Abo
  • Services:

Auch sonstige IT-Infrastruktur ist verwundbar

Durch Portscans oder Shodan.io lässt sich herausfinden, dass einige der Anlagen unter derselben IP-Adresse und unter Angabe eines bestimmten Ports die Webpanel zur Administration von Routern zur Verfügung stellen. In einem Fall war der Router gänzlich ungeschützt vor Angreifern.

Stellenmarkt
  1. Software AG, Darmstadt
  2. Hays AG, Darmstadt, Wiesbaden, Frankfurt

Denkbar wäre in einem solchen Fall beispielsweise, dass Angreifer den vorgesehenen Fernzugriff auf die Windanlage verhindern und Ransomware vom Betreiber für den Zugang erpressen. Das BSI erklärte auf Nachfrage von Golem.de: "Dem BSI sind keine Angriffe gegen Windkraftanlagen bekannt." Im Rahmen unserer Recherchen haben wir von Brancheninsidern allerdings erfahren, dass es solche Ransomware-Angriffe und ähnlich gelagerte Fälle bereits gab - in einigen Fällen wurde das Lösegeld bezahlt, damit die Anlage möglichst schnell wieder genutzt werden konnte.

Consumer-Hardware im Windpark

Bei einer anderen von uns aufgefundenen Anlage war ein Router des Modells Speedport W921V der Deutschen Telekom im Einsatz, der im vergangenen Jahr mutmaßlich auch der Schadsoftware Mirai zum Opfer gefallen ist. Der Fernzugriff auf die Administration und Überwachung dieser Anlage dürfte, als Mirai ihren Höhepunkt erreichte, zumindest über die Webapplikation, nicht möglich gewesen sein. Warum die Betreiber dieses Consumer-Produkt und nicht einen speziellen Industrierouter nutzen, ist offen. Doch verwundbare Router sind nicht das einzige Problem: Cyberkriminelle könnten auch unter Einsatz von Botnetzen gezielt DDoS-Attacken auf die Server der Windparks durchführen und würden so vermutlich einige Probleme verursachen. Meist sind diese Systeme von den Ressourcen her eher auf ein geringes Aufkommen an Anfragen ausgelegt. In einem solchen Fall wäre die Fernwartung mittels Webapplikation nicht möglich.

Was ist zu tun?

Für uns ist nach ausführlicher Beschäftigung mit dem Thema und den entsprechenden Systemen klar: Windparks gehören nicht mit solch vertraulichen Informationen in das öffentliche Internet, sondern sollten durch Site-2-Site-VPN-Lösungen unter dem Einsatz starker Verschlüsselung vom Internet abgeschirmt betrieben und fernadministriert werden.

Eine solche Lösung bietet auch der Hersteller Nordex an, offensichtlich sehen viele Betreiber jedoch davon ab, bei alten Anlagen Sicherheitspatches einzuspielen oder erneut in die Sicherheit der Infrastruktur zu investieren, vermutlich, um frühzeitig die Gewinnschwelle zu erreichen und somit das primäre Anliegen der Investoren zu befriedigen. Windparks haben Laufzeiten von bis zu 20 Jahren und kosten zunächst mehrere Millionen Euro.

Lösungen für einige der Probleme - Site-2-Site-VPN, sichere Verschlüsselung oder Sicherheitsupdates - könnten Anlagenbetreiber also problemlos von Nordex oder aus anderen Quellen beziehen, sie schrecken aber offenbar davor zurück - oder verfügen nicht über die notwendigen Kenntnisse, um die Probleme zu sehen. Konkrete Vorgaben für die IT-Sicherheit der Anlagen gibt es nach Aussage des BSI nicht, und auch die Abnehmer der Energie an den Handelsbörsen scheinen keine Vorgaben zu machen. Letztlich stehen die Besitzer der Anlagen also alleine da.

IT-Sicherheit wird nach wie vor nicht oder nur unzureichend in die Gesamtkalkulation eingepreist. Hier sollten gerade kleinere Betreiber von Windparks einen umfangreichen Empfehlungskatalog erhalten und zu entsprechenden Updates verpflichtet werden. Das bisherige undurchsichtige Netz aus Anlagenbetreibern, Eigentümern und den Herstellern der Anlagen verhindert oft eine klare Zuweisung der Verantwortlichkeit, was allerdings in der derzeitigen Form zum Schaden für die Allgemeinheit werden kann. Außerdem haben Behörden bislang offenbar wenig Durchgriffsrechte. Das BSI teilt auf Anfrage mit, dass erst "Anlagen zur Energieerzeugung ab 420 Megawatt" als kritische Infrastruktur definiert würden. Weiter heißt es: "Uns sind keine Gesetze bekannt, die die Einhaltung von IT-Sicherheitsstandards für Windkraftanlagen mit einer Nettonennleistung von unter 420 MW fordern."

Es ist unwahrscheinlich, dass wir die Ersten sind, die solche kritischen Systeme online aufgespürt haben. Gruppen und Dienste aus aller Welt werden ähnliche Vorgehen nutzen. Unsichere Verschlüsselung, veraltete Software und leicht erreichbare Systeme, die viele Informationen freigeben, ermöglichen ihnen dabei gezielte Angriffe - die es zu verhindern gilt, um ökonomische Schäden abzuwenden, aber auch, um das Funktionieren unserer Gesellschaft sicherzustellen und die Energiewende vor dem Scheitern zu bewahren.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und Verantwortliche ausgemacht werden.

 Zahlreiche weitere Sicherheitsrisiken
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
Zu den Kommentaren springen
Meistgelesen
  1. Autonomes Fahren
    Wer kotzt als Erstes in den Waymo?
  2. Erazer X6805
    Aldi-Gaming-Laptop von Medion kommt mit 32 GByte RAM
  3. Mate 20 Pro im Test
    Das Qi-Ladepad mit drei Kameras
  4. Fertigungsprozess
    Intel soll 10-nm-Node eingestampft haben
  5. Eve Online
    Raumschiffe in der Glitzerstadt
Anzeige
Spiele-Angebote
  1. (-43%) 11,49€
  2. (-79%) 7,77€
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. (-78%) 2,22€
Kommentarübersicht
Re: Gesetzlich einen CSO verpflichtend machen
Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Re: Security by Obscurity
Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

Kritische Systeme haben nichts am Internet verloren
StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

Re: autsch
ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

Kommt mal alle wieder runter !
ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³

Folgen Sie uns
       
Assassin's Creed Odyssey - Test

Wir hätten nicht gedacht, dass wir erneut so gerne so viel Zeit in Ubisofts Antike verbringen.

Assassin's Creed Odyssey - Test Video aufrufen
5G
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Bundesnetzagentur Regierung will gemeinsames 5G-Netz auf dem Land durchsetzen
  2. Mobilfunk Telekom will 5G-Infrastruktur mit anderen gemeinsam nutzen
  3. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
Kindle Paperwhite
Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski

    Tesla Model 3
    Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
    Probefahrt mit Tesla Model 3
    Wie auf Schienen übers Golden Gate

    Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
    Ein Erfahrungsbericht von Friedhelm Greis

    1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
    2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
    3. Elektroauto Produktionsziel des Tesla Model 3 erreicht
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /