21.07.2016
Riesige Sicherheitslücken ausgerechnet bei Wasserwerken und Ferienwohnungen – das ergab eine Recherche des IT-Magazins Golem.de. Wie einfach sich Systeme manipulieren lassen und was dagegen getan werden kann, zeigt ein umfangreicher Artikel des Magazins.
Die Steuerungssysteme verschiedener Gebäude im In- und Ausland waren ohne umfangreiche IT-Kenntnisse aufrufbar. Um sie zu manipulieren oder Informationen abzurufen bedurfte es nicht einmal des Darknets oder einer besonderen Authentifizierung.
Manipulation von Werken und Smart Homes
Über 100 Systeme weltweit hat das Magazin auf ihre Sicherheit hin über das Internet getestet. Darunter waren neben Wasserwerken auch Blockheizkraftwerke und Interfaces zur Gebäudeautomatisierung, auch bekannt als Smart Homes. Die Manipulation dieser Systeme kann Auswirkungen auf Zehntausende von Menschen haben.
Dabei kann nicht nur die Bedienung verändert, sondern beispielsweise auch Störmeldungen gelöscht bzw. ignoriert werden. Einige Systeme liefen auch auf veralteten Versionen, die sie noch anfälliger für Zugriffe machten. Auf diese Weise ist Terroristen Tür und Tor geöffnet.
Unterschiedliche Reaktion der Betreiber
Natürlich wurden im Zuge dessen auch die Betreiber informiert – mit sehr unterschiedlichen Ergebnissen, bei denen man sich über die Sicherheitslücken nicht zu wundern braucht. Einige reagierten überhaupt nicht, verhinderten aber immerhin, dass weiterhin Zugriff auf die Steuerungen möglich war. Manch andere sahen die Gefahr nicht oder hielten sie für gering. Auch bei weiteren Aufdeckungen von Sicherheitslücken sahen viele Betreiber keinen Handlungsbedarf.
Golem erklärt diese Reaktion zum einen damit, dass bei den Unternehmen kaum eine Handhabe für den Umgang mit Sicherheitslücken vorliegt und zum anderen damit, dass sie schlechte PR vermeiden wollen.
Hinzu kommt, dass die Systeme darüber hinaus auch oftmals fehlerhaft konfiguriert sind und keine sinnvolle bzw. vollständig funktionierende Firewall besitzen. Diese sind zusammen mit demilitarisierten Zonen allerdings entscheidend für die Abschirmung von den Zugriffen Dritter … (tl)
