Business Security

Steuerungssysteme von Industrieanlagen ungeschützt

Steuerungssysteme von Industrieanlagen ungeschützt
Sicherheits-Experten entdeckten ungeschützte Steuerungssysteme von hochsensiblen Industrieanlagen

Sicherheitsforscher entdeckten zahlreiche ungeschützte Steueranlagen einfach über das Internet. Darunter sensible Industrieanlagen in Österreich und Deutschland. Auf einige Steuerungssysteme von Wasserwerken, Blockheizkraftwerken, Biogasanlagen aber auch Smart Homes konnte ungehindert zugegriffen werden.

Steuersysteme völlig ungeschützt

Die deutschen Security-Experten Tim Philipp Schäfers und Sebastian Neef konnten über einen normalen Browser auf die Systeme zugreifen, wie derStandard.at berichtete. In monatelanger Recherche haben diese zwei Sicherheitsforscher in Zusammenarbeit mit Journalisten von "Golem" Dutzende Steuerungssysteme von Wasserwerken, Blockheizkraftwerken, Biogasanlagen und auch Smart Homes in Deutschland und Österreich entdeckt. Mit einer eigens dafür entwickelten Software wurden über vier Milliarden Internetadressen gescannt. So fanden die Experten 80 Steuersysteme, die völlig ungeschützt erreichbar waren.

Mit der Software, die vom gleichen Software-Entwickler stammt, können die Anlagen von PC, Smartphone und Tablet aus visualisiert, überwacht und ferngesteuert werden. Wie verlautet hätten die Sicherheitsforscher damit nicht nur Daten ausspionieren, sondern Anlagen sogar stilllegen können. Es war teilweise möglich, Administratorechte über die Systeme zu erlangen. Dazu kommentierte Schäfers gegenüber dem Spiegel:

"Mich schockiert, wie leicht diese Anlagen zu finden waren und wie einfach Hacker sie mit Standardmethoden hätten sabotieren können"

Kontrollübernahme von Smart-Home-Anlagen

Wie die Sicherheitsforscher herausfanden, wurde die Steuersoftware auch in diversen Smart-Home-Anlagen in Österreich, Chile und Israel eingesetzt. Alle waren von außen angreifbar. Somit bestand unter anderem die Möglichkeit, die Steuerung von Licht und Heizung zu übernehmen.

Vom Hersteller der Software wurde insofern Stellung genommen, dass dieser dem Kunden eine richtige Konfiguration ihrer Systeme zuweist. Wie berichtet meldeten die Sicherheitsforscher schon vor einiger Zeit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und den jeweils zuständigen Computer Emergency Response Teams (CERT), die die Betreiber der Anlagen kontaktierten. Inzwischen sollen die meisten Systeme nicht mehr online erreichbar.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben