Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Massive Fehlkonfigurationen

Bei den Untersuchungen konnten wir feststellen, dass die meisten gefundenen Anlagen massiv fehlerhaft konfiguriert waren. Oftmals waren die Firewalls schlichtweg schlecht oder falsch eingestellt, so dass unter Ansprache bestimmter Ports Zugriff auf Applikationen möglich wurde. Darüber hinaus war eine transportverschlüsselte Verbindung mittels SSL/TLS (HTTPs) in den meisten Fällen (mehr als 80 Prozent) nicht eingerichtet. Selbst wenn die Erreichbarkeit des Systems über das Internet also vorgesehen wäre, könnten Angreifer im gleichen Netz mittels Sniffing den Netzwerkverkehr belauschen und diese Informationen nutzen, um Kontrolle über die Steuerungen zu übernehmen.

Anzeige

Es ist überraschend genug, dass solche Systeme sich überhaupt im Internet finden lassen, denn eigentlich sollten diese abgeschirmt betrieben werden. Schließlich handelte es sich mitunter um öffentliche und teilweise kritische Infrastrukturen, also besonders schützenswerte IT-Systeme.

Die Hersteller sollten handeln

Es ist zudem fraglich, ob der Hersteller gegenüber den Kunden eine gewisse Informationspflicht zu erfüllen hat, wie die Software bzw. Anlage sicher zu betreiben ist. In jedem Fall zeigt sich, dass mit den vorliegenden Informationen viele Betreiber oder sogar Reseller auf die zusätzliche Sicherung der Systeme verzichten. Vermutlich fehlt ein Bewusstsein für Sicherheit, woraus sich durchaus ein Handlungsbedarf für den Hersteller ableiten lässt.

  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)

Im April 2016 teilte der Hersteller der von uns untersuchten Systeme mit, dass ein Informationsdokument zu diesem Thema zurzeit in Bearbeitung sei und Mitte Mai zur Verfügung stehen werde. Auf erneute Anfrage Anfang Juni 2016 reagierte er nicht.

Auch bei vielen Systemen für das Internet of Things (IoT) zeigt sich, dass sich diese zwar sicher konfigurieren lassen, in der Standardeinstellung aber häufig ungesichert ausgeliefert werden, wie etwa das Zigbee-Türschloss. Bei der von uns untersuchten Software wird beispielsweise ein automatisches Port Binding an allen verfügbaren Netzwerkanschlüssen vorgenommen. Das bedeutet, sobald einer dieser Anschlüsse direkt in das Internet führt, dass die Applikation auch darüber abrufbar ist.

 Wer Sicherheitslücken findet, hat ProblemeWas getan werden muss 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. Veolia - ÖKOTEC Energie­manage­ment GmbH, Berlin
  2. Saacke GmbH, Bremen
  3. Helmsauer IT Solutions GmbH, Nürnberg
  4. Bundeskriminalamt, Wiesbaden


Anzeige
Top-Angebote
  1. (u. a. 480-GB-SSD 122,00€ (Vergleichspreis ab 137,24€), 16-GB-USB-Stick 6,99€, 64-GB-USB...
  2. 599,00€ statt 699,00€ (Versandkostenfrei)
  3. 49,00€ statt 59,99€

Folgen Sie uns
       


  1. Fake Filmstreaming

    Verbraucherschützer warnen vor betrügerischen Angeboten

  2. New Shepard

    Touristenrakete fliegt ersten Crashtest-Dummy ins All

  3. Playerunknown's Battlegrounds angespielt

    Pubg ist auf der Xbox One gelandet

  4. Pepsi bestellt

    Tesla bekommt Großauftrag für Elektro-Lkw

  5. Apple

    iMac Pro kommt am 14. Dezember

  6. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  7. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  8. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  9. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  10. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Steuerstreit Apple zahlt 13 Milliarden Euro an Irland
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
Dynamics 365
Microsoft verteilt privaten Schlüssel an alle Kunden
  1. Sysinternals-Werkzeug Microsoft stellt Procdump für Linux vor
  2. Microsoft Kollaboratives Whiteboard als Windows-10-Preview verfügbar
  3. Microsoft-Studie Kreative Frauen interessieren sich eher für IT und Mathe

  1. Re: Touristenrakete - wie abgehoben ist das denn?

    |=H | 10:17

  2. Re: Das Trumpbashing VS Obama Vergötterung

    Trollversteher | 10:16

  3. Re: Ego-Shooter auf Konsole???

    Der Gulp | 10:15

  4. Re: Die Deutschen:

    Azzuro | 10:14

  5. Re: "doppelt so viel als ..." - uahhh

    iha (Golem.de) | 10:12


  1. 09:41

  2. 09:10

  3. 08:59

  4. 07:33

  5. 07:14

  6. 18:40

  7. 17:11

  8. 16:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel