"c't": Hunderte Industrieanlagen ungesichert im Internet

2. Mai 2013, 21:56
32 Postings

"Man braucht nur wenige Klicks, bis man am virtuellen Schaltpult eines Heizkraftwerks steht"

Die Abläufe in einer Brauerei, in Heizkraftwerken und selbst in einem Gefängnis lassen sich kinderleicht über das Internet manipulieren. Schuld ist eine Sicherheitslücke in einem Steuerungsmodul für Industrieanlagen, schreibt das Computermagazin "c't" in der aktuellen Ausgabe.

In einem Gefängnis hätten die Redakteure die Duschen auf Kaltwasser stellen können

Die Recherchen begannen mit dem Hinweis eines Lesers, der das Sicherheitsleck in Steuerungsmodulen von Minikraftwerken für Einfamilienhäuser gefunden hat. Anschließend fand die Redaktion über das Internet hunderte Anlagen, die nur mangelhaft geschützt sind und sich manipulieren lassen. In einem Gefängnis hätten die Redakteure die Duschen auf Kaltwasser stellen, im Schwarzwald ein ganzes Dorf von der Wärmezufuhr trennen können. Auch eine Brauerei hätte sich mit einfachen Mitteln über das Internet fernsteuern lassen.

80er Jahre

Man braucht nur wenige Klicks, bis man über das Internet plötzlich am virtuellen Schaltpult eines Heizkraftwerks steht. "Die Techniker-Passwörter sind leicht zu finden und nicht mal verschlüsselt", fand "c't"-Experte Ronald Eikenberg heraus. "Das sind Sicherheitsstandards, wie sie vielleicht in den 80er Jahren üblich waren, als das Internet noch eine Spielwiese für meist harmlose Hacker war."

Doch der Schweizer Hersteller des Steuerungsmoduls zeigt sich wenig beeindruckt, weiß "c't"-Redakteur Ronald Eikenberg. "Viele Anlagen sind trotz unserer Warnungen weiterhin manipulierbar. Der Hersteller hat zwar angekündigt, seine Kunden schriftlich über das Sicherheitsleck zu infomieren, doch in den vergangenen drei Monaten ist das nicht passiert."

Einhaltung von Mindeststandards

Steuerungssysteme für Industrieanlagen sollten auf keinen Fall ohne spezielle Absicherung mit dem Internet verbunden werden. Nicht von ungefähr hat das Bundesinnenministerium einen Gestzesentwurf zur "Erhöhung der Sicherheit informationstechnischer Systeme" formuliert, das die Betreiber kritischer Infrastruktur zur Einhaltung von Mindeststandards verpflichten soll. (red, derStandard.at, 2.5.2013)

  • Bild nicht mehr verfügbar
    Share if you care.