Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /