Abo
  • IT-Karriere:

Auch sonstige IT-Infrastruktur ist verwundbar

Durch Portscans oder Shodan.io lässt sich herausfinden, dass einige der Anlagen unter derselben IP-Adresse und unter Angabe eines bestimmten Ports die Webpanel zur Administration von Routern zur Verfügung stellen. In einem Fall war der Router gänzlich ungeschützt vor Angreifern.

Stellenmarkt
  1. Stiftung ICP München, München
  2. über unternehmensberatung monika gräter, Raum Mühldorf / Inn

Denkbar wäre in einem solchen Fall beispielsweise, dass Angreifer den vorgesehenen Fernzugriff auf die Windanlage verhindern und Ransomware vom Betreiber für den Zugang erpressen. Das BSI erklärte auf Nachfrage von Golem.de: "Dem BSI sind keine Angriffe gegen Windkraftanlagen bekannt." Im Rahmen unserer Recherchen haben wir von Brancheninsidern allerdings erfahren, dass es solche Ransomware-Angriffe und ähnlich gelagerte Fälle bereits gab - in einigen Fällen wurde das Lösegeld bezahlt, damit die Anlage möglichst schnell wieder genutzt werden konnte.

Consumer-Hardware im Windpark

Bei einer anderen von uns aufgefundenen Anlage war ein Router des Modells Speedport W921V der Deutschen Telekom im Einsatz, der im vergangenen Jahr mutmaßlich auch der Schadsoftware Mirai zum Opfer gefallen ist. Der Fernzugriff auf die Administration und Überwachung dieser Anlage dürfte, als Mirai ihren Höhepunkt erreichte, zumindest über die Webapplikation, nicht möglich gewesen sein. Warum die Betreiber dieses Consumer-Produkt und nicht einen speziellen Industrierouter nutzen, ist offen. Doch verwundbare Router sind nicht das einzige Problem: Cyberkriminelle könnten auch unter Einsatz von Botnetzen gezielt DDoS-Attacken auf die Server der Windparks durchführen und würden so vermutlich einige Probleme verursachen. Meist sind diese Systeme von den Ressourcen her eher auf ein geringes Aufkommen an Anfragen ausgelegt. In einem solchen Fall wäre die Fernwartung mittels Webapplikation nicht möglich.

Was ist zu tun?

Für uns ist nach ausführlicher Beschäftigung mit dem Thema und den entsprechenden Systemen klar: Windparks gehören nicht mit solch vertraulichen Informationen in das öffentliche Internet, sondern sollten durch Site-2-Site-VPN-Lösungen unter dem Einsatz starker Verschlüsselung vom Internet abgeschirmt betrieben und fernadministriert werden.

Eine solche Lösung bietet auch der Hersteller Nordex an, offensichtlich sehen viele Betreiber jedoch davon ab, bei alten Anlagen Sicherheitspatches einzuspielen oder erneut in die Sicherheit der Infrastruktur zu investieren, vermutlich, um frühzeitig die Gewinnschwelle zu erreichen und somit das primäre Anliegen der Investoren zu befriedigen. Windparks haben Laufzeiten von bis zu 20 Jahren und kosten zunächst mehrere Millionen Euro.

Lösungen für einige der Probleme - Site-2-Site-VPN, sichere Verschlüsselung oder Sicherheitsupdates - könnten Anlagenbetreiber also problemlos von Nordex oder aus anderen Quellen beziehen, sie schrecken aber offenbar davor zurück - oder verfügen nicht über die notwendigen Kenntnisse, um die Probleme zu sehen. Konkrete Vorgaben für die IT-Sicherheit der Anlagen gibt es nach Aussage des BSI nicht, und auch die Abnehmer der Energie an den Handelsbörsen scheinen keine Vorgaben zu machen. Letztlich stehen die Besitzer der Anlagen also alleine da.

IT-Sicherheit wird nach wie vor nicht oder nur unzureichend in die Gesamtkalkulation eingepreist. Hier sollten gerade kleinere Betreiber von Windparks einen umfangreichen Empfehlungskatalog erhalten und zu entsprechenden Updates verpflichtet werden. Das bisherige undurchsichtige Netz aus Anlagenbetreibern, Eigentümern und den Herstellern der Anlagen verhindert oft eine klare Zuweisung der Verantwortlichkeit, was allerdings in der derzeitigen Form zum Schaden für die Allgemeinheit werden kann. Außerdem haben Behörden bislang offenbar wenig Durchgriffsrechte. Das BSI teilt auf Anfrage mit, dass erst "Anlagen zur Energieerzeugung ab 420 Megawatt" als kritische Infrastruktur definiert würden. Weiter heißt es: "Uns sind keine Gesetze bekannt, die die Einhaltung von IT-Sicherheitsstandards für Windkraftanlagen mit einer Nettonennleistung von unter 420 MW fordern."

Es ist unwahrscheinlich, dass wir die Ersten sind, die solche kritischen Systeme online aufgespürt haben. Gruppen und Dienste aus aller Welt werden ähnliche Vorgehen nutzen. Unsichere Verschlüsselung, veraltete Software und leicht erreichbare Systeme, die viele Informationen freigeben, ermöglichen ihnen dabei gezielte Angriffe - die es zu verhindern gilt, um ökonomische Schäden abzuwenden, aber auch, um das Funktionieren unserer Gesellschaft sicherzustellen und die Energiewende vor dem Scheitern zu bewahren.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und Verantwortliche ausgemacht werden.

 Zahlreiche weitere Sicherheitsrisiken
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Spiele-Angebote
  1. 34,99€
  2. 27,99€
  3. 2,49€
  4. 20,99€

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Die Commodore-264er-Reihe angesehen

Unschlagbar günstig, unfassbar wenig RAM - der C16 konnte in vielen Belangen nicht mit dem populären C64 mithalten.

Die Commodore-264er-Reihe angesehen Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. AT&T Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
  2. Netzausbau Städtebund-Chef will 5G-Antennen auf Kindergärten
  3. SK Telecom Deutsche Telekom will selbst 5G-Ausrüstung entwickeln

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    •  /