Sicherheitslücke Deutsche Wasserwerke ungeschützt im Internet

Die Steuerungssysteme vieler deutscher Wasserwerke und Biogasanlagen konnten übers Internet ausgespäht werden. In einigen Fällen hätten Hacker die sensiblen Ziele auch sabotieren können.

Trinkwasser
DPA

Trinkwasser


Auf ihrer Webseite Internetwache.org decken die Studenten Sebastian Neef und Tim Philipp Schäfers seit Jahren Sicherheitsprobleme im Netz auf. Jetzt haben die beiden Enthusiasten die digitalen Steuerungen mehrerer deutscher Wasserwerke, Blockheizkraftwerke und Biogasanlagen offen zugänglich im Internet entdeckt.

Titelbild
Mehr dazu im SPIEGEL
Heft 29/2016
Die tödliche Invasion der Mücken

In einigen Fällen wäre es Unbefugten nach Analyse der IT-Experten offenbar möglich gewesen, die Anlagen nicht nur auszuspähen, sondern auch zu manipulieren - etwa die Pumpen in einem Wasserwerk. "Mich schockiert, wie leicht diese Anlagen zu finden waren und wie einfach Hacker sie mit Standardmethoden hätten sabotieren können", sagt Schäfers, der mit seinem Kompagnon schon Schwachstellen bei PayPal und rund 200 anderen Anbietern aufgedeckt hat. (Lesen Sie hier die ganze Geschichte im neuen SPIEGEL.)

Alle betroffenen Unternehmen und Versorger nutzten eine Industriesteuerungs-Software, mit der sich Anlagen visualisieren, überwachen und teils auch fernsteuern lassen. Der Zugriff ist von PC, Tablets und Smartphones aus mit einem normalen Browser möglich.

"Ein falscher Mausklick und die Lichter gehen aus"

Schäfers und Neef hatten mit einem selbst geschriebenen Programm alle mehr als vier Milliarden derzeit erreichbaren Internetadressen gescannt. Dabei entdeckten sie rund 80 ungeschützte Industriesteuerungen eines einzigen Softwareherstellers. Die Systeme dienen dazu, neben den deutschen Wasserversorgern auch Anlagen in Italien, Shoppingmalls in Chile, sowie zwei moderne Hochhausstürme in Israel zu steuern.

IT-Experten Neef und Schäfers (rechts)
Carsten Koall / DER SPIEGEL

IT-Experten Neef und Schäfers (rechts)

Bei Letzteren hätten sich Schäfers und Neef beispielsweise aus der Ferne selbst zu Administratoren der gesamten Anlage machen können: "Ein falscher Mausklick, und dort würden jetzt die Lichter ausgehen", sagte Schäfers bei der Demonstration der Sicherheitslücke in Räumen des SPIEGEL in Berlin.

"Gefährlicher Leichtsinn"

"Die beschriebenen Fälle bergen erhebliche Gefahren, das darf so nicht passieren", sagt der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm dem SPIEGEL. "Das ist wie wenn Sie die Tür zu Ihrem Haus sperrangelweit offen stehen lassen". Selbst wenn es bei einigen Betreibern nach dieser ersten Eintrittsschwelle möglicherweise weitere Türen gegeben habe, handle es sich um "gefährlichen Leichtsinn".

Schäfers und Neef haben ihre deutschen Funde schon vor Wochen dem BSI gemeldet, dessen Experten Kontakt mit den Betreibern aufnahmen. Alle betroffenen Wasserwerke sind nicht mehr frei erreichbar.

Zehntausende Steuerungsrechner stehen offen im Netz

Wie groß die Risiken sind, wenn Betreiber ihre Steuerungen nicht ausreichend abschirmen, zeigt ein Experiment des TÜV Süd, der im vergangenen Jahr die Simulation eines Kleinstadt-Wasserwerks ins Netz stellte und in wenigen Monaten mehr als 60.000 Zugriffe auf seine Lockfalle ("honeypot") verzeichnete. Der TÜV sprach danach von einem "deutlichen Warnsignal".

Erst in dieser Woche hatte ein IT-Sicherheitsunternehmen auf die Risiken von frei über das Internet erreichbaren Industriesteuerungen hingewiesen. Demnach sind in Deutschland mehr als 26.000 Rechner mit derlei Steuerungssoftware offen über das Netz erreichbar - mehr waren es nur in den USA. Neben Energieversorgern seien unter anderem die Bereiche Transport, Luft- und Raumfahrt und Finanzen betroffen. "Die Gefahr ist real", so die Experten.

Viele Nutzer aktivieren nicht mal den Basisschutz

Welche Folgen Cyberangriffe auf kritische Infrastrukturen haben können, zeigte zuletzt die Attacke auf Stromversorger in der Ukraine im vergangenen Dezember. Dort gingen in mehr als 200.000 Haushalten das Licht und die Kühlschränke aus. Der "Blackout" war das Werk von Hackern.

Der Hersteller der Software, den der SPIEGEL nicht benennt, weil die Gefahr besteht, dass die Internetwache nicht alle ungeschützten Anlagen ausfindig gemacht hat, bestätigte im Gespräch, dass sein Produkt Risiken berge. Auch das amerikanische Heimatschutzministerium habe sich bereits gemeldet. Für die Absicherung ihrer Anlagen seien allerdings die Kunden selbst zuständig - viele aktivierten aber nicht einmal den enthaltenen Basisschutz.

Hinweis: SPIEGEL TV Magazin wird über den Fall in seiner Sendung am Sonntag um 22.05 Uhr bei RTL berichten. Schäfers und Neef schildern ihr Vorgehen in einem Beitrag bei dem Tech-Portal Golem.de.

Dieses Thema stammt aus dem neuen SPIEGEL - ab Samstagmorgen erhältlich.

Was im neuen SPIEGEL steht, erfahren Sie immer samstags in unserem kostenlosen Newsletter DIE LAGE, der sechsmal in der Woche erscheint - kompakt, analytisch, meinungsstark, geschrieben von der Chefredaktion oder den Leitern unseres Hauptstadtbüros in Berlin.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 24 Beiträge
Alle Kommentare öffnen
Seite 1
vantast64 15.07.2016
1. Die Hacker kommen auch zu uns, Herr Gabriel,
wenn der intelligente Stromzähler installiert wird. Hat man Ihnen nicht gesagt, daß die Stromversorger dieselben Informationen bekämen, die sie brauchen, wenn sie einen Zähler an den 10kV- Transformatoren anbringen würden, die die 10kV auf den Haushaltsstrom 400/230V umsetzen?
ichwillauchpost 15.07.2016
2. Datenschutz...
...ist ja auch nur etwas für Menschen, die etwas zu verbergen haben!
der_unbekannte 15.07.2016
3. Das Problem
ist das fehlende Sicherheitsbewusstsein auf Seite der Kunden. Auch im privaten Umfeld verwenden viele Router das Werkspasswort. Vielleicht sollten sicherheitskritische Unternehmen regelmäßig von einer Art IT-TÜV untersucht werden.
Bobby Shaftoe 15.07.2016
4.
Zitat von ichwillauchpost...ist ja auch nur etwas für Menschen, die etwas zu verbergen haben!
Datenschutz schützt personenbezogene Daten. Was Sie meinen, ist Informationssicherheit.
permissiveactionlink 15.07.2016
5. Wasserwerk ?
Bei der abgebildeten Anlage handelt es sich doch zweifellos um eine Kläranlage, und die gehört wohl eher in die Kategorie Entsorger als zu den Versorgern. Eine Manipulation der Trinkwasserversorgung wäre aber tatsächlich fatal, auch weil dann die Toilettenspülung ausfällt. Man kann nur hoffen, dass die Versorgung mit Strom und Erdgas nicht ebenso leicht manipulierbar ist.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.