Hunderte Industrieanlagen in Deutschland sind kaum vor Hackerangriffen geschützt. heise Security entdeckte unter anderem Fernwärmekraftwerke, wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Stadion, dessen Industriesteuerungen sorglos mit dem Internet verbunden waren. Doch das ist noch nicht alles: Wie c’t in der kommenden Ausgabe berichtet, hätten wir uns durch eine triviale Sicherheitslücke als Techniker anmelden und die Kontrolle übernehmen können.
Zahlreiche Betreiber von Industrieanlagen haben ihre Steuerungsmodule leichtsinnig mit dem Internet verbunden. heise Security stieß auf hunderte, öffentlich erreichbare IP-Adressen von virtuellen Schaltzentralen, die ohne effektive Authentifizierung sperr-angelweit offen standen.
Unter den aufgespürten Anlagen befinden sich etwa Fernwärmekraftwerke, die mehrere tausend Einwohner mit Wärme versorgen. Per Mausklick hätten wir die Wärmever-sorgung lahmlegen können, was zu einem Ausfall von mehreren Stunden geführt hätte. Ferner hätte eine Manipulation zu einem beträchtlichen Sachschaden führen können, wie ein namhafter Kesselhersteller gegenüber heise Security bestätigte.
Wir entdeckten das Sicherheitsproblem bereits im Februar und haben daraufhin sofort das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) einge-schaltet. Das BSI hat das Problem ebenfalls als kritisch eingestuft und konnte rund 500 betroffene Anlagen in Deutschland aufspüren. Sowohl das BSI als auch heise Security standen seit geraumer Zeit im regelmäßigen Kontakt mit dem Hersteller des ver-wundbaren Steuermoduls.
Wir haben das Unternehmen in aller Dringlichkeit darauf hingewiesen, dass die Betreiber der betroffenen Industrieanlagen umgehend zu informieren sind. Zwar hat uns der Her-steller das auch zugesichert – unklar ist allerdings, inwieweit das bisher tatsächlich er-folgt ist. Die von uns kontaktierten Betreiber wussten von nichts, ferner sind zahlreiche Anlagen nach wie vor erreichbar.
Generell ist es fahrlässig, eine Industriesteuerung direkt über das Internet zugänglich zu machen. Man gibt Unbefugten dadurch die Chance, die oftmals betagten Embedded Webserver der Systeme auf Sicherheitslücken abzuklopfen. Ist es nötig, ein solches System aus der Ferne zu administrieren, muss man einen verschlüsselten VPN-Tunnel mit starker Authentifizierung einrichten.
Quelle: heise.de vom 02.05.2013
Weitere Artikel:
NATO spielt Cyberwar ‘Locked Shields 2013′
Schadsoftware auf Computern: „MiniDuke“ spitzelt halb Europa aus
“Einheit 61398″: Ein Turm voller Hacker in China
Submarine Cable Map: Internetkarte zeigt Unterseekabel
Cloud-Daten: USA sichern sich Zugriff auf alle Daten in Europa
COINTELPRO -Techniken zur Verwässerung, Irreführung und Kontrolle eines Internetforums
Thüringer Polizei soll MDR-Journalisten per Facebook ausgespäht haben
Verwirrung um angebliche Stuxnet-Attacke im Iran
China: Die geheimen Milliarden von Premier Wen und die prompte Internet-Zensur
Australien plant systematische Überwachung des Internets
Machtkampf: China verschärft Internet-Zensur
Obama ordnete Stuxnet-Attacken auf den Iran an
Hessens Justizminister möchte Facebook-Fahndung legalisieren
Massive DDoS-Angriffe auf US-Banken
Propagandablitzkrieg der Brüsseler Kasperle: EU-finanzierte Troll-Armee im Internet
Deutsch-britische Firma liefert Überwachungssoftware an autoritäre Staaten
Staatenlos & Neue Welt Ordnung oder Heimat & Weltfrieden (Kurzfilm)
Reblogged this on Haunebu7's Blog .