Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Systeme und Menschen in Gefahr

Bei fast allen von uns gefundenen Wasserwerken war es möglich, Störungsmeldungen ohne besondere Authentifizierung zu quittieren, also mögliche Alarme auszuschalten. Einer der Betreiber schien es sich zudem besonders bequem zu machen, indem er mögliche Meldungen durch eine Zeitsteuerung automatisch morgendlich löschen ließ.

  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)

Die Steuerung des vierten gefundenen Wasserwerks ließ sich einer Gemeinde in Nord-Italien zuordnen. In Italien (Rom) fand sich zudem ein Steuerungssystem für ein sogenanntes Fernheizwerk. Auch deutsche und österreichische Heiz-, Blockheizkraftwerke und sogar Biogasanlagen waren im Internet zugänglich.

Anzeige

Anfällig für DDoS-Angriffe

Diese Anlagen ließen meist nur den Lesezugriff zu oder benötigten eine Authentifizierung. Doch auch über den bloßen Zugriff können die Dienste bereits durch DoS- oder DDoS-Attacken überfordert werden, weshalb ICS immer abgeschirmt vom Internet betrieben werden sollten.

Im Darknet lassen sich sogenannte Botnetze anmieten. Sie sind ein Verbund ferngesteuerter Rechner, mit denen millionenfache Anfragen an Webserver gestellt werden können. Da HMIs von Scada-Systemen meist nur für den lokalen Betrieb und wenige Anfragen eingesetzt werden, ist davon auszugehen, dass eine Ressourcenauslastung der Server und damit eine Nicht-Erreichbarkeit des Dienstes mit diesem Mittel in kurzer Zeit möglich wäre.

Zudem war die verwendete Steuerungssoftware in früheren Versionen bereits anfällig für DoS-Angriffe. Wenn Betreiber also nicht regelmäßig die Version prüfen und updaten - und das war bei einigen Systemen der Fall, die bei der Untersuchung gefunden wurden -, wäre ein Angriff möglich, mit im Web frei verfügbaren Exploits. Ein solches Vorgehen hätte bei Industrieanlagen verheerende Folgen, denn Anlagen könnten entweder komplett funktionsunfähig, nicht mehr steuerbar oder darüber hinaus massiv beschädigt werden.

Gefahr für Menschen

"Die beschriebenen Fälle bergen erhebliche Gefahren, das darf so nicht passieren", sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm dem Spiegel. "Das ist, als wenn Sie die Tür zu Ihrem Haus sperrangelweit offen stehen lassen". Selbst wenn es bei einigen Betreibern nach dieser ersten Eintrittschwelle möglicherweise weitere Türen gegeben habe, handle es sich um "gefährlichen Leichtsinn". Bereits 2014 beschrieb das BSI in seinem Bericht zur IT-Sicherheitslage in Deutschland solche Gefahrenlagen. Damals gelang es unbekannten Angreifern, die Steuerung eines Hochofens in einem deutschen Stahlwerk in einen nicht mehr definierten Zustand zu bringen, so dass dieser notabgeschaltet werden musste.

In solchen Fällen und bei unseren aktuellen Funden ist nicht nur die bloße Sicherheit der vorhandenen Systeme und Anlagen gefährdet (Security), sondern auch die Sicherheit für Menschen oder Anlagen in der Umgebung (Safety). Was für Gefahren dabei entstehen und wie weitreichend der Eingriff digitaler Systeme in die reale Welt ist, das zeigt anschaulich die bis vor einige Wochen noch ungewollt im öffentlichen Internet erreichbare Gebäudesteuerung eines Smart Buildings in Israel.

Bei dem Tower handelt es sich um Millionenprojekt in Israel, in dem auch exklusive Luxuswohnungen zu mieten sind. Der Zugriff auf das System zur Gebäudeautomatisierung war unzureichend gesichert - vermutlich war die Firewall falsch konfiguriert - und innerhalb der Applikation gab es logische Fehler. So war der Zugriff auf Funktionen ohne Authentifizierung möglich, was es jedem Internetnutzer ermöglichte, sich innerhalb der Verwaltungssoftware einen Account anzulegen und diesem Administrationsrechte zu verleihen.

 Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen InfrastrukturenTotale Kontrolle über einen Tower voller Luxuswohnungen 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Bielefeld
  2. Vodafone GmbH, Düsseldorf
  3. Heraeus infosystems GmbH, Hanau
  4. Teambank AG, Nürnberg


Anzeige
Hardware-Angebote
  1. 1.499,00€

Folgen Sie uns
       


  1. Festnetz und Mobilfunk

    Telekom kämpft mit Zerstörungen durch den Orkan Friederike

  2. God of War

    Papa Kratos kämpft ab April 2018

  3. Domain

    Richard Gutjahr pfändet Compact-online.de

  4. Carsharing

    Drivenow und Car2Go wollen fusionieren

  5. Autonomes Fahren

    Alstom testet automatisierten Zugbetrieb

  6. Detectron

    Facebook gibt eigene Objekterkennung frei

  7. Mavic Air

    DJI präsentiert neuen Falt-Copter

  8. Apple

    Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  9. 860 Evo und 860 Pro

    Samsungs SSDs sind flotter und sparsamer

  10. Mozilla

    Firefox Quantum wird mit Version 58 noch schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. EU-Netzpolitik Mit vollen Hosen in die App-ocalypse
  2. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  3. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

  1. Re: SSD-Testergebnisse: thx! ergo merkt man kaum...

    itse | 04:30

  2. Re: Sie kriechen schon aus ihren Löchern...

    HerrMoser | 03:55

  3. Re: Das alte WiFi Grundproblem, die gesicherte...

    Pjörn | 03:49

  4. Re: der-stürmer.de als neue Domain?

    HerrMoser | 03:47

  5. Re: Dabei sind doch gerade die VTs zu dieser...

    HerrMoser | 03:44


  1. 18:19

  2. 18:08

  3. 17:53

  4. 17:42

  5. 17:33

  6. 17:27

  7. 17:14

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel