Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Systeme und Menschen in Gefahr

Bei fast allen von uns gefundenen Wasserwerken war es möglich, Störungsmeldungen ohne besondere Authentifizierung zu quittieren, also mögliche Alarme auszuschalten. Einer der Betreiber schien es sich zudem besonders bequem zu machen, indem er mögliche Meldungen durch eine Zeitsteuerung automatisch morgendlich löschen ließ.

  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)

Die Steuerung des vierten gefundenen Wasserwerks ließ sich einer Gemeinde in Nord-Italien zuordnen. In Italien (Rom) fand sich zudem ein Steuerungssystem für ein sogenanntes Fernheizwerk. Auch deutsche und österreichische Heiz-, Blockheizkraftwerke und sogar Biogasanlagen waren im Internet zugänglich.

Anzeige

Anfällig für DDoS-Angriffe

Diese Anlagen ließen meist nur den Lesezugriff zu oder benötigten eine Authentifizierung. Doch auch über den bloßen Zugriff können die Dienste bereits durch DoS- oder DDoS-Attacken überfordert werden, weshalb ICS immer abgeschirmt vom Internet betrieben werden sollten.

Im Darknet lassen sich sogenannte Botnetze anmieten. Sie sind ein Verbund ferngesteuerter Rechner, mit denen millionenfache Anfragen an Webserver gestellt werden können. Da HMIs von Scada-Systemen meist nur für den lokalen Betrieb und wenige Anfragen eingesetzt werden, ist davon auszugehen, dass eine Ressourcenauslastung der Server und damit eine Nicht-Erreichbarkeit des Dienstes mit diesem Mittel in kurzer Zeit möglich wäre.

Zudem war die verwendete Steuerungssoftware in früheren Versionen bereits anfällig für DoS-Angriffe. Wenn Betreiber also nicht regelmäßig die Version prüfen und updaten - und das war bei einigen Systemen der Fall, die bei der Untersuchung gefunden wurden -, wäre ein Angriff möglich, mit im Web frei verfügbaren Exploits. Ein solches Vorgehen hätte bei Industrieanlagen verheerende Folgen, denn Anlagen könnten entweder komplett funktionsunfähig, nicht mehr steuerbar oder darüber hinaus massiv beschädigt werden.

Gefahr für Menschen

"Die beschriebenen Fälle bergen erhebliche Gefahren, das darf so nicht passieren", sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm dem Spiegel. "Das ist, als wenn Sie die Tür zu Ihrem Haus sperrangelweit offen stehen lassen". Selbst wenn es bei einigen Betreibern nach dieser ersten Eintrittschwelle möglicherweise weitere Türen gegeben habe, handle es sich um "gefährlichen Leichtsinn". Bereits 2014 beschrieb das BSI in seinem Bericht zur IT-Sicherheitslage in Deutschland solche Gefahrenlagen. Damals gelang es unbekannten Angreifern, die Steuerung eines Hochofens in einem deutschen Stahlwerk in einen nicht mehr definierten Zustand zu bringen, so dass dieser notabgeschaltet werden musste.

In solchen Fällen und bei unseren aktuellen Funden ist nicht nur die bloße Sicherheit der vorhandenen Systeme und Anlagen gefährdet (Security), sondern auch die Sicherheit für Menschen oder Anlagen in der Umgebung (Safety). Was für Gefahren dabei entstehen und wie weitreichend der Eingriff digitaler Systeme in die reale Welt ist, das zeigt anschaulich die bis vor einige Wochen noch ungewollt im öffentlichen Internet erreichbare Gebäudesteuerung eines Smart Buildings in Israel.

Bei dem Tower handelt es sich um Millionenprojekt in Israel, in dem auch exklusive Luxuswohnungen zu mieten sind. Der Zugriff auf das System zur Gebäudeautomatisierung war unzureichend gesichert - vermutlich war die Firewall falsch konfiguriert - und innerhalb der Applikation gab es logische Fehler. So war der Zugriff auf Funktionen ohne Authentifizierung möglich, was es jedem Internetnutzer ermöglichte, sich innerhalb der Verwaltungssoftware einen Account anzulegen und diesem Administrationsrechte zu verleihen.

 Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen InfrastrukturenTotale Kontrolle über einen Tower voller Luxuswohnungen 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. LEDVANCE GmbH, Garching bei München
  2. Simovative GmbH, München
  3. T-Systems International GmbH, Berlin, Leinfelden-Echterdingen, München, Wolfsburg, Bonn
  4. Deutsche Telekom AG, Bonn, Darmstadt


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. UEFI-Update

    Agesa 1004a lässt Ryzen-Boards schneller booten

  2. Sledgehammer Games

    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

  3. Mobilfunk

    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

  4. Privatsphäre

    Bildungsrechner spionieren Schüler aus

  5. Raumfahrt

    Chinesischer Raumfrachter Tanzhou 1 dockt an Raumstation an

  6. Die Woche im Video

    Kein Saft, kein Wumms, keine Argumente

  7. Windows 7 und 8

    Github-Nutzer schafft Freischaltung von neuen CPUs

  8. Whitelist umgehen

    Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

  9. Easy S und Easy M

    Vodafone stellt günstige Einsteigertarife ohne LTE vor

  10. UP2718Q

    Dell verkauft HDR10-Monitor ab Mai 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt
  1. Quantenmechanik Malen nach Zahlen für die weltbesten Mathematiker
  2. IBM Q Qubits as a Service
  3. Rechentechnik Ein Bauplan für einen Quantencomputer

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  2. Sportback Concept Audis zweiter E-tron ist ein Sportwagen
  3. Vision E Skoda will elektrisch überzeugen

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

  1. Re: Call of Battlefield ....

    PocketIsland | 13:56

  2. Re: Warum gelten automatische Andockmanöver als...

    nicoledos | 13:52

  3. Re: Sorry aber

    Bone Balboa | 13:50

  4. SAFTLADEN!! -kwt-

    Konfuzius Peng | 13:45

  5. Re: Bootzeit?

    Kletty | 13:45


  1. 12:40

  2. 11:55

  3. 15:19

  4. 13:40

  5. 11:00

  6. 09:03

  7. 18:01

  8. 17:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel