Internet: Kritische Schwachstelle in hunderten deutschen Industrieanlagen

sicherheit-deutschland-industrieanlagen

Hunderte Industrieanlagen in Deutschland sind kaum vor Hackerangriffen geschützt. heise Security entdeckte unter anderem Fernwärmekraftwerke, wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Stadion, dessen Industriesteuerungen sorglos mit dem Internet verbunden waren. Doch das ist noch nicht alles: Wie c’t in der kommenden Ausgabe berichtet, hätten wir uns durch eine triviale Sicherheitslücke als Techniker anmelden und die Kontrolle übernehmen können.

Zahlreiche Betreiber von Industrieanlagen haben ihre Steuerungsmodule leichtsinnig mit dem Internet verbunden. heise Security stieß auf hunderte, öffentlich erreichbare IP-Adressen von virtuellen Schaltzentralen, die ohne effektive Authentifizierung sperr-angelweit offen standen.

Unter den aufgespürten Anlagen befinden sich etwa Fernwärmekraftwerke, die mehrere tausend Einwohner mit Wärme versorgen. Per Mausklick hätten wir die Wärmever-sorgung lahmlegen können, was zu einem Ausfall von mehreren Stunden geführt hätte. Ferner hätte eine Manipulation zu einem beträchtlichen Sachschaden führen können, wie ein namhafter Kesselhersteller gegenüber heise Security bestätigte.

Wir entdeckten das Sicherheitsproblem bereits im Februar und haben daraufhin sofort das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) einge-schaltet. Das BSI hat das Problem ebenfalls als kritisch eingestuft und konnte rund 500 betroffene Anlagen in Deutschland aufspüren. Sowohl das BSI als auch heise Security standen seit geraumer Zeit im regelmäßigen Kontakt mit dem Hersteller des ver-wundbaren Steuermoduls.

Wir haben das Unternehmen in aller Dringlichkeit darauf hingewiesen, dass die Betreiber der betroffenen Industrieanlagen umgehend zu informieren sind. Zwar hat uns der Her-steller das auch zugesichert – unklar ist allerdings, inwieweit das bisher tatsächlich er-folgt ist. Die von uns kontaktierten Betreiber wussten von nichts, ferner sind zahlreiche Anlagen nach wie vor erreichbar.

Generell ist es fahrlässig, eine Industriesteuerung direkt über das Internet zugänglich zu machen. Man gibt Unbefugten dadurch die Chance, die oftmals betagten Embedded Webserver der Systeme auf Sicherheitslücken abzuklopfen. Ist es nötig, ein solches System aus der Ferne zu administrieren, muss man einen verschlüsselten VPN-Tunnel mit starker Authentifizierung einrichten.

Quelle: heise.de vom 02.05.2013

Weitere Artikel:

NATO spielt Cyberwar ‘Locked Shields 2013′

Schadsoftware auf Computern: „MiniDuke“ spitzelt halb Europa aus

“Einheit 61398″: Ein Turm voller Hacker in China

Submarine Cable Map: Internetkarte zeigt Unterseekabel

Cloud-Daten: USA sichern sich Zugriff auf alle Daten in Europa

COINTELPRO -Techniken zur Verwässerung, Irreführung und Kontrolle eines Internetforums

Thüringer Polizei soll MDR-Journalisten per Facebook ausgespäht haben

Verwirrung um angebliche Stuxnet-Attacke im Iran

China: Die geheimen Milliarden von Premier Wen und die prompte Internet-Zensur

Australien plant systematische Überwachung des Internets

Machtkampf: China verschärft Internet-Zensur

Obama ordnete Stuxnet-Attacken auf den Iran an

Hessens Justizminister möchte Facebook-Fahndung legalisieren

Massive DDoS-Angriffe auf US-Banken

Propagandablitzkrieg der Brüsseler Kasperle: EU-finanzierte Troll-Armee im Internet

Deutsch-britische Firma liefert Überwachungssoftware an autoritäre Staaten

Staatenlos & Neue Welt Ordnung oder Heimat & Weltfrieden (Kurzfilm)

About aikos2309