Abo
  • IT-Karriere:

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten

Windparks machen einen professionellen Eindruck, doch bei der IT-Sicherheit hapert es leider. Recherchen von Internetwache.org und Golem.de zeigen eine Menge Schwachstellen und ein Chaos bei der Zuständigkeit.

Artikel von Sebastian Neef und Tim Philipp Schäfers veröffentlicht am
Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

Windräder sind ein sichtbares Zeichen der Energiewende in Deutschland und auch deutsche Hersteller gelten als erfolgreiche Beispiele moderner Industriepolitik. Doch das heißt leider nicht, dass die professionell anmutenden Anlagen aktuellen Anforderungen an die IT-Sicherheit entsprechen. Internetwache.org und Golem.de haben durch eine monatelange Recherche herausgefunden, dass viele Anlagen über zahlreiche Schwachstellen angreifbar sind - und das Bewusstsein für IT-Sicherheit sowohl beim Hersteller als auch offenbar bei den Betreibern nicht besonders ausgeprägt ist. Zudem herrscht offenkundig ein Zuständigkeitschaos, das die klare Zuordnung von Verantwortung erschwert.

Exemplarisch dokumentieren wir die Probleme an Anlagen des Herstellers Nordex, den wir auch zu den von uns gefundenen Schwachstellen befragt haben. Schon mittels einfacher Google-Recherchen können detaillierte Informationen zu Windparks abgerufen werden, außerdem verwenden viele Geräte das gleiche Sicherheitszertifikat. Wer also eine Anlage kompromittiert, könnte zahlreiche andere übernehmen. Diese Mühe müssen sich Angreifer aber nicht einmal unbedingt machen. Denn die Kommunikation mit der Weboberfläche läuft bei vielen Anlagen standardmäßig unverschlüsselt ab.

Auch die Software auf den Anlagen ist nicht aktuell, darüber hinaus werden häufig Consumer-Router mit unzureichender Sicherheit eingesetzt, um die Anlagen mit dem Internet zu verbinden. Angreifer könnten Ransomware-Angriffe starten und die Windräder so lahmlegen, bis ein Lösegeld bezahlt wird. Geschieht dies in großem Umfang, könnte der Mangel an Kapazitäten zu Unregelmäßigkeiten im Stromnetz führen. Eine zielgenaue Abschaltung Hunderter Anlagen, wie sie in einem Hollywood-Hackerfilm vorstellbar wäre, ist nach unseren Recherchen aber immerhin nicht zu befürchten.

Nach unserer Anfrage verwies Nordex auf vorliegende Sicherheitsrichtlinien und darauf, dass sich das Unternehmen an die Gesetze halte. Ein Sprecher sagte: "Wir bitten weiterhin um Ihr Verständnis, dass wir detaillierte Aussagen über unsere internen Abläufe und Sicherheitsmechanismen bei der Anlagensteuerung bewusst nicht in der Öffentlichkeit treffen wollen. Details hierzu teilen wir ausschließlich mit unseren Kunden, Partnern und Sicherheitsexperten und unterliegen Vertraulichkeitsvereinbarungen." Unter IT-Experten wird eine solche Argumentation als "Security by Obscurity" bezeichnet. Empfehlenswert ist dieses Vorgehen nicht, weil davon ausgegangen wird, dass schon keiner so genau hinschauen wird und die Sicherheitsprobleme damit auf magische Weise verschwinden. Wir allerdings haben genau hingeschaut.

Wie wir die Schwachstellen gefunden haben

Stellenmarkt
  1. Landkreis Märkisch-Oderland, Seelow
  2. Universitätsmedizin Göttingen, Göttingen

Zunächst haben wir - wie auch zu Beginn vieler anderer Recherchen - einfach im Internet nach Herstellern aus der Branche gesucht. Nach einiger Zeit stößt man unserer Erfahrung nach so unweigerlich auf konkrete Produkte und teilweise auch auf Software. Im Rahmen unserer Recherche wurden wir auf verschiedene Hersteller aufmerksam, die auf ihrer Webseite sehr großzügig mit Informationen zu ihren Windrädern umgingen.

Zahlreiche der von uns gefundenen Anlagen stammen vom Hersteller Nordex. Die simple Suche nach den drei Wörtern "wind farm portal" lieferte zudem bereits einen Treffer mit der IP-Adresse einer Windanlage auf der ersten Suchseite in Google. Wie wir herausfanden, kann man sich mittels Suchfilter sogar auf einen Schlag alle Google bekannten Nordex-Wind-Farm-Portal-Systeme anzeigen lassen. Allein über Google finden wir so circa 100 Systeme, die augenscheinlich für die Administration von Windparks vorgesehen sind.

Warum Suchmaschinen diese Systeme überhaupt bekannt sind oder besser gesagt bekannt sein dürfen, ist fraglich, denn es hat für Betreiber wohl kaum einen Vorteil, wenn sich das Administrationsportal ihrer Windparks über Google finden lässt. Nordex hat uns auf Nachfragen zur Indexierung dazu Folgendes mitgeteilt: "Die Indexierung durch Suchmaschinen wird weitgehend durch den jeweiligen Betreiber bestimmt. Soweit Nordex hier Einfluss nehmen kann (z. B. durch Einsatz einer robots.txt), wird dies vorgenommen."

Auf 181 Systemen und damit auf einem absoluten Großteil der Systeme war keine robots.txt zu finden. Diese verhindert allerdings, anders als vielfach angenommen, auch gar nicht die Indexierung innerhalb von Google, sondern ausschließlich das Cachingverhalten. Zur Vermeidung der Indexierung innerhalb von Google wäre im vorliegenden Fall ein Noindex-Tag notwendig. Dabei muss der Quellcode modifiziert werden; dies obliegt unserer Kenntnis nach ausschließlich Nordex. Nicht alle Betreiber scheinen sich der Problematik übrigens überhaupt bewusst zu sein. Einige von ihnen zeigten sich auf Anfrage von Golem.de überrascht, dass ihre Anlagen im Netz auffindbar waren.

Doch die Anlagen bei Google zu finden, war nur der erste Schritt unserer Recherche.

HTTPS ist nicht Standard 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6.  


Anzeige
Top-Angebote
  1. 56€ (Bestpreis!)
  2. (u. a. 20% auf ausgewählte Monitore)
  3. (u. a. Sennheiser HD 4.50R für 99€)

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


SSD-Kompendium

Sie werden alle SSDs genannt und doch gibt es gravierende Unterschiede. Golem.de-Hardware-Redakteur Marc Sauter stellt die unterschiedlichen Formfaktoren vor, spricht über Protokolle, die Geschwindigkeit und den Preis.

SSD-Kompendium Video aufrufen
iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

    •  /