Sicherheitslücke Experte warnt vor Online-Angriffen auf US-Tankstellen

Ein US-Sicherheitsexperte warnt: Weil viele Tankstellenbesitzer ein unsicheres Fernwartungssystem für ihre Treibstofftanks nutzen, könnten Angreifer falschen Alarm auslösen - oder die Benzinversorgung sabotieren.
Tankstelle in den USA: Fernwartungssysteme oft ungeschützt

Tankstelle in den USA: Fernwartungssysteme oft ungeschützt

Foto: WHITNEY CURTIS/ REUTERS

Das Problem liegt dem Sicherheitsexperten Jack Chadowitz  zufolge im Überwachungssystem bestimmter Treibstofftanks. Die Systeme messen den Füllstand der Tanks, zählen die Zugriffe auf den Tank, verwalten Leckage-Tests und Fehlermeldungen. Einige dieser Systeme haben eine Fernwartungsfunktion, über die man per Internet, Fax, Modem oder per Kabel Messwerte abrufen kann.

Eben dieser Zugang sei bei vielen Anlagen nicht hinreichend geschützt, sagt Chadowitz. Angreifer könnten über fingierte Fehlermeldungen falschen Alarm auslösen oder mit einer gefälschten Leckagemeldung die Benzinversorgung unterbrechen.

Ungefähr 5300 solcher Tanksysteme, deren Internetzugang nicht einmal durch ein Passwort geschützt sei, hat Chadowitz allein in den USA identifiziert. Das sind circa drei Prozent der 150.000 amerikanischen Tankstellen. "Theoretisch könnte ein Angreifer [diese Tankstellen] mühelos lahmlegen", schreibt der Experte. Besorgten Tankstellen-Besitzern stellt er einen einfachen Web-Test für ihr Fernwartungssystem zur Verfügung  .

Derzeit seien aber keine konkreten Angriffe bekannt - was aber auch daran liegen kann, dass ein Angriff nur schwer von einer legitimen Störung zu unterscheiden wäre. Umso mehr als die Handbücher für die Fernwartung der betroffenen Geräte offen im Netz zugänglich seien. Am Montagmorgen waren die genannten Dokumente allerdings nicht aufrufbar.

Gefahr durch Lauschangriffe

Der Großteil der betroffenen Geräte wurde laut dem Experten von der amerikanischen Firma Veeder-Root hergestellt. Deren Fernwartungszugang kann grundsätzlich mit einem Passwort geschützt werden. Offenbar wird diese Möglichkeit aber nur selten genutzt. Doch selbst wenn das getan würde, böte das keinen sicheren Schutz, so Chadowitz. Weil die Passwörter unverschlüsselt über das Internet übertragen werden, könnte ein Angreifer sie theoretisch mit einem Lauschangriff auf das lokale Netz abgreifen.

Der Hersteller hat seine Kunden laut "Ars Technica"  bereits informiert: "Wir haben unverzüglich Schritte unternommen, um unsere Kunden über die Aktivierung der vorgesehenen Sicherheitsfunktionen zu informieren", so das Unternehmen in einer Stellungnahme. "[Bislang] informierte uns aber noch kein Kunde über einen Dateneinbruch."

Es fehlt noch am Problembewusstsein

Hinter dem Problem mit den Tanks steht ein grundlegendes, viel größeres: Industrielle Fernwartungs- und Steuerungssysteme erfüllen oft nicht moderne Sicherheitsansprüche. Sie wurden vor langer Zeit entwickelt und können nachträglich oft nicht umgerüstet werden.

Ein entsprechendes Sicherheitsbewusstsein hat sich selbst bei vielen Programmierern und Sicherheitsbeauftragten noch nicht durchgesetzt. Nur nach und nach kommen Sicherheitslücken wie diese zum Vorschein. Sie könnten die sprichwörtliche Spitze des Eisbergs sein.

Dieses Problem gilt einigen Experten als die größte Herausforderung bei der Errichtung des sogenannten Internets der Dinge, der Vernetzung möglichst vieler Gegenstände des Alltags. Sollten diese Geräte nicht mit widerstands- und anpassungsfähigen Sicherheitssystemen ausgerüstet sein, wäre das Internet der Dinge keine selbstregulierende Effizienzmaschine, sondern ein Hackerparadies.

kno
Die Wiedergabe wurde unterbrochen.