Abo
  • IT-Karriere:

Resource Data Management: Kühlschränke lassen sich mit Passwort 1234 abschalten

Ein Hersteller von Kühlsystemen, die bei industriellen Kunden wie Supermärkten und Krankenhäusern zum Einsatz kommen, hat diese mit einem Standardpasswort ausgestattet. Sie lassen sich übers Internet steuern und abschalten. Der Hersteller sieht das Problem nicht bei sich.

Artikel veröffentlicht am , Hanno Böck
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist.
Dass 1234 kein sicheres Passwort ist, sollte klar sein, aber das Problem bei Geräten von Resource Data Management ist vor allem, dass dieses Passwort standardmäßig eingestellt ist. (Bild: Hanno Böck)

Ein Mitarbeiter der Sicherheitsfirma Safety Detective hat Tausende Kühlsysteme gefunden, die sich mit dem Passwort 1234 steuern lassen. Die Produkte stammen von der US-Firma Resource Data Management.

Stellenmarkt
  1. Computacenter AG & Co. oHG, verschiedene Standorte
  2. Universität Paderborn, Paderborn

Laut dem Bericht fanden sich mit der Suchmaschine Shodan über 7.000 mit dem Internet verbundene Produkte des Herstellers. Die Systeme lassen sich über ein Webinterface steuern. Zwar können Administratoren das Passwort ändern, dies sei aber, so Safety Detective, in den wenigsten Fällen passiert. Eine Funktion, die den Nutzer vor der Inbetriebnahme dazu zwingt, das Standardpasswort zu ändern, gibt es in den Geräten nicht.

Webinterface verrät Standort

Über das Webinterface lassen sich die Kühlsysteme nicht nur steuern, sie verraten offenbar auch sehr detailliert, wem die Systeme gehören und wo sie sich befinden. Sie zeigen auf Karten die jeweiligen Gebäude und die Standorte der Kühlsysteme an. Unter den Beispielen, die Safety Detective erwähnt, finden sich Kühlhäuser, Pharmafirmen, Krankenhäuser und Supermärkte. Auf einigen der Screenshots sind Buttons mit der Aufschrift Defrost zu sehen, damit könnte man also die Kühlsysteme abschalten und vermutlich große Schäden verursachen.

Der Hersteller zeigte offenbar wenig Interesse an dem Problem. Auf eine erste Anfrage von Safety Detective antwortete Resource Data Management offenbar mit einem Textbaustein: Man habe kein Interesse an den Services der Firma und man bitte darum, nicht mehr kontaktiert zu werden.

Nachdem Safety Detective mit dem Vorfall an die Öffentlichkeit ging, meldete sich der Kühlsystemhersteller erneut. Doch Resource Data Management sieht das Problem offenbar allein bei seinen Kunden: Diese müssen die Passwörter bei der Inbetriebnahme ändern.

Hersteller: Der Kunde ist schuld

Standardpasswörter führen immer wieder dazu, dass mit dem Internet verbundene Geräte massenhaft angegriffen werden. So basierte das Mirai-Botnetz, eines der bislang größten Botnetze aus Internet-of-Things-Geräten, großteils darauf, dass Geräte mit Standardaccounts übernommen wurden. In Kalifornien wurde im vergangenen Jahr ein Gesetz verabschiedet, welches den Verkauf von Geräten mit Standardpasswörtern verbietet. Die Regelung tritt aber erst 2020 in Kraft.



Anzeige
Spiele-Angebote
  1. 3,74€
  2. 50,99€
  3. 1,72€
  4. 4,32€

Wolf_ 13. Feb 2019

Bei der Frage ob der Kunde schuld ist oder nicht, würde ich als IT Administrator sagen...

FreiGeistler 12. Feb 2019

Siehe Raubmordkopierer und Vorratsdatenspeicherung.

_spyro_88_ 12. Feb 2019

Der Hersteller hätte hier einiges besser machen können: - zufällige default-passwörter...

Xiut 12. Feb 2019

Ich finde da die Lösung wie bei einer Fritzbox besser. Es gibt ein zufälliges, sicheres...

SvD 12. Feb 2019

Jetzt stress' den Experten doch nicht mit Fakten, Argumenten und konkreten Nachfragen. :-)


Folgen Sie uns
       


Doom 1 in der Doom 3 Engine angespielt

Doom Reborn benötigt eine Vollversion von Doom 3 und ist bei moddb.com kostenlos erhältlich. Die Mod wurde von Michael Hanlon entwickelt.

Doom 1 in der Doom 3 Engine angespielt Video aufrufen
Ursula von der Leyen: Von Zensursula zur EU-Kommissionspräsidentin
Ursula von der Leyen
Von "Zensursula" zur EU-Kommissionspräsidentin

Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.
Ein Bericht von Justus Staufburg

  1. Adsense for Search Neue Milliardenstrafe gegen Google in der EU

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

    •  /