Ampeln können über GSM-Netz ferngesteuert werden

Die Ampeln können an beliebiger Stelle aufgestellt werden. Um eine Fernsteuerung und Wartung zu ermöglichen, verfügen die Geräte über ein GSM-Modem. Darüber buchen sie sich in das Netz eines großen deutschen Providers ein. Der Hersteller bewirbt diese Features in seinen Prospekten, verspricht auch Ausfallmeldungen per E-Mail oder SMS, falls es zu Fehlern kommt.

Es gibt zwei Sicherheitsmechanismen, die die Ampel vor unbefugtem Zugriff schützen sollen - in der Theorie. Einmal das Login über eine Fernwartungssoftware und einmal ein Login, das den Zugriff auf die erweiterten Funktionen der Ampelsteuerung freigibt. Doch beide Sicherheitsmechanismen versagen in der Praxis - wegen alter Sicherheitslücken und weil die Mitarbeiter auf der Baustelle gängige Sicherheitspraxis oft nicht beachten.

Die Software der Ampeln läuft auf Windows CE. Für die Steuerung der Geräte ist eine Software zur Fernwartung installiert, die aber nur unzureichend abgesichert ist. Unter Ausnutzung einer viele Jahren alten Lücke kann dann das vorgesehene Login übergangen werden. Nutzer, die nach bestimmten Parametern im Netz scannen, können so auf die Oberfläche zugreifen.

Dabei gibt es zwei Zugriffsmodi: autorisiert und unautorisiert. Die bloße Einsicht in das Betriebssystem der Ampelanlagen ohne Login ermöglicht es bereits, die Einstellungen der Schaltungen, die eingestellten Zeitintervalle und weitere Informationen auszulesen. "Eine Steuerung der Anlagen ist in diesem Zustand unserer Kenntnis nach aber nicht möglich. Dazu bedarf es eines eingeloggten Benutzers", sagt Neef.

Die Nutzer sind oft dauerhaft eingeloggt

Genau einen solchen eingeloggten Nutzer haben die Sicherheitsexperten allerdings auf einigen Systemen ausmachen können. Damit sind die Folgen der unsicheren Konfiguration noch deutlich dramatischer. Verantwortlich ausprobieren lässt sich das mit Hinblick auf die Verkehrssicherheit bei Ampelanlagen natürlich nicht. Doch der Scan nach den Ampeln zeigte nach Auskunft der Sicherheitsforscher, dass zahlreiche Geräte in eingeloggtem Zustand am Netz hängen.

Für das Login wurde zumeist einer von zwei Standardaccountnamen genutzt - einmal ist das der Name des Herstellers, im anderen Fall handelt es sich um ein Standardlogin für den Verantwortlichen vor Ort -, immer mit dem gleichen Benutzernamen. "Die von uns beschrieben Benutzernamen sind die Standardeinstellung - grundsätzlich scheint es möglich, auch eigene Benutzer zu erstellen", sagt Sebastian Neef. "Während unserer Untersuchung haben wir jedoch nur die Standardnutzer gefunden."