Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Massive Fehlkonfigurationen

Bei den Untersuchungen konnten wir feststellen, dass die meisten gefundenen Anlagen massiv fehlerhaft konfiguriert waren. Oftmals waren die Firewalls schlichtweg schlecht oder falsch eingestellt, so dass unter Ansprache bestimmter Ports Zugriff auf Applikationen möglich wurde. Darüber hinaus war eine transportverschlüsselte Verbindung mittels SSL/TLS (HTTPs) in den meisten Fällen (mehr als 80 Prozent) nicht eingerichtet. Selbst wenn die Erreichbarkeit des Systems über das Internet also vorgesehen wäre, könnten Angreifer im gleichen Netz mittels Sniffing den Netzwerkverkehr belauschen und diese Informationen nutzen, um Kontrolle über die Steuerungen zu übernehmen.

Anzeige

Es ist überraschend genug, dass solche Systeme sich überhaupt im Internet finden lassen, denn eigentlich sollten diese abgeschirmt betrieben werden. Schließlich handelte es sich mitunter um öffentliche und teilweise kritische Infrastrukturen, also besonders schützenswerte IT-Systeme.

Die Hersteller sollten handeln

Es ist zudem fraglich, ob der Hersteller gegenüber den Kunden eine gewisse Informationspflicht zu erfüllen hat, wie die Software bzw. Anlage sicher zu betreiben ist. In jedem Fall zeigt sich, dass mit den vorliegenden Informationen viele Betreiber oder sogar Reseller auf die zusätzliche Sicherung der Systeme verzichten. Vermutlich fehlt ein Bewusstsein für Sicherheit, woraus sich durchaus ein Handlungsbedarf für den Hersteller ableiten lässt.

  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)

Im April 2016 teilte der Hersteller der von uns untersuchten Systeme mit, dass ein Informationsdokument zu diesem Thema zurzeit in Bearbeitung sei und Mitte Mai zur Verfügung stehen werde. Auf erneute Anfrage Anfang Juni 2016 reagierte er nicht.

Auch bei vielen Systemen für das Internet of Things (IoT) zeigt sich, dass sich diese zwar sicher konfigurieren lassen, in der Standardeinstellung aber häufig ungesichert ausgeliefert werden, wie etwa das Zigbee-Türschloss. Bei der von uns untersuchten Software wird beispielsweise ein automatisches Port Binding an allen verfügbaren Netzwerkanschlüssen vorgenommen. Das bedeutet, sobald einer dieser Anschlüsse direkt in das Internet führt, dass die Applikation auch darüber abrufbar ist.

 Wer Sicherheitslücken findet, hat ProblemeWas getan werden muss 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Dortmund
  2. Landeshauptstadt München, München
  3. über human lead GmbH, Norddeutschland
  4. Daimler AG, Kirchheim unter Teck


Anzeige
Spiele-Angebote
  1. 1,99€
  2. (-75%) 4,99€
  3. 59,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Apple

    MacOS Sierra 10.12.4 mit Nachtschicht-Modus

  2. Apple

    iOS 10.3 in finaler Version erschienen

  3. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  4. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  5. Cryptowars

    "Kein geheimer Ort für Terroristen"

  6. Trello

    Atlassian setzt alles auf eine Karte

  7. Endless Runway

    Der Flughafen wird rund

  8. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  9. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  10. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Patentantrag Apple will iPhone ins Macbook stecken
  2. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  3. Instandsetzung Apple macht iPhone-Reparaturen teurer

Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Dieter Lauinger Minister fordert Gesetz gegen Hasskommentare noch vor Wahl
  2. Messenger Facebook sagt "Daumen runter"
  3. Let's Play Facebook ermöglicht Livevideos vom PC

  1. Re: Umweltschutz...

    Arkarit | 02:25

  2. Re: Die GPLv3 wird auch noch nicht juristisch...

    schily | 02:22

  3. Re: Gesetze sind für alle da

    HorkheimerAnders | 01:57

  4. Sand einfüllen

    1ras | 01:33

  5. Re: Nicht realisierbar

    Prinzeumel | 01:21


  1. 00:28

  2. 00:05

  3. 18:55

  4. 18:18

  5. 18:08

  6. 17:48

  7. 17:23

  8. 17:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel