Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Massive Fehlkonfigurationen

Bei den Untersuchungen konnten wir feststellen, dass die meisten gefundenen Anlagen massiv fehlerhaft konfiguriert waren. Oftmals waren die Firewalls schlichtweg schlecht oder falsch eingestellt, so dass unter Ansprache bestimmter Ports Zugriff auf Applikationen möglich wurde. Darüber hinaus war eine transportverschlüsselte Verbindung mittels SSL/TLS (HTTPs) in den meisten Fällen (mehr als 80 Prozent) nicht eingerichtet. Selbst wenn die Erreichbarkeit des Systems über das Internet also vorgesehen wäre, könnten Angreifer im gleichen Netz mittels Sniffing den Netzwerkverkehr belauschen und diese Informationen nutzen, um Kontrolle über die Steuerungen zu übernehmen.

Anzeige

Es ist überraschend genug, dass solche Systeme sich überhaupt im Internet finden lassen, denn eigentlich sollten diese abgeschirmt betrieben werden. Schließlich handelte es sich mitunter um öffentliche und teilweise kritische Infrastrukturen, also besonders schützenswerte IT-Systeme.

Die Hersteller sollten handeln

Es ist zudem fraglich, ob der Hersteller gegenüber den Kunden eine gewisse Informationspflicht zu erfüllen hat, wie die Software bzw. Anlage sicher zu betreiben ist. In jedem Fall zeigt sich, dass mit den vorliegenden Informationen viele Betreiber oder sogar Reseller auf die zusätzliche Sicherung der Systeme verzichten. Vermutlich fehlt ein Bewusstsein für Sicherheit, woraus sich durchaus ein Handlungsbedarf für den Hersteller ableiten lässt.

  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)

Im April 2016 teilte der Hersteller der von uns untersuchten Systeme mit, dass ein Informationsdokument zu diesem Thema zurzeit in Bearbeitung sei und Mitte Mai zur Verfügung stehen werde. Auf erneute Anfrage Anfang Juni 2016 reagierte er nicht.

Auch bei vielen Systemen für das Internet of Things (IoT) zeigt sich, dass sich diese zwar sicher konfigurieren lassen, in der Standardeinstellung aber häufig ungesichert ausgeliefert werden, wie etwa das Zigbee-Türschloss. Bei der von uns untersuchten Software wird beispielsweise ein automatisches Port Binding an allen verfügbaren Netzwerkanschlüssen vorgenommen. Das bedeutet, sobald einer dieser Anschlüsse direkt in das Internet führt, dass die Applikation auch darüber abrufbar ist.

 Wer Sicherheitslücken findet, hat ProblemeWas getan werden muss 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. über Baumann Unternehmensberatung AG, Raum Dresden
  3. Dataport, Altenholz bei Kiel
  4. STAHLGRUBER GmbH, Poing


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 44,97€, Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. John Wick, The Hateful 8, Die Bestimmung, Fifty Shades of Grey, London Has Fallen)
  3. (u. a. Platoon, Erbarmungslos, Training Day, Spaceballs, Einsame Entscheidung)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  2. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  3. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  4. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  5. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  6. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  7. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  8. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  9. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  10. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Hannover Pavillons für die Sommer-Cebit sind schon ausgebucht
  2. Ab 2018 Cebit findet künftig im Sommer statt
  3. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: Der eigentliche Skandal ist ...

    Trockenobst | 16:46

  2. gael

    architeuthis_dux | 16:44

  3. Re: "dürften kaum die normalerweise fälligen 1...

    Yeeeeeeeeha | 16:42

  4. Re: Betonköpfe

    Apfelbrot | 16:39

  5. Re: Moment

    Trockenobst | 16:37


  1. 15:20

  2. 14:13

  3. 12:52

  4. 12:39

  5. 09:03

  6. 17:45

  7. 17:32

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel