Abo
  • Services:

Auch sonstige IT-Infrastruktur ist verwundbar

Durch Portscans oder Shodan.io lässt sich herausfinden, dass einige der Anlagen unter derselben IP-Adresse und unter Angabe eines bestimmten Ports die Webpanel zur Administration von Routern zur Verfügung stellen. In einem Fall war der Router gänzlich ungeschützt vor Angreifern.

Stellenmarkt
  1. Dataport, Verschiedene Standorte
  2. Dataport, verschiedene Standorte

Denkbar wäre in einem solchen Fall beispielsweise, dass Angreifer den vorgesehenen Fernzugriff auf die Windanlage verhindern und Ransomware vom Betreiber für den Zugang erpressen. Das BSI erklärte auf Nachfrage von Golem.de: "Dem BSI sind keine Angriffe gegen Windkraftanlagen bekannt." Im Rahmen unserer Recherchen haben wir von Brancheninsidern allerdings erfahren, dass es solche Ransomware-Angriffe und ähnlich gelagerte Fälle bereits gab - in einigen Fällen wurde das Lösegeld bezahlt, damit die Anlage möglichst schnell wieder genutzt werden konnte.

Consumer-Hardware im Windpark

Bei einer anderen von uns aufgefundenen Anlage war ein Router des Modells Speedport W921V der Deutschen Telekom im Einsatz, der im vergangenen Jahr mutmaßlich auch der Schadsoftware Mirai zum Opfer gefallen ist. Der Fernzugriff auf die Administration und Überwachung dieser Anlage dürfte, als Mirai ihren Höhepunkt erreichte, zumindest über die Webapplikation, nicht möglich gewesen sein. Warum die Betreiber dieses Consumer-Produkt und nicht einen speziellen Industrierouter nutzen, ist offen. Doch verwundbare Router sind nicht das einzige Problem: Cyberkriminelle könnten auch unter Einsatz von Botnetzen gezielt DDoS-Attacken auf die Server der Windparks durchführen und würden so vermutlich einige Probleme verursachen. Meist sind diese Systeme von den Ressourcen her eher auf ein geringes Aufkommen an Anfragen ausgelegt. In einem solchen Fall wäre die Fernwartung mittels Webapplikation nicht möglich.

Was ist zu tun?

Für uns ist nach ausführlicher Beschäftigung mit dem Thema und den entsprechenden Systemen klar: Windparks gehören nicht mit solch vertraulichen Informationen in das öffentliche Internet, sondern sollten durch Site-2-Site-VPN-Lösungen unter dem Einsatz starker Verschlüsselung vom Internet abgeschirmt betrieben und fernadministriert werden.

Eine solche Lösung bietet auch der Hersteller Nordex an, offensichtlich sehen viele Betreiber jedoch davon ab, bei alten Anlagen Sicherheitspatches einzuspielen oder erneut in die Sicherheit der Infrastruktur zu investieren, vermutlich, um frühzeitig die Gewinnschwelle zu erreichen und somit das primäre Anliegen der Investoren zu befriedigen. Windparks haben Laufzeiten von bis zu 20 Jahren und kosten zunächst mehrere Millionen Euro.

Lösungen für einige der Probleme - Site-2-Site-VPN, sichere Verschlüsselung oder Sicherheitsupdates - könnten Anlagenbetreiber also problemlos von Nordex oder aus anderen Quellen beziehen, sie schrecken aber offenbar davor zurück - oder verfügen nicht über die notwendigen Kenntnisse, um die Probleme zu sehen. Konkrete Vorgaben für die IT-Sicherheit der Anlagen gibt es nach Aussage des BSI nicht, und auch die Abnehmer der Energie an den Handelsbörsen scheinen keine Vorgaben zu machen. Letztlich stehen die Besitzer der Anlagen also alleine da.

IT-Sicherheit wird nach wie vor nicht oder nur unzureichend in die Gesamtkalkulation eingepreist. Hier sollten gerade kleinere Betreiber von Windparks einen umfangreichen Empfehlungskatalog erhalten und zu entsprechenden Updates verpflichtet werden. Das bisherige undurchsichtige Netz aus Anlagenbetreibern, Eigentümern und den Herstellern der Anlagen verhindert oft eine klare Zuweisung der Verantwortlichkeit, was allerdings in der derzeitigen Form zum Schaden für die Allgemeinheit werden kann. Außerdem haben Behörden bislang offenbar wenig Durchgriffsrechte. Das BSI teilt auf Anfrage mit, dass erst "Anlagen zur Energieerzeugung ab 420 Megawatt" als kritische Infrastruktur definiert würden. Weiter heißt es: "Uns sind keine Gesetze bekannt, die die Einhaltung von IT-Sicherheitsstandards für Windkraftanlagen mit einer Nettonennleistung von unter 420 MW fordern."

Es ist unwahrscheinlich, dass wir die Ersten sind, die solche kritischen Systeme online aufgespürt haben. Gruppen und Dienste aus aller Welt werden ähnliche Vorgehen nutzen. Unsichere Verschlüsselung, veraltete Software und leicht erreichbare Systeme, die viele Informationen freigeben, ermöglichen ihnen dabei gezielte Angriffe - die es zu verhindern gilt, um ökonomische Schäden abzuwenden, aber auch, um das Funktionieren unserer Gesellschaft sicherzustellen und die Energiewende vor dem Scheitern zu bewahren.

Internetwache.org wurde 2012 von Sebastian Neef und Tim Philipp Schäfers gegründet und ist ein Projekt, das sich mit der Sicherheit von Webapplikationen und IT-Systemen beschäftigt. Im Rahmen verschiedener Untersuchungen konnten bereits gravierende Sicherheitslücken behoben und Verantwortliche ausgemacht werden.

 Zahlreiche weitere Sicherheitsrisiken
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Anzeige
Hardware-Angebote
  1. 23,99€
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals bei Alternate.de

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Smartes Feuerzeug Slighter angesehen (CES 2019)

Das smarte Feuerzeug Slighter gibt Rauchern nicht immer Feuer.

Smartes Feuerzeug Slighter angesehen (CES 2019) Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten
Karma-Spyware
Wie US-Auftragsspione beliebige iPhones hackten

Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden.
Ein Bericht von Friedhelm Greis

  1. Update O2-Nutzer berichten über eSIM-Ausfälle beim iPhone
  2. Apple iPhone 11 soll Trio-Kamerasystem erhalten
  3. iPhone mit eSIM im Test Endlich Dual-SIM auf dem iPhone

    •  /