Abo
  • Services:
Anzeige
Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten

Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

Windparks machen einen professionellen Eindruck, doch bei der IT-Sicherheit hapert es leider. Recherchen von Internetwache.org und Golem.de zeigen eine Menge Schwachstellen und ein Chaos bei der Zuständigkeit.
Von Sebastian Neef und Tim Philipp Schäfers

Windräder sind ein sichtbares Zeichen der Energiewende in Deutschland und auch deutsche Hersteller gelten als erfolgreiche Beispiele moderner Industriepolitik. Doch das heißt leider nicht, dass die professionell anmutenden Anlagen aktuellen Anforderungen an die IT-Sicherheit entsprechen. Internetwache.org und Golem.de haben durch eine monatelange Recherche herausgefunden, dass viele Anlagen über zahlreiche Schwachstellen angreifbar sind - und das Bewusstsein für IT-Sicherheit sowohl beim Hersteller als auch offenbar bei den Betreibern nicht besonders ausgeprägt ist. Zudem herrscht offenkundig ein Zuständigkeitschaos, das die klare Zuordnung von Verantwortung erschwert.

Anzeige

Exemplarisch dokumentieren wir die Probleme an Anlagen des Herstellers Nordex, den wir auch zu den von uns gefundenen Schwachstellen befragt haben. Schon mittels einfacher Google-Recherchen können detaillierte Informationen zu Windparks abgerufen werden, außerdem verwenden viele Geräte das gleiche Sicherheitszertifikat. Wer also eine Anlage kompromittiert, könnte zahlreiche andere übernehmen. Diese Mühe müssen sich Angreifer aber nicht einmal unbedingt machen. Denn die Kommunikation mit der Weboberfläche läuft bei vielen Anlagen standardmäßig unverschlüsselt ab.

Auch die Software auf den Anlagen ist nicht aktuell, darüber hinaus werden häufig Consumer-Router mit unzureichender Sicherheit eingesetzt, um die Anlagen mit dem Internet zu verbinden. Angreifer könnten Ransomware-Angriffe starten und die Windräder so lahmlegen, bis ein Lösegeld bezahlt wird. Geschieht dies in großem Umfang, könnte der Mangel an Kapazitäten zu Unregelmäßigkeiten im Stromnetz führen. Eine zielgenaue Abschaltung Hunderter Anlagen, wie sie in einem Hollywood-Hackerfilm vorstellbar wäre, ist nach unseren Recherchen aber immerhin nicht zu befürchten.

Nach unserer Anfrage verwies Nordex auf vorliegende Sicherheitsrichtlinien und darauf, dass sich das Unternehmen an die Gesetze halte. Ein Sprecher sagte: "Wir bitten weiterhin um Ihr Verständnis, dass wir detaillierte Aussagen über unsere internen Abläufe und Sicherheitsmechanismen bei der Anlagensteuerung bewusst nicht in der Öffentlichkeit treffen wollen. Details hierzu teilen wir ausschließlich mit unseren Kunden, Partnern und Sicherheitsexperten und unterliegen Vertraulichkeitsvereinbarungen." Unter IT-Experten wird eine solche Argumentation als "Security by Obscurity" bezeichnet. Empfehlenswert ist dieses Vorgehen nicht, weil davon ausgegangen wird, dass schon keiner so genau hinschauen wird und die Sicherheitsprobleme damit auf magische Weise verschwinden. Wir allerdings haben genau hingeschaut.

Wie wir die Schwachstellen gefunden haben

Zunächst haben wir - wie auch zu Beginn vieler anderer Recherchen - einfach im Internet nach Herstellern aus der Branche gesucht. Nach einiger Zeit stößt man unserer Erfahrung nach so unweigerlich auf konkrete Produkte und teilweise auch auf Software. Im Rahmen unserer Recherche wurden wir auf verschiedene Hersteller aufmerksam, die auf ihrer Webseite sehr großzügig mit Informationen zu ihren Windrädern umgingen.

Zahlreiche der von uns gefundenen Anlagen stammen vom Hersteller Nordex. Die simple Suche nach den drei Wörtern "wind farm portal" lieferte zudem bereits einen Treffer mit der IP-Adresse einer Windanlage auf der ersten Suchseite in Google. Wie wir herausfanden, kann man sich mittels Suchfilter sogar auf einen Schlag alle Google bekannten Nordex-Wind-Farm-Portal-Systeme anzeigen lassen. Allein über Google finden wir so circa 100 Systeme, die augenscheinlich für die Administration von Windparks vorgesehen sind.

Warum Suchmaschinen diese Systeme überhaupt bekannt sind oder besser gesagt bekannt sein dürfen, ist fraglich, denn es hat für Betreiber wohl kaum einen Vorteil, wenn sich das Administrationsportal ihrer Windparks über Google finden lässt. Nordex hat uns auf Nachfragen zur Indexierung dazu Folgendes mitgeteilt: "Die Indexierung durch Suchmaschinen wird weitgehend durch den jeweiligen Betreiber bestimmt. Soweit Nordex hier Einfluss nehmen kann (z. B. durch Einsatz einer robots.txt), wird dies vorgenommen."

Auf 181 Systemen und damit auf einem absoluten Großteil der Systeme war keine robots.txt zu finden. Diese verhindert allerdings, anders als vielfach angenommen, auch gar nicht die Indexierung innerhalb von Google, sondern ausschließlich das Cachingverhalten. Zur Vermeidung der Indexierung innerhalb von Google wäre im vorliegenden Fall ein Noindex-Tag notwendig. Dabei muss der Quellcode modifiziert werden; dies obliegt unserer Kenntnis nach ausschließlich Nordex. Nicht alle Betreiber scheinen sich der Problematik übrigens überhaupt bewusst zu sein. Einige von ihnen zeigten sich auf Anfrage von Golem.de überrascht, dass ihre Anlagen im Netz auffindbar waren.

Doch die Anlagen bei Google zu finden, war nur der erste Schritt unserer Recherche.

HTTPS ist nicht Standard 

eye home zur Startseite
Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Themenstart

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

Themenstart

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

Themenstart

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

Themenstart

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, München
  2. Rohde & Schwarz GmbH & Co. KG, München
  3. Salzgitter Mannesmann Handel GmbH, Düsseldorf
  4. AVL List GmbH, Graz (Österreich)


Anzeige
Top-Angebote
  1. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  2. 349€ inkl. Abzug (Vergleichspreis 452€)
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€, Total War: WARHAMMER 16,99€ und Total War...

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

  1. Re: Wir ueberlegen seit langem den Kauf

    TrudleR | 23:18

  2. Re: Lumia 950 hat schon 1709...

    gaym0r | 23:07

  3. Re: Wieso hat die PARTEI keine absolute Mehrheit?

    Xar | 23:05

  4. Re: Wieviel Energie benötigt es, um von Europa...

    gaym0r | 23:04

  5. Re: mich freut es

    azeu | 23:04


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel