Abo
  • IT-Karriere:

Systeme und Menschen in Gefahr

Bei fast allen von uns gefundenen Wasserwerken war es möglich, Störungsmeldungen ohne besondere Authentifizierung zu quittieren, also mögliche Alarme auszuschalten. Einer der Betreiber schien es sich zudem besonders bequem zu machen, indem er mögliche Meldungen durch eine Zeitsteuerung automatisch morgendlich löschen ließ.

  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Stadt Nürtingen, Nürtingen

Die Steuerung des vierten gefundenen Wasserwerks ließ sich einer Gemeinde in Nord-Italien zuordnen. In Italien (Rom) fand sich zudem ein Steuerungssystem für ein sogenanntes Fernheizwerk. Auch deutsche und österreichische Heiz-, Blockheizkraftwerke und sogar Biogasanlagen waren im Internet zugänglich.

Anfällig für DDoS-Angriffe

Diese Anlagen ließen meist nur den Lesezugriff zu oder benötigten eine Authentifizierung. Doch auch über den bloßen Zugriff können die Dienste bereits durch DoS- oder DDoS-Attacken überfordert werden, weshalb ICS immer abgeschirmt vom Internet betrieben werden sollten.

Im Darknet lassen sich sogenannte Botnetze anmieten. Sie sind ein Verbund ferngesteuerter Rechner, mit denen millionenfache Anfragen an Webserver gestellt werden können. Da HMIs von Scada-Systemen meist nur für den lokalen Betrieb und wenige Anfragen eingesetzt werden, ist davon auszugehen, dass eine Ressourcenauslastung der Server und damit eine Nicht-Erreichbarkeit des Dienstes mit diesem Mittel in kurzer Zeit möglich wäre.

Zudem war die verwendete Steuerungssoftware in früheren Versionen bereits anfällig für DoS-Angriffe. Wenn Betreiber also nicht regelmäßig die Version prüfen und updaten - und das war bei einigen Systemen der Fall, die bei der Untersuchung gefunden wurden -, wäre ein Angriff möglich, mit im Web frei verfügbaren Exploits. Ein solches Vorgehen hätte bei Industrieanlagen verheerende Folgen, denn Anlagen könnten entweder komplett funktionsunfähig, nicht mehr steuerbar oder darüber hinaus massiv beschädigt werden.

Gefahr für Menschen

"Die beschriebenen Fälle bergen erhebliche Gefahren, das darf so nicht passieren", sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm dem Spiegel. "Das ist, als wenn Sie die Tür zu Ihrem Haus sperrangelweit offen stehen lassen". Selbst wenn es bei einigen Betreibern nach dieser ersten Eintrittschwelle möglicherweise weitere Türen gegeben habe, handle es sich um "gefährlichen Leichtsinn". Bereits 2014 beschrieb das BSI in seinem Bericht zur IT-Sicherheitslage in Deutschland solche Gefahrenlagen. Damals gelang es unbekannten Angreifern, die Steuerung eines Hochofens in einem deutschen Stahlwerk in einen nicht mehr definierten Zustand zu bringen, so dass dieser notabgeschaltet werden musste.

In solchen Fällen und bei unseren aktuellen Funden ist nicht nur die bloße Sicherheit der vorhandenen Systeme und Anlagen gefährdet (Security), sondern auch die Sicherheit für Menschen oder Anlagen in der Umgebung (Safety). Was für Gefahren dabei entstehen und wie weitreichend der Eingriff digitaler Systeme in die reale Welt ist, das zeigt anschaulich die bis vor einige Wochen noch ungewollt im öffentlichen Internet erreichbare Gebäudesteuerung eines Smart Buildings in Israel.

Bei dem Tower handelt es sich um Millionenprojekt in Israel, in dem auch exklusive Luxuswohnungen zu mieten sind. Der Zugriff auf das System zur Gebäudeautomatisierung war unzureichend gesichert - vermutlich war die Firewall falsch konfiguriert - und innerhalb der Applikation gab es logische Fehler. So war der Zugriff auf Funktionen ohne Authentifizierung möglich, was es jedem Internetnutzer ermöglichte, sich innerhalb der Verwaltungssoftware einen Account anzulegen und diesem Administrationsrechte zu verleihen.

 Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen InfrastrukturenTotale Kontrolle über einen Tower voller Luxuswohnungen 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Anzeige
Spiele-Angebote
  1. (-80%) 6,99€
  2. 229,00€
  3. 4,31€

Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt


Folgen Sie uns
       


World of Warcraft Classic angespielt

Spielen wie zur Anfangszeit von World of Warcraft: Golem.de ist in WoW Classic durch die Fantasywelt Azeroth gezogen und hat sich mit Kobolden und Bergpumas angelegt.

World of Warcraft Classic angespielt Video aufrufen
IAA 2019: PS-Wahn statt Visionen
IAA 2019
PS-Wahn statt Visionen

IAA 2019 Alle Autobosse bekennen sich auf der IAA zur Nachhaltigkeit, doch auf den Ständen findet man weiterhin viele große, spritfressende Modelle. Dabei stellt sich die grundsätzliche Frage: Ist das Konzept der Automesse noch zeitgemäß?
Eine Analyse von Dirk Kunde


    Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
    Innovationen auf der IAA
    Vom Abbiegeassistenten bis zum Solarglasdach

    IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
    Ein Bericht von Dirk Kunde

    1. E-Auto Byton zeigt die Produktionsversion des M-Byte

    Umwelt: Grüne Energie aus der Toilette
    Umwelt
    Grüne Energie aus der Toilette

    In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
    Von Monika Rößiger

    1. Fridays for Future Klimastreiks online und offline

      •  /