Abo
  • Services:

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten

Windparks machen einen professionellen Eindruck, doch bei der IT-Sicherheit hapert es leider. Recherchen von Internetwache.org und Golem.de zeigen eine Menge Schwachstellen und ein Chaos bei der Zuständigkeit.

Artikel von Sebastian Neef und Tim Philipp Schäfers veröffentlicht am
Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

Windräder sind ein sichtbares Zeichen der Energiewende in Deutschland und auch deutsche Hersteller gelten als erfolgreiche Beispiele moderner Industriepolitik. Doch das heißt leider nicht, dass die professionell anmutenden Anlagen aktuellen Anforderungen an die IT-Sicherheit entsprechen. Internetwache.org und Golem.de haben durch eine monatelange Recherche herausgefunden, dass viele Anlagen über zahlreiche Schwachstellen angreifbar sind - und das Bewusstsein für IT-Sicherheit sowohl beim Hersteller als auch offenbar bei den Betreibern nicht besonders ausgeprägt ist. Zudem herrscht offenkundig ein Zuständigkeitschaos, das die klare Zuordnung von Verantwortung erschwert.

Exemplarisch dokumentieren wir die Probleme an Anlagen des Herstellers Nordex, den wir auch zu den von uns gefundenen Schwachstellen befragt haben. Schon mittels einfacher Google-Recherchen können detaillierte Informationen zu Windparks abgerufen werden, außerdem verwenden viele Geräte das gleiche Sicherheitszertifikat. Wer also eine Anlage kompromittiert, könnte zahlreiche andere übernehmen. Diese Mühe müssen sich Angreifer aber nicht einmal unbedingt machen. Denn die Kommunikation mit der Weboberfläche läuft bei vielen Anlagen standardmäßig unverschlüsselt ab.

Auch die Software auf den Anlagen ist nicht aktuell, darüber hinaus werden häufig Consumer-Router mit unzureichender Sicherheit eingesetzt, um die Anlagen mit dem Internet zu verbinden. Angreifer könnten Ransomware-Angriffe starten und die Windräder so lahmlegen, bis ein Lösegeld bezahlt wird. Geschieht dies in großem Umfang, könnte der Mangel an Kapazitäten zu Unregelmäßigkeiten im Stromnetz führen. Eine zielgenaue Abschaltung Hunderter Anlagen, wie sie in einem Hollywood-Hackerfilm vorstellbar wäre, ist nach unseren Recherchen aber immerhin nicht zu befürchten.

Nach unserer Anfrage verwies Nordex auf vorliegende Sicherheitsrichtlinien und darauf, dass sich das Unternehmen an die Gesetze halte. Ein Sprecher sagte: "Wir bitten weiterhin um Ihr Verständnis, dass wir detaillierte Aussagen über unsere internen Abläufe und Sicherheitsmechanismen bei der Anlagensteuerung bewusst nicht in der Öffentlichkeit treffen wollen. Details hierzu teilen wir ausschließlich mit unseren Kunden, Partnern und Sicherheitsexperten und unterliegen Vertraulichkeitsvereinbarungen." Unter IT-Experten wird eine solche Argumentation als "Security by Obscurity" bezeichnet. Empfehlenswert ist dieses Vorgehen nicht, weil davon ausgegangen wird, dass schon keiner so genau hinschauen wird und die Sicherheitsprobleme damit auf magische Weise verschwinden. Wir allerdings haben genau hingeschaut.

Wie wir die Schwachstellen gefunden haben

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Zunächst haben wir - wie auch zu Beginn vieler anderer Recherchen - einfach im Internet nach Herstellern aus der Branche gesucht. Nach einiger Zeit stößt man unserer Erfahrung nach so unweigerlich auf konkrete Produkte und teilweise auch auf Software. Im Rahmen unserer Recherche wurden wir auf verschiedene Hersteller aufmerksam, die auf ihrer Webseite sehr großzügig mit Informationen zu ihren Windrädern umgingen.

Zahlreiche der von uns gefundenen Anlagen stammen vom Hersteller Nordex. Die simple Suche nach den drei Wörtern "wind farm portal" lieferte zudem bereits einen Treffer mit der IP-Adresse einer Windanlage auf der ersten Suchseite in Google. Wie wir herausfanden, kann man sich mittels Suchfilter sogar auf einen Schlag alle Google bekannten Nordex-Wind-Farm-Portal-Systeme anzeigen lassen. Allein über Google finden wir so circa 100 Systeme, die augenscheinlich für die Administration von Windparks vorgesehen sind.

Warum Suchmaschinen diese Systeme überhaupt bekannt sind oder besser gesagt bekannt sein dürfen, ist fraglich, denn es hat für Betreiber wohl kaum einen Vorteil, wenn sich das Administrationsportal ihrer Windparks über Google finden lässt. Nordex hat uns auf Nachfragen zur Indexierung dazu Folgendes mitgeteilt: "Die Indexierung durch Suchmaschinen wird weitgehend durch den jeweiligen Betreiber bestimmt. Soweit Nordex hier Einfluss nehmen kann (z. B. durch Einsatz einer robots.txt), wird dies vorgenommen."

Auf 181 Systemen und damit auf einem absoluten Großteil der Systeme war keine robots.txt zu finden. Diese verhindert allerdings, anders als vielfach angenommen, auch gar nicht die Indexierung innerhalb von Google, sondern ausschließlich das Cachingverhalten. Zur Vermeidung der Indexierung innerhalb von Google wäre im vorliegenden Fall ein Noindex-Tag notwendig. Dabei muss der Quellcode modifiziert werden; dies obliegt unserer Kenntnis nach ausschließlich Nordex. Nicht alle Betreiber scheinen sich der Problematik übrigens überhaupt bewusst zu sein. Einige von ihnen zeigten sich auf Anfrage von Golem.de überrascht, dass ihre Anlagen im Netz auffindbar waren.

Doch die Anlagen bei Google zu finden, war nur der erste Schritt unserer Recherche.

HTTPS ist nicht Standard 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Hardware-Angebote
  1. 1.299,00€
  2. 119,90€

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Geräuschunterdrückung Sony WH-1000 Serie im Vergleich

Sonys neuer ANC-Kopfhörer aus der WH-1000 Serie bringt eine nochmals verbesserte Geräuschunterdrückung. Wir haben das neue Modell WH-1000XM3 gegen das Vorgängermodell WH-1000XM2 antreten lassen. In leisen Umgebungen hat der WH-1000XM2 noch ein recht stark vernehmbares Grundrauschen, beim WH-1000XM3 gibt es das nicht mehr.

Geräuschunterdrückung Sony WH-1000 Serie im Vergleich Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

    •  /