Es wird schon keiner die Baustelle hacken

Ein automatisches Logout nach einiger Zeit scheint nicht vorgesehen. Hier gehen die verantwortlichen Baustellenleiter beziehungsweise die IT-Verantwortlichen offenbar davon aus, dass ein Fernzugriff auf die Geräte nicht möglich ist, weil deren Elektronik am Ort der Baustelle in einem massiven Stahlkasten verwaltet wird und weil es keine öffentlich verfügbaren Links zu den Geräten gibt. Eine Fehlannahme. Das Unternehmen hat auf Nachfrage von Golem.de bislang nicht reagiert.

Unklar ist derzeit, ob die Ampelsysteme jeweils mit einem individuellen Login versehen sind oder Passwörter erneut genutzt werden. Auch, ob die Zugangsdaten ausgetauscht werden, bevor ein Gerät erneut vermietet wird, ist bislang unbekannt.

"So oder so: Die von uns gefundene Konfiguration der Ampelanlagen ist auf jeden Fall unsicher", sagte der IT-Sicherheitsforscher Sebastian Neef im Gespräch mit Golem.de "Sobald ein Nutzer eingeloggt ist, kann man den Zugriff übernehmen - und könnte die Ampeln aus der Ferne steuern. Der Hersteller sollte sich bewusst sein, dass die von ihm vermieteten Geräte ein wichtiger Teil der Infrastruktur sind, und daher angemessene Sicherungsmaßnahmen ergreifen, bekannte Sicherheitslücken schließen und regelmäßig Sicherheitsupdates einspielen."

Hersteller müssen Normen beachten

Die Hersteller der Geräte müssen, um für die Verwendung im Straßenverkehr zugelassen zu werden, Normen einhalten. Das derzeit gültige Rahmenwerk ist unter der Bezeichnung DIN EN 50556 VDE 0832-100:2011-09 bekannt und wird vom Verband der Elektrotechnik, Elektronik und Informationstechnik (VDE) mitentwickelt.

Der Hersteller bietet nicht nur die Ampelanlagen selbst an, sondern auch Software, mit der die Geräte konfiguriert werden können. Auch eine Integration in bestehende Ampelsysteme ist möglich und besonders in Städten sinnvoll, um die Ersatzampeln in den normalen Takt aufnehmen zu können.