Steueranlagen von Kraftwerken ungeschützt im Netz

In mehrmonatigen Recherchen haben Journalisten von golem.de in Zusammenarbeit mit Sicherheitsexperten Steuerungssysteme im Internet gesucht, die kaum oder nicht geschützt über das Internet erreichbar sind. Sie haben weltweit über 100 solcher Anlagen aufgespürt, darunter Kraftwerke in Deutschland und Österreich, Wasserwerke, Gebäudeautomatisierungssysteme und Industriesteuerungsanlagen. Bei einigen Onlinezugriffen war es sogar möglich, die Kontrolle über Anlagen komplett zu übernehmen, etwa bei einem deutschen Wasserwerk. Die von Golem im Text erwähnten Schwachstellen wurden mittlerweile behoben.

Der Zugang erfolgte über Steuerungssysteme, die eigentlich nicht über das Internet erreichbar sein sollten. Im Fall dreier deutscher Wasserwerke hätten Werte in der Systemüberwachung geändert und in einem Fall auch die Kontrolle über die Pumpen übernommen werden können. Bei deutschen und österreichischen Heiz- und Blockkraftwerken sowie Biogasanlagen stand die Tür der Steuerungsanlagen zum Netz ebenfalls weit offen. Bei einigen Zugängen wurde in weiterer Folge zwar eine Authentifizierung verlangt, sie waren aber trotzdem verwundbar für Angriffe wie DDOS-Attacken, mit denen kritische Systeme außer Gefecht gesetzt werden könnten. "Die beschriebenen Fälle bergen erhebliche Gefahren, das darf so nicht passieren. Das ist, als wenn Sie die Tür zu Ihrem Haus sperrangelweit offen stehen lassen", sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, dem Spiegel.

Österreichische Ferienwohnung

In Israel haben die Journalisten einen Luxus-Wohnkomplex gefunden, dessen komplette Steuerung sie über das Internet übernehmen können hätten, von der Steuerung der Heizung bis zur Notstromversorgung. In einer österreichischen Ferienwohnung, die online gemietet werden kann, hätten ebenfalls Heizung und Beleuchtung von außen gesteuert werden können.

Die Methoden der Journalisten waren nicht einmal sonderlich aufwändig. Sie haben auf Basis einer Schwachstelle in Zürich nach ähnlichen offenen Zugängen gesucht und wurden schnell fündig. Aufgespürte Schwachstellen haben sie den zutreffenden CERTs (Computer Emergency Response Teams) mitgeteilt. Softwarehersteller und Systembetreiber wurden ebenfalls informiert, waren aber in vielen Fällen unkooperativ und spielten das Gefahrenpotenzial herunter. Viele Steuerungssysteme sind durch die Recherchen aber aus dem frei zugänglichen Internet verschwunden.

Mit den gefundenen Einfallstoren hätte enormer Schaden angerichtet werden können, wenn die Entdecker böse Absichten gehabt hätten. Von falschen Daten, die menschliche Fehlreaktionen provozieren, über das Hochtreiben von Software-Lizenzgebühren durch unnötige Nutzung in Werkssystemen bis zur Zerstörung von Geräten und dem Außerkraftsetzen von Anlagen. Es hätte etwa die Wasserversorgung 10.000er Menschen beeinträchtigt werden können. Das Bewußtsein für die Verwundbarkeit solcher Systeme ist noch immer schwach ausgeprägt. Teilweise werden grundlegende Sicherheitsmechanismen ignoriert, Systeme falsch konfiguriert und unnötige Internetzugänge offengelassen. Hier sind die Hersteller von Software und Bretreiber der Anlagen gefordert, ihre Herangehensweise zu überdenken.