Sicherheitslücke: Deutsche Wasserwerke ungeschützt im Internet

Die Steuerungssysteme vieler deutscher Wasserwerke und Biogasanlagen konnten übers Internet ausgespäht werden. In einigen Fällen hätten Hacker die sensiblen Ziele auch sabotieren können.

Trinkwasser

Foto: Ralf Hirschberger/ picture alliance / dpa

Auf ihrer Webseite Internetwache.org  decken die Studenten Sebastian Neef und Tim Philipp Schäfers seit Jahren Sicherheitsprobleme im Netz auf. Jetzt haben die beiden Enthusiasten die digitalen Steuerungen mehrerer deutscher Wasserwerke, Blockheizkraftwerke und Biogasanlagen offen zugänglich im Internet entdeckt.

In einigen Fällen wäre es Unbefugten nach Analyse der IT-Experten offenbar möglich gewesen, die Anlagen nicht nur auszuspähen, sondern auch zu manipulieren - etwa die Pumpen in einem Wasserwerk. "Mich schockiert, wie leicht diese Anlagen zu finden waren und wie einfach Hacker sie mit Standardmethoden hätten sabotieren können", sagt Schäfers, der mit seinem Kompagnon schon Schwachstellen bei PayPal und rund 200 anderen Anbietern aufgedeckt hat. (Lesen Sie hier die ganze Geschichte im neuen SPIEGEL.)

Alle betroffenen Unternehmen und Versorger nutzten eine Industriesteuerungs-Software, mit der sich Anlagen visualisieren, überwachen und teils auch fernsteuern lassen. Der Zugriff ist von PC, Tablets und Smartphones aus mit einem normalen Browser möglich.

"Ein falscher Mausklick und die Lichter gehen aus"

Schäfers und Neef hatten mit einem selbst geschriebenen Programm alle mehr als vier Milliarden derzeit erreichbaren Internetadressen gescannt. Dabei entdeckten sie rund 80 ungeschützte Industriesteuerungen eines einzigen Softwareherstellers. Die Systeme dienen dazu, neben den deutschen Wasserversorgern auch Anlagen in Italien, Shoppingmalls in Chile, sowie zwei moderne Hochhausstürme in Israel zu steuern.

IT-Experten Neef und Schäfers (rechts)

Foto: Carsten Koall / DER SPIEGEL

Bei Letzteren hätten sich Schäfers und Neef beispielsweise aus der Ferne selbst zu Administratoren der gesamten Anlage machen können: "Ein falscher Mausklick, und dort würden jetzt die Lichter ausgehen", sagte Schäfers bei der Demonstration der Sicherheitslücke in Räumen des SPIEGEL in Berlin.

"Gefährlicher Leichtsinn"

"Die beschriebenen Fälle bergen erhebliche Gefahren, das darf so nicht passieren", sagt der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm dem SPIEGEL. "Das ist wie wenn Sie die Tür zu Ihrem Haus sperrangelweit offen stehen lassen". Selbst wenn es bei einigen Betreibern nach dieser ersten Eintrittsschwelle möglicherweise weitere Türen gegeben habe, handle es sich um "gefährlichen Leichtsinn".

Schäfers und Neef haben ihre deutschen Funde schon vor Wochen dem BSI gemeldet, dessen Experten Kontakt mit den Betreibern aufnahmen. Alle betroffenen Wasserwerke sind nicht mehr frei erreichbar.

Zehntausende Steuerungsrechner stehen offen im Netz

Wie groß die Risiken sind, wenn Betreiber ihre Steuerungen nicht ausreichend abschirmen, zeigt ein Experiment des TÜV Süd, der im vergangenen Jahr die Simulation eines Kleinstadt-Wasserwerks ins Netz stellte und in wenigen Monaten mehr als 60.000 Zugriffe auf seine Lockfalle ("honeypot") verzeichnete. Der TÜV sprach danach von einem "deutlichen Warnsignal" .

Erst in dieser Woche hatte ein IT-Sicherheitsunternehmen auf die Risiken von frei über das Internet erreichbaren Industriesteuerungen hingewiesen. Demnach sind in Deutschland mehr als 26.000 Rechner mit derlei Steuerungssoftware offen über das Netz erreichbar - mehr waren es nur in den USA . Neben Energieversorgern seien unter anderem die Bereiche Transport, Luft- und Raumfahrt und Finanzen betroffen. "Die Gefahr ist real", so die Experten.

Viele Nutzer aktivieren nicht mal den Basisschutz

Welche Folgen Cyberangriffe auf kritische Infrastrukturen haben können, zeigte zuletzt die Attacke auf Stromversorger in der Ukraine im vergangenen Dezember. Dort gingen in mehr als 200.000 Haushalten das Licht und die Kühlschränke aus. Der "Blackout" war das Werk von Hackern .

Der Hersteller der Software, den der SPIEGEL nicht benennt, weil die Gefahr besteht, dass die Internetwache nicht alle ungeschützten Anlagen ausfindig gemacht hat, bestätigte im Gespräch, dass sein Produkt Risiken berge. Auch das amerikanische Heimatschutzministerium habe sich bereits gemeldet. Für die Absicherung ihrer Anlagen seien allerdings die Kunden selbst zuständig - viele aktivierten aber nicht einmal den enthaltenen Basisschutz.

Hinweis: SPIEGEL TV Magazin wird über den Fall in seiner Sendung am Sonntag um 22.05 Uhr bei RTL berichten. Schäfers und Neef schildern ihr Vorgehen in einem Beitrag bei dem Tech-Portal Golem.de .