Auch sonstige IT-Infrastruktur ist verwundbar

Durch Portscans oder Shodan.io lässt sich herausfinden, dass einige der Anlagen unter derselben IP-Adresse und unter Angabe eines bestimmten Ports die Webpanel zur Administration von Routern zur Verfügung stellen. In einem Fall war der Router gänzlich ungeschützt vor Angreifern.

Stellenmarkt
  1. Teamleiter Technical IT Support (m/w/d)
    Hays AG, München
  2. Embedded Software Developer / Engineer (m/f/d)
    OTT Hydromet GmbH, Kempten
Detailsuche

Denkbar wäre in einem solchen Fall beispielsweise, dass Angreifer den vorgesehenen Fernzugriff auf die Windanlage verhindern und Ransomware vom Betreiber für den Zugang erpressen. Das BSI erklärte auf Nachfrage von Golem.de: "Dem BSI sind keine Angriffe gegen Windkraftanlagen bekannt." Im Rahmen unserer Recherchen haben wir von Brancheninsidern allerdings erfahren, dass es solche Ransomware-Angriffe und ähnlich gelagerte Fälle bereits gab - in einigen Fällen wurde das Lösegeld bezahlt, damit die Anlage möglichst schnell wieder genutzt werden konnte.

Consumer-Hardware im Windpark

Bei einer anderen von uns aufgefundenen Anlage war ein Router des Modells Speedport W921V der Deutschen Telekom im Einsatz, der im vergangenen Jahr mutmaßlich auch der Schadsoftware Mirai zum Opfer gefallen ist. Der Fernzugriff auf die Administration und Überwachung dieser Anlage dürfte, als Mirai ihren Höhepunkt erreichte, zumindest über die Webapplikation, nicht möglich gewesen sein. Warum die Betreiber dieses Consumer-Produkt und nicht einen speziellen Industrierouter nutzen, ist offen. Doch verwundbare Router sind nicht das einzige Problem: Cyberkriminelle könnten auch unter Einsatz von Botnetzen gezielt DDoS-Attacken auf die Server der Windparks durchführen und würden so vermutlich einige Probleme verursachen. Meist sind diese Systeme von den Ressourcen her eher auf ein geringes Aufkommen an Anfragen ausgelegt. In einem solchen Fall wäre die Fernwartung mittels Webapplikation nicht möglich.

Was ist zu tun?

Für uns ist nach ausführlicher Beschäftigung mit dem Thema und den entsprechenden Systemen klar: Windparks gehören nicht mit solch vertraulichen Informationen in das öffentliche Internet, sondern sollten durch Site-2-Site-VPN-Lösungen unter dem Einsatz starker Verschlüsselung vom Internet abgeschirmt betrieben und fernadministriert werden.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Eine solche Lösung bietet auch der Hersteller Nordex an, offensichtlich sehen viele Betreiber jedoch davon ab, bei alten Anlagen Sicherheitspatches einzuspielen oder erneut in die Sicherheit der Infrastruktur zu investieren, vermutlich, um frühzeitig die Gewinnschwelle zu erreichen und somit das primäre Anliegen der Investoren zu befriedigen. Windparks haben Laufzeiten von bis zu 20 Jahren und kosten zunächst mehrere Millionen Euro.

Lösungen für einige der Probleme - Site-2-Site-VPN, sichere Verschlüsselung oder Sicherheitsupdates - könnten Anlagenbetreiber also problemlos von Nordex oder aus anderen Quellen beziehen, sie schrecken aber offenbar davor zurück - oder verfügen nicht über die notwendigen Kenntnisse, um die Probleme zu sehen. Konkrete Vorgaben für die IT-Sicherheit der Anlagen gibt es nach Aussage des BSI nicht, und auch die Abnehmer der Energie an den Handelsbörsen scheinen keine Vorgaben zu machen. Letztlich stehen die Besitzer der Anlagen also alleine da.

IT-Sicherheit wird nach wie vor nicht oder nur unzureichend in die Gesamtkalkulation eingepreist. Hier sollten gerade kleinere Betreiber von Windparks einen umfangreichen Empfehlungskatalog erhalten und zu entsprechenden Updates verpflichtet werden. Das bisherige undurchsichtige Netz aus Anlagenbetreibern, Eigentümern und den Herstellern der Anlagen verhindert oft eine klare Zuweisung der Verantwortlichkeit, was allerdings in der derzeitigen Form zum Schaden für die Allgemeinheit werden kann. Außerdem haben Behörden bislang offenbar wenig Durchgriffsrechte. Das BSI teilt auf Anfrage mit, dass erst "Anlagen zur Energieerzeugung ab 420 Megawatt" als kritische Infrastruktur definiert würden. Weiter heißt es: "Uns sind keine Gesetze bekannt, die die Einhaltung von IT-Sicherheitsstandards für Windkraftanlagen mit einer Nettonennleistung von unter 420 MW fordern."

Es ist unwahrscheinlich, dass wir die Ersten sind, die solche kritischen Systeme online aufgespürt haben. Gruppen und Dienste aus aller Welt werden ähnliche Vorgehen nutzen. Unsichere Verschlüsselung, veraltete Software und leicht erreichbare Systeme, die viele Informationen freigeben, ermöglichen ihnen dabei gezielte Angriffe - die es zu verhindern gilt, um ökonomische Schäden abzuwenden, aber auch, um das Funktionieren unserer Gesellschaft sicherzustellen und die Energiewende vor dem Scheitern zu bewahren.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und Verantwortliche ausgemacht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Zahlreiche weitere Sicherheitsrisiken
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³



Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /