Abo
  • Services:
Anzeige
Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

Ein Zertifikat für fast alle Windräder

Unsere Prüfung mittels verschiedener Onlinetools hat ergeben, dass Angriffe gegen die SSL/TLS-Verschlüsselung wie Poodle, Logjam und Freak allesamt bei der absoluten Mehrheit (über 90 Prozent) der Anlagen möglich sind. Immerhin: Einen Heartbleed konnten wir nicht entdecken. An dieser Stelle kommen wir dennoch zu dem Eindruck, dass selbst die Verbindung zu den meisten Webservern von großen E-Mail-Anbietern und damit die meisten E-Mail-Accounts besser abgesichert sind als die Administrationspanels von Windparks.

Anzeige

Der IT-Grundschutz des BSI enthält einen extra Maßnahmenkatalog zur Verwendung von SSL/TLS. Darüber hinaus hat das BSI einen definierten Mindeststandard zu TLS veröffentlicht. Die Windanlagen folgen keiner der Empfehlungen. Da es sich bei diesen allerdings nicht um Regelwerke oder Gesetze handelt, sondern um nicht verpflichtende IT-Sicherheitsstandards, liegt hier kein Verstoß vor. Das BSI erklärte uns dazu dennoch: "Allerdings sollten die von Ihnen genannten Sicherheitslücken auf einem am Internet angeschlossenen System behoben werden. Sowohl Hersteller als auch Betreiber sind dazu in der Verantwortung. Es wurden in dem beschriebenen Fall nicht alle Best Practices zum Einrichten befolgt."

One Certificate fits all

Uns hat neben der Anfälligkeit gegen Sicherheitslücken allerdings noch eine weitere Angelegenheit stutzig gemacht, denn ein Blick in die Zertifikatsinformationen verrät, dass nicht nur ein Großteil der Windparks alte Verschlüsselungsalgorithmen unterstützt, sondern es handelt sich bei fast allen Anlagen um das gleiche SSL/TLS-Zertifikat.

Um das genauer zu untersuchen, haben wir mit Hilfe eines Befehls sämtliche zuvor erhobenen IP-Adressen eingelesen und mittels Openssl ein Fingerprint des Zertifikats erzeugt. Die Informationen werden in einer Datei dokumentiert, wo sie zur weiteren Auswertung genutzt werden können. Das Ergebnis war, dass circa 90 Prozent den gleichen Fingerprint erzeugen, also das gleiche Zertifikat nutzen. Sollte das Zertifikat einer der betreffenden Anlagen kompromittiert sein, so wäre die Sicherheit der anderen Anlagen ebenfalls gefährdet. Dass so etwas nicht auf Dauer gutgehen kann, sollte klar sein. Die Problematik ist, wie auch bei den zuvor erwähnten Sicherheitslücken, in der Verschlüsselung seit Jahren bekannt, wurde mehrfach diskutiert und sollte gerade bei kritischen Industrieanlagen, die mit dem Internet verbunden sind, behoben werden.

Bislang haben wir betrachtet, wie man massenhaft Windanlagen simpel auffinden und von ihnen Informationen gewinnen kann und haben ihre SSL/TL-Sicherheit untersucht und grobe Verstöße gegen Best Practices gefunden. Damit haben wir unsere Analyse allerdings noch nicht abgeschlossen. Wir können noch deutlich weitergehen und etwa Portscans durchführen, HTTP-Header analysieren oder auf Erkenntnisse von Suchmaschinen wie Shodan.io zurückgreifen, um an Informationen zum Webserver, der Webapplikation und zur sonstigen Infrastruktur zu kommen.

 HTTPS ist nicht StandardZahlreiche weitere Sicherheitsrisiken 

eye home zur Startseite
Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³



Anzeige

Stellenmarkt
  1. State Street Bank International GmbH, München
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. State Street Global Exchange (Europe) GmbH, Frankfurt
  4. SBK Siemens-Betriebskrankenkasse, München


Anzeige
Spiele-Angebote
  1. für 4,99€ statt 19,99€
  2. 0,00€ USK 18
  3. 1,29€

Folgen Sie uns
       


  1. Microsoft

    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

  2. Fehler bei Zwei-Faktor-Authentifizierung

    Facebook will keine Benachrichtigungen per SMS schicken

  3. Europa-SPD

    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

  4. Carbon Copy Cloner

    APFS-Unterstützung wird wegen Datenverlustgefahr beschränkt

  5. Die Woche im Video

    Spezialeffekte und Spoiler

  6. Virtual RAN

    Telekom und Partner bauen Edge-Computing-Testnetz

  7. Basemental

    Mod erweitert Die Sims 4 um Drogen

  8. Verschlüsselung

    TLS 1.3 ist so gut wie fertig

  9. Colt Technology

    Mobilfunk ist Glasfaser mit Antennen

  10. Robotik

    Defekter Robonaut kommt zurück zur Erde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Krypto-Mining AMDs Threadripper schürft effizient Monero
  2. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet
  3. Pinnacle Ridge Asus aktualisiert Mainboard für Ryzen 2000

Dorothee Bär: Netzbetreiber werden über 100 MBit/s angeblich kaum los
Dorothee Bär
Netzbetreiber werden über 100 MBit/s angeblich kaum los
  1. FTTH/B Glasfaser wird in Deutschland besser nachgefragt
  2. Koalitionsvertrag fertig "Glasfaser möglichst direkt bis zum Haus"
  3. Glasfaser Telekom weitet FTTH-Pilotprojekt auf vier Orte aus

Hightech im Haushalt: Der Bügel-Battle fällt leider aus
Hightech im Haushalt
Der Bügel-Battle fällt leider aus
  1. Smart Home Hardwareteams von Nest und Google werden zusammengeführt
  2. Lingufino Sprachgesteuerter Kobold kuschelt auch mit Datenschützern
  3. Apple Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  1. Re: Geht doch auch mit alter Hardware...

    sidmos6581 | 06:46

  2. Re: Kupfer ist besser als eine Antenne

    wire-less | 06:41

  3. Re: Wasserstoff wäre billiger

    Bradolan | 06:21

  4. Re: Noch in den Kinderschuhen, aber sehr interessant.

    DAGEGEN | 04:38

  5. Re: neuer C64 statt C64 Mini

    gehtjanx | 04:36


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel