1. HOME
  2. NACHHALTIGKEIT
  3. VERNETZUNG

© wikipedia Daniel Fauland
© wikipedia Daniel Fauland

31C3: Industrieanlagen sind nur mangelhaft vor Angriffen gesichert

Die Sicherheit von Industrieanlagen wird oft beschworen, die Praxis lässt aber viel zu wünschen übrig.

Beim CCC-Congress in Hamburg zeigten Hacker, wie man Industrieanlagen lahmlegen und Millionenschäden verursachen kann.

Solaranlagen am Netz

In ihrem Vortrag in Hamburg beschäftigten sich Sergey Gordeychik und Aleksandr Timorin mit verteilten Energieanlagen im Netz. So fanden sie über einfache Scans fast eine Million Solar- und Windanlagen, deren Webinterfaces gar von Google indiziert worden waren. Noch schlimmer: Zwar waren die Steuerinterfaces passwortgesichert, doch wer die genauen URLs wusste, konnte sich auch ohne Passwort die Backup-Dateien des Systems herunterladen und dort die Zugangsdaten auslesen.

Bei anderen Systemen fanden die Forscher ein ganzes Horrorkabinett von Sicherheitslücken: einfach überschreibbare Firmware, hardgecodete Developer-Passwörter, Webserver, die für mehr als zehn Jahre alte Exploits anfällig waren. Selbst Hinweise an die Hersteller verbesserten die Situation nicht immer: So updatete ein Hersteller auf eine OpenSSL-Version, die für Heartbleed anfällig war. Ein anderer ersetzte ein hardgecodedetes Passwort schlichtweg durch ein anderes, das genauso einfach ausgelesen werden konnte. Die Update-Zyklen sind enorm lang: Der auf Switches spezialiserte Hacker Eireann Leverett lobte Siemens dafür, ein Problem in nur drei Monaten gelöst zu haben – durchschnittlich benötigten Hersteller 18 Monate.

Mehr als nur IT-Security

Ein manipuliertes Stahlwerk in Deutschland, eine explodierte Pipeline in der Türkei – immer öfter werden Fälle gezielter Manipulation von Industrieanlagen bekannt. Auf der CCC-Konferenz zeigten Hacker von industriellen Steuerungsanlagen (SCADA), dass es um die industrielle IT-Sicherheit nach wie vor schlecht steht. Doch ein Chemiewerk zu hacken ist schwerer, als es scheint.

Die erste Sicherheitsregel, industrielle Steuerungsanlagen nicht aus dem Internet zugänglich zu machen, wird immer wieder sträflich ignoriert. So scannt die Forschergruppe SCADA Strangelove bereits seit zwei Jahren – und auf der ICSMapsind Tausende von Industrieanlagen aufgeführt.


Artikel Online geschaltet von: / Doris Holler /