Abo
  • Services:

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten

Windparks machen einen professionellen Eindruck, doch bei der IT-Sicherheit hapert es leider. Recherchen von Internetwache.org und Golem.de zeigen eine Menge Schwachstellen und ein Chaos bei der Zuständigkeit.

Artikel von Sebastian Neef und Tim Philipp Schäfers veröffentlicht am
Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

Windräder sind ein sichtbares Zeichen der Energiewende in Deutschland und auch deutsche Hersteller gelten als erfolgreiche Beispiele moderner Industriepolitik. Doch das heißt leider nicht, dass die professionell anmutenden Anlagen aktuellen Anforderungen an die IT-Sicherheit entsprechen. Internetwache.org und Golem.de haben durch eine monatelange Recherche herausgefunden, dass viele Anlagen über zahlreiche Schwachstellen angreifbar sind - und das Bewusstsein für IT-Sicherheit sowohl beim Hersteller als auch offenbar bei den Betreibern nicht besonders ausgeprägt ist. Zudem herrscht offenkundig ein Zuständigkeitschaos, das die klare Zuordnung von Verantwortung erschwert.

Exemplarisch dokumentieren wir die Probleme an Anlagen des Herstellers Nordex, den wir auch zu den von uns gefundenen Schwachstellen befragt haben. Schon mittels einfacher Google-Recherchen können detaillierte Informationen zu Windparks abgerufen werden, außerdem verwenden viele Geräte das gleiche Sicherheitszertifikat. Wer also eine Anlage kompromittiert, könnte zahlreiche andere übernehmen. Diese Mühe müssen sich Angreifer aber nicht einmal unbedingt machen. Denn die Kommunikation mit der Weboberfläche läuft bei vielen Anlagen standardmäßig unverschlüsselt ab.

Auch die Software auf den Anlagen ist nicht aktuell, darüber hinaus werden häufig Consumer-Router mit unzureichender Sicherheit eingesetzt, um die Anlagen mit dem Internet zu verbinden. Angreifer könnten Ransomware-Angriffe starten und die Windräder so lahmlegen, bis ein Lösegeld bezahlt wird. Geschieht dies in großem Umfang, könnte der Mangel an Kapazitäten zu Unregelmäßigkeiten im Stromnetz führen. Eine zielgenaue Abschaltung Hunderter Anlagen, wie sie in einem Hollywood-Hackerfilm vorstellbar wäre, ist nach unseren Recherchen aber immerhin nicht zu befürchten.

Nach unserer Anfrage verwies Nordex auf vorliegende Sicherheitsrichtlinien und darauf, dass sich das Unternehmen an die Gesetze halte. Ein Sprecher sagte: "Wir bitten weiterhin um Ihr Verständnis, dass wir detaillierte Aussagen über unsere internen Abläufe und Sicherheitsmechanismen bei der Anlagensteuerung bewusst nicht in der Öffentlichkeit treffen wollen. Details hierzu teilen wir ausschließlich mit unseren Kunden, Partnern und Sicherheitsexperten und unterliegen Vertraulichkeitsvereinbarungen." Unter IT-Experten wird eine solche Argumentation als "Security by Obscurity" bezeichnet. Empfehlenswert ist dieses Vorgehen nicht, weil davon ausgegangen wird, dass schon keiner so genau hinschauen wird und die Sicherheitsprobleme damit auf magische Weise verschwinden. Wir allerdings haben genau hingeschaut.

Wie wir die Schwachstellen gefunden haben

Stellenmarkt
  1. über duerenhoff GmbH, Raum Hamburg
  2. BWI GmbH, Berlin, München, Nürnberg, Rheinbach

Zunächst haben wir - wie auch zu Beginn vieler anderer Recherchen - einfach im Internet nach Herstellern aus der Branche gesucht. Nach einiger Zeit stößt man unserer Erfahrung nach so unweigerlich auf konkrete Produkte und teilweise auch auf Software. Im Rahmen unserer Recherche wurden wir auf verschiedene Hersteller aufmerksam, die auf ihrer Webseite sehr großzügig mit Informationen zu ihren Windrädern umgingen.

Zahlreiche der von uns gefundenen Anlagen stammen vom Hersteller Nordex. Die simple Suche nach den drei Wörtern "wind farm portal" lieferte zudem bereits einen Treffer mit der IP-Adresse einer Windanlage auf der ersten Suchseite in Google. Wie wir herausfanden, kann man sich mittels Suchfilter sogar auf einen Schlag alle Google bekannten Nordex-Wind-Farm-Portal-Systeme anzeigen lassen. Allein über Google finden wir so circa 100 Systeme, die augenscheinlich für die Administration von Windparks vorgesehen sind.

Warum Suchmaschinen diese Systeme überhaupt bekannt sind oder besser gesagt bekannt sein dürfen, ist fraglich, denn es hat für Betreiber wohl kaum einen Vorteil, wenn sich das Administrationsportal ihrer Windparks über Google finden lässt. Nordex hat uns auf Nachfragen zur Indexierung dazu Folgendes mitgeteilt: "Die Indexierung durch Suchmaschinen wird weitgehend durch den jeweiligen Betreiber bestimmt. Soweit Nordex hier Einfluss nehmen kann (z. B. durch Einsatz einer robots.txt), wird dies vorgenommen."

Auf 181 Systemen und damit auf einem absoluten Großteil der Systeme war keine robots.txt zu finden. Diese verhindert allerdings, anders als vielfach angenommen, auch gar nicht die Indexierung innerhalb von Google, sondern ausschließlich das Cachingverhalten. Zur Vermeidung der Indexierung innerhalb von Google wäre im vorliegenden Fall ein Noindex-Tag notwendig. Dabei muss der Quellcode modifiziert werden; dies obliegt unserer Kenntnis nach ausschließlich Nordex. Nicht alle Betreiber scheinen sich der Problematik übrigens überhaupt bewusst zu sein. Einige von ihnen zeigten sich auf Anfrage von Golem.de überrascht, dass ihre Anlagen im Netz auffindbar waren.

Doch die Anlagen bei Google zu finden, war nur der erste Schritt unserer Recherche.

HTTPS ist nicht Standard 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Cocktailmixer Hector 9000 ausprobiert

Wie funktioniert ein Cocktail-Mixer aus dem 3D-Drucker? Wir haben uns den Hector 9000 des Chaostreffs Recklinghausen mal vorführen lassen und ein bisschen nachgebaut.

Cocktailmixer Hector 9000 ausprobiert Video aufrufen
Far Cry New Dawn im Test: Die Apokalypse ist chaotisch, spaßig und hat Pay to Win
Far Cry New Dawn im Test
Die Apokalypse ist chaotisch, spaßig und hat Pay to Win

Grizzly frisst Bandit, Buggy rammt Grizzly: Far Cry New Dawn zeigt eine wunderbar chaotische Postapokalypse, die gerade bei der Geschichte und dem Schwierigkeitsgrad viel besser macht als der Vorgänger. Schade, dass die bunte Welt von Mikrotransaktionen getrübt wird.
Ein Test von Oliver Nickel

  1. Far Cry New Dawn angespielt Das gleiche Chaos im neuen Gewand
  2. New Dawn Ubisoft setzt Far Cry 5 postapokalyptisch fort

Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf

EU-Urheberrecht: Die verdorbene Reform
EU-Urheberrecht
Die verdorbene Reform

Mit dem Verhandlungsergebnis zur EU-Urheberrechtsrichtlinie ist eigentlich niemand zufrieden. Die Einführung von Leistungsschutzrecht und Uploadfiltern sollte daher komplett gestoppt werden.
Ein IMHO von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

    •  /