„c't“ deckt Sicherheitslücken in Industrieanlagen auf
Berlin/Hannover (dpa) - Experten der angesehenen Fachzeitschrift „c't“ haben Sicherheitslücken in Steuersystemen von Fabriken, Gefängnissen und Heizkraftwerken entdeckt, die durch die Anbindung an das Internet zu verwundbaren Anlagen geworden sind.
Mit wenigen Mausklicks sei es ihnen gelungen, die Kontrolle einiger solcher Anlagen zu übernehmen, berichtet die Zeitschrift in ihrer aktuellen Ausgabe. Plötzlich hätten sie am „virtuellen Schaltpult eines realen Heizkraftwerks“ gestanden.
Die Fachleute der „c't“ hätten zum Beispiel mit einfachen Mitteln die Schließanlage eines Fußballstadions mit rund 40 000 Sitzplätzen manipulieren und den mit den Türen verbundenen Alarmmechanismus ausschalten können. Zugang hätten sie sich auch zur Steuerung der Heizungsanlage in einer hessischen Justizvollzugsanstalt verschafft. Während die Manipulation von Gefängnisduschen noch amüsant erscheinen könne, stellten andere ähnlich gelagerte Sicherheitslücken etwa in Blockheizkraftwerken ein nicht unerhebliches Sicherheitsrisiko dar.
Auch das Bundesamt für Sicherheit in der Informationstechnik BSI habe bestätigt, dass es in Deutschland rund 500 betroffene Anlagen gibt - und stufe die Lecks als kritisch ein. Alle haben in der Regel ein gemeinsames Problem: Die Steuerungsmodule der Anlagen sind leichtfertig mit dem Netz verbunden. Ohne spezielle Authentifizierung konnten die Redakteure auf die virtuellen Schaltzentralen zugreifen. Die Sicherheitslücken seien bereits im Februar entdeckt worden. Die Redakteure von „heise security“, dem Online-Angebot des Heise Verlags zu IT-Sicherheitsthemen, hatte sich daraufhin sofort an das BSI gewandt.
Sicherheitssysteme von Industrieanlagen wie auch kleine Heizanlagen für Einfamilien-Häuser ließen sich vielfach über das Internet mit einer iPad-App steuern. Die zum Teil direkte Anbindung der Server an das Netz biete kriminellen Angreifern ein großes Einfallstor. Zum Teil lasse sich von außen über die Webserver sogar auf die Passwörter der Kunden und das Service-Passwort zugreifen, mit dem man sich als Entwickler am System anmelden und die Anlage manipulieren kann, schreibt das Magazin.
Auch Steuersysteme, die von der beschriebenen Sicherheitslücke nicht betroffen seien, würden sich „zusehends zu tickenden Zeitbomben“ entwickeln, sagte „c't“-Redakteur Louis-F. Stahl. Solche Industrieanlagen würden meist durch eingebettete Web-Systeme (embedded systems) gesteuert, die nach der Installation meist nicht regelmäßig mit Software-Updates gepflegt würden. „Sie verrichten nicht selten über Jahrzehnte hinweg ihren Dienst.“
Die Trennung der Anwendungen vom eigenen Firmennetz und vom Internet sollte deshalb selbstverständlich sein, schreibt Stahl. Wenn es nötig sei, ein solches System aus der Ferne zu verwalten, müsse ein verschlüsselter Datentunnel (VPN) mit einer starken Authentifizierung eingerichtet werden, rät „heise online“.