• IT-Karriere:
  • Services:

Resource Data Management: Kühlschränke lassen sich mit Passwort 1234 abschalten

Ein Hersteller von Kühlsystemen, die bei industriellen Kunden wie Supermärkten und Krankenhäusern zum Einsatz kommen, hat diese mit einem Standardpasswort ausgestattet. Sie lassen sich übers Internet steuern und abschalten. Der Hersteller sieht das Problem nicht bei sich.

Artikel veröffentlicht am , Hanno Böck
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist.
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist. (Bild: Hanno Böck)

Ein Mitarbeiter der Sicherheitsfirma Safety Detective hat Tausende Kühlsysteme gefunden, die sich mit dem Passwort 1234 steuern lassen. Die Produkte stammen von der US-Firma Resource Data Management.

Stellenmarkt
  1. Webasto Group, Planegg bei München
  2. Stadtwerke Tübingen GmbH, Tübingen

Laut dem Bericht fanden sich mit der Suchmaschine Shodan über 7.000 mit dem Internet verbundene Produkte des Herstellers. Die Systeme lassen sich über ein Webinterface steuern. Zwar können Administratoren das Passwort ändern, dies sei aber, so Safety Detective, in den wenigsten Fällen passiert. Eine Funktion, die den Nutzer vor der Inbetriebnahme dazu zwingt, das Standardpasswort zu ändern, gibt es in den Geräten nicht.

Webinterface verrät Standort

Über das Webinterface lassen sich die Kühlsysteme nicht nur steuern, sie verraten offenbar auch sehr detailliert, wem die Systeme gehören und wo sie sich befinden. Sie zeigen auf Karten die jeweiligen Gebäude und die Standorte der Kühlsysteme an. Unter den Beispielen, die Safety Detective erwähnt, finden sich Kühlhäuser, Pharmafirmen, Krankenhäuser und Supermärkte. Auf einigen der Screenshots sind Buttons mit der Aufschrift Defrost zu sehen, damit könnte man also die Kühlsysteme abschalten und vermutlich große Schäden verursachen.

Der Hersteller zeigte offenbar wenig Interesse an dem Problem. Auf eine erste Anfrage von Safety Detective antwortete Resource Data Management offenbar mit einem Textbaustein: Man habe kein Interesse an den Services der Firma und man bitte darum, nicht mehr kontaktiert zu werden.

Nachdem Safety Detective mit dem Vorfall an die Öffentlichkeit ging, meldete sich der Kühlsystemhersteller erneut. Doch Resource Data Management sieht das Problem offenbar allein bei seinen Kunden: Diese müssen die Passwörter bei der Inbetriebnahme ändern.

Hersteller: Der Kunde ist schuld

Standardpasswörter führen immer wieder dazu, dass mit dem Internet verbundene Geräte massenhaft angegriffen werden. So basierte das Mirai-Botnetz, eines der bislang größten Botnetze aus Internet-of-Things-Geräten, großteils darauf, dass Geräte mit Standardaccounts übernommen wurden. In Kalifornien wurde im vergangenen Jahr ein Gesetz verabschiedet, welches den Verkauf von Geräten mit Standardpasswörtern verbietet. Die Regelung tritt aber erst 2020 in Kraft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 749€
  2. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)
  3. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)

Wolf_ 13. Feb 2019

Bei der Frage ob der Kunde schuld ist oder nicht, würde ich als IT Administrator sagen...

FreiGeistler 12. Feb 2019

Siehe Raubmordkopierer und Vorratsdatenspeicherung.

_spyro_88_ 12. Feb 2019

Der Hersteller hätte hier einiges besser machen können: - zufällige default-passwörter...

Xiut 12. Feb 2019

Ich finde da die Lösung wie bei einer Fritzbox besser. Es gibt ein zufälliges, sicheres...

SvD 12. Feb 2019

Jetzt stress' den Experten doch nicht mit Fakten, Argumenten und konkreten Nachfragen. :-)


Folgen Sie uns
       


Linux-Smartphone Pinephone im Test

Das Pinephone ist das erste echte Linux-Smartphone seit rund 5 Jahren und dazu noch von einer Community erstellt. Das ambitionierte Projekt scheitert letztlich aber an der Realität.

Linux-Smartphone Pinephone im Test Video aufrufen
iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

PC-Hardware: Warum Grafikkarten derzeit schlecht lieferbar sind
PC-Hardware
Warum Grafikkarten derzeit schlecht lieferbar sind

Eine RTX 3000 oder eine RX 6000 zu bekommen, ist schwierig: Eine hohe Nachfrage trifft auf Engpässe - ohne Entspannung in Sicht.
Eine Analyse von Marc Sauter

  1. Instinct MI100 AMDs erster CDNA-Beschleuniger ist extrem schnell
  2. Hardware-accelerated GPU Scheduling Besseres VRAM-Management unter Windows 10

Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

    •  /