Abo
  • Services:

Resource Data Management: Kühlschränke lassen sich mit Passwort 1234 abschalten

Ein Hersteller von Kühlsystemen, die bei industriellen Kunden wie Supermärkten und Krankenhäusern zum Einsatz kommen, hat diese mit einem Standardpasswort ausgestattet. Sie lassen sich übers Internet steuern und abschalten. Der Hersteller sieht das Problem nicht bei sich.

Artikel veröffentlicht am , Hanno Böck
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist.
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist. (Bild: Hanno Böck)

Ein Mitarbeiter der Sicherheitsfirma Safety Detective hat Tausende Kühlsysteme gefunden, die sich mit dem Passwort 1234 steuern lassen. Die Produkte stammen von der US-Firma Resource Data Management.

Stellenmarkt
  1. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln
  2. Zentralinstitut für die kassenärztliche Versorgung, Berlin

Laut dem Bericht fanden sich mit der Suchmaschine Shodan über 7.000 mit dem Internet verbundene Produkte des Herstellers. Die Systeme lassen sich über ein Webinterface steuern. Zwar können Administratoren das Passwort ändern, dies sei aber, so Safety Detective, in den wenigsten Fällen passiert. Eine Funktion, die den Nutzer vor der Inbetriebnahme dazu zwingt, das Standardpasswort zu ändern, gibt es in den Geräten nicht.

Webinterface verrät Standort

Über das Webinterface lassen sich die Kühlsysteme nicht nur steuern, sie verraten offenbar auch sehr detailliert, wem die Systeme gehören und wo sie sich befinden. Sie zeigen auf Karten die jeweiligen Gebäude und die Standorte der Kühlsysteme an. Unter den Beispielen, die Safety Detective erwähnt, finden sich Kühlhäuser, Pharmafirmen, Krankenhäuser und Supermärkte. Auf einigen der Screenshots sind Buttons mit der Aufschrift Defrost zu sehen, damit könnte man also die Kühlsysteme abschalten und vermutlich große Schäden verursachen.

Der Hersteller zeigte offenbar wenig Interesse an dem Problem. Auf eine erste Anfrage von Safety Detective antwortete Resource Data Management offenbar mit einem Textbaustein: Man habe kein Interesse an den Services der Firma und man bitte darum, nicht mehr kontaktiert zu werden.

Nachdem Safety Detective mit dem Vorfall an die Öffentlichkeit ging, meldete sich der Kühlsystemhersteller erneut. Doch Resource Data Management sieht das Problem offenbar allein bei seinen Kunden: Diese müssen die Passwörter bei der Inbetriebnahme ändern.

Hersteller: Der Kunde ist schuld

Standardpasswörter führen immer wieder dazu, dass mit dem Internet verbundene Geräte massenhaft angegriffen werden. So basierte das Mirai-Botnetz, eines der bislang größten Botnetze aus Internet-of-Things-Geräten, großteils darauf, dass Geräte mit Standardaccounts übernommen wurden. In Kalifornien wurde im vergangenen Jahr ein Gesetz verabschiedet, welches den Verkauf von Geräten mit Standardpasswörtern verbietet. Die Regelung tritt aber erst 2020 in Kraft.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 4,99€
  3. 4,99€

Wolf_ 13. Feb 2019

Bei der Frage ob der Kunde schuld ist oder nicht, würde ich als IT Administrator sagen...

FreiGeistler 12. Feb 2019

Siehe Raubmordkopierer und Vorratsdatenspeicherung.

_spyro_88_ 12. Feb 2019

Der Hersteller hätte hier einiges besser machen können: - zufällige default-passwörter...

Xiut 12. Feb 2019

Ich finde da die Lösung wie bei einer Fritzbox besser. Es gibt ein zufälliges, sicheres...

SvD 12. Feb 2019

Jetzt stress' den Experten doch nicht mit Fakten, Argumenten und konkreten Nachfragen. :-)


Folgen Sie uns
       


Demo gegen Uploadfilter in Berlin - Bericht

Impressionen von der Demonstration am 23. März 2019 gegen die Uploadfilter in Berlin.

Demo gegen Uploadfilter in Berlin - Bericht Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

    •  /