Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Totale Kontrolle über einen Tower voller Luxuswohnungen

Anschließend hatte ein Angreifer vollumfänglichen Zugriff auf die Funktionen der Gebäudeautomatisierung des Towers. Dieser Zugriff beinhaltet die Steuerung der Beleuchtung, die Bedienung von Frisch- und Abwasserpumpen, die Kontrolle der Klimaanlagen im gesamten Gebäude, den Zugriff auf den Sicherungskasten und sogar auf die Rauchmelder oder Temperaturmessgeräte der Poolanlagen. Kurzum: Es liegt eine totale Kontrolle über sämtliche smarte Bestandteile des Gebäudes vor. Die Bewohner wären somit einem bösartigen Angreifer schutzlos ausgeliefert.

Anzeige
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)

Der könnte beispielsweise mitten in der Nacht einen Blackout in die Wege leiten und hat dafür gleich zwei Möglichkeiten. Zum einen, da sich die Außenbeleuchtung des Towers an den Werten zum Sonnenaufgang und Sonnenuntergang orientieren und sich über das Webinterface einstellen lassen. Zum anderen, da eine Kontrolle über den Stromkasten möglich ist und somit Sicherungen per Mausklick ausgeschaltet werden könnten.

Mit Letzterem könnte man möglicherweise auch Fahrstühle oder Alarmanlagen deaktivieren. Zwar gibt es im Gebäude eine unterbrechungsfreie Stromversorgung (USV), allerdings ist auch der Zugriff auf diese über die erwähnte Applikation möglich. Über die Kontrolle der Klimaanlagen, also über Kühlung oder Hitze, ließen sich darüber hinaus weitere Angriffe auf die Bewohner des Gebäudes durchführen.

Durch die Beobachtung der Logdateien konnten wir feststellen, dass sich diese Applikation tatsächlich in aktiver Benutzung befindet. So ließ sich beispielsweise exakt erkennen, zu welcher Zeit ein Fehlalarm eines Rauchmelders vorlag und welcher Operator diese Störungsmeldung quittiert und vermutlich behoben hatte.

Ahnungslose Hausbesitzer

Neben dieser Applikation gab es einige weitere Fälle aus dem Bereich der Gebäudeautomatisierung. Diese gehörten zu Hotels, Smart Buildings und auch Smart Homes. Bei Letzteren gab es meist keinerlei Authentifizierung. Es ließen sich also Licht, Heizung oder Jalousien direkt per Webapplikation fernsteuern oder auch einfach nur beobachten, was in den jeweiligen Gebäuden vor sich ging.

Durch etwas Google-Recherche unter Verwendung der innerhalb der Applikation vorhandenen Informationen gelang es uns, ein Hotel und eines der Smart Homes exakt zuzuordnen. Bei dem Smart Home handelte sich um eine Ferienwohnung in Österreich, die für über 100 Euro pro Nacht zur Verfügung stand und auf einem Portal für Ferienwohnungen mit fünf Sternen gelistet wurde. Sofern ein Angreifer sich an der Steuerung zu schaffen gemacht hätte - es war Zugriff auf die Lichtsteuerung und Heizung möglich -, wäre das für die Gäste sicherlich ein unvergesslicher Urlaub geworden.

  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)

Es ist davon auszugehen, dass dem Besitzer des Hauses diese Gefahrenlage gar nicht bewusst war. Hausbesitzer nutzen vermutlich entweder die Applikation lokal, kennen den Fernzugriff gar nicht oder halten den Remote-Zugriff schlicht für bequem, ohne sich über Risiken durch Manipulation Gedanken zu machen.

 Systeme und Menschen in GefahrWie die angreifbaren Systeme gefunden wurden 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. diconium digital solutions GmbH, Stuttgart
  2. Weleda AG, Schwäbisch Gmünd
  3. GIGATRONIK Stuttgart GmbH, Stuttgart
  4. Verve Consulting GmbH, Köln


Anzeige
Top-Angebote
  1. (heute u. a. Samsung Galaxy S8 499,00€, PS4 inkl. FIFA 18 und 2 Controllern 279,00€)
  2. (heute u. a. reduzierte PS4-Bundles, Videospiele und Fernseher. Weitere Aktionen u. a. Echo Plus...

Folgen Sie uns
       


  1. SuperSignal

    Vodafone Deutschland schaltet Smart-Cells ab

  2. Top Gun 3D

    Mit VR-Headset kostenlos ins Kino

  3. Übernahme

    Marvell kauft Cavium für 6 Milliarden US-Dollar

  4. Wilhelm.tel

    Weiterer Kabelnetzbetreiber schaltet Analog-TV ab

  5. Grafiktreiber

    AMDs Display-Code in Linux-Kernel aufgenommen

  6. Oneplus 5T im Test

    Praktische Änderungen ohne Preiserhöhung

  7. Vito, Sprinter, Citan

    Mercedes bringt Lieferwagen als Elektrofahrzeuge heraus

  8. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  9. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  10. The Update Aquatic

    Minecraft bekommt Klötzchendelfine



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Astronomie Erster interstellarer Komet entdeckt
  2. Jaxa Japanische Forscher finden riesige Höhle im Mond
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Ideenzug: Der Nahverkehr soll cool werden
Ideenzug
Der Nahverkehr soll cool werden
  1. 3D-Printing Neues Druckverfahren sorgt für bruchfesteren Stahl
  2. Autonomes Fahren Bahn startet selbstfahrende Buslinie in Bayern
  3. Mobilitätsprojekt Ioki Bahn macht Sammeltaxi zum autonomen On-Demand-Shuttle

  1. Re: #CDU 22% | #SPD 19% | #AfD 16% | #FDP...

    Ipa | 03:52

  2. Re: mit 136 PS nur 155 Km/h?

    User_x | 03:00

  3. Valkyria Chronicles...

    IT-Kommentator | 02:50

  4. einen "deutschen" Macron ....

    pk_erchner | 02:21

  5. Verschenke meinen Oneplus 5T Invite mit 20¤ Rabatt

    TechnikMax | 02:06


  1. 17:26

  2. 17:02

  3. 16:21

  4. 15:59

  5. 15:28

  6. 15:00

  7. 13:46

  8. 12:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel