IT-Sicherheit Smart, aber angreifbar
Experten Neef und Schäfers (r.)
Foto: Carsten Koall / DER SPIEGELEs war keine normale Website, die sich da gerade auf seinem Monitor aufbaute, das erkannte Tim Philipp Schäfers sofort: Ansichten von Pumpen, Röhren und Leitungsnetzen ploppten vor ihm auf, es sah aus wie eine technische Zeichnung. Offenbar handelte es sich nicht um eine Simulation. Schäfers hatte mit seinem Rechner plötzlich Zugriff auf interne Abläufe einer größeren technischen Anlage mitten in Deutschland.
Als ihm in jener Nacht im April klar geworden sei, was er da vor sich hatte, habe er Angst bekommen, aus Versehen etwas Falsches anzuklicken, erinnert sich der 21-jährige Student der Wirtschaftsinformatik.
An jenem Abend saß Schäfers in seiner Studentenbude, einem rund zehn Quadratmeter großen Zimmer in einem Wohnheim in Paderborn. Er gab einige Begriffe aus der Steuerungsansicht in eine Suchmaschine ein und fand ein Video. Fünf Minuten später war ihm klar: Was da gerade auf seinem Monitor blinkte, waren Daten des Wasserzweckverbands Freising-Süd, der 80.000 Einwohner der umliegenden Orte mit Trinkwasser versorgt. Dank des Videos konnte er jetzt auch einige der Abkürzungen entziffern. "WW" stand für Wasserwerk, "PW" für Pumpwerk. Schäfers hatte über seinen Rechner Einblick in Daten, die eigentlich nur Angestellte des bayerischen Versorgers haben sollten.
Aber sicher kein Student aus Paderborn.
Allerdings war das Wasserwerk in Bayern nur der Anfang und nicht einmal der schlimmste Fall denn hier konnten digitale Eindringlinge die Anlagen wohl nur ausspähen. Schäfers suchte weiter und fand kurz darauf den nächsten Versorger, wieder im Freistaat. Diesmal musste er nicht lange recherchieren. Neben der Zeile "Hauptschalter Netz ein/aus" fand sich eine Grafik mit dem Ortsschild von Uffing am Staffelsee samt Ortswappen. Bald hatte er zwei weitere Werke entdeckt. Und dort hätten böswillige Besucher nach seiner Einschätzung mehr tun können, als sich unbefugt umzuschauen. "Wir hätten zum Beispiel den Druck der Pumpen beliebig ändern und sie damit auch zerstören können", sagt Schäfers.
Beim Weitersuchen fand er die Steuerung von Biogasanlagen, von Heizkraftwerken bis hin zu einzelnen Ferienhäusern, deren Adresse leicht ausfindig zu machen war.
Er stieß auch auf Anlagen in aller Welt, die Wasserversorgung mehrerer Orte in Italien, von Shoppingmalls in Chile und den USA sowie zwei modernen Hochhaustürmen in Israel. Auch sie standen für nicht autorisierte Besucher wie ihn weit offen. Von Paderborn aus hätte Schäfers die Beleuchtung der Tower abschalten können, die Klimaanlage und auch die Heizung.
Der Student musste dafür keine Passwörter erraten oder gar hacken. Alle Systeme waren mit etwas digitaler Detektivarbeit über die Eingabe einer Internetadresse erreichbar. Ihre Betreiber hatten eine Software zur Fernwartung, Kontrolle und teils auch zur Fernsteuerung ihrer Anlagen installiert.
Die Gefahr von Cyberangriffen auf kritische Infrastrukturen wie Wasser- und Stromversorger beschäftigt Politiker und Sicherheitsbehörden seit Jahren. Dass die Bedenken berechtigt sind, machte unter anderem ein Versuch des TÜV Süd aus dem vorigen Jahr deutlich: Dort stellte man eine detailgetreue Simulation der Steuerung eines Kleinstadt-Wasserwerks ins Netz und beobachtete über mehrere Monate, was geschah. Mehr als 60.000 Zugriffversuche registrierten die TÜV-Leute, darunter einige sehr ausgefeilte, hinter denen offenbar Profis steckten. Das sei ein "deutliches Warnsignal", resümierte der TÜV damals, selbst kleinere Anlagen und Betreiber würden gezielt ausgeforscht.
Zu besonderer Vorsicht scheint das aber nicht zu führen. Erst in dieser Woche veröffentlichte das IT-Sicherheitsunternehmen Kaspersky eine Studie , nach der in Deutschland mehr als 26.000 Rechner mit Industriesteuerungen über das Netz erreichbar waren. Auf der Negativrangliste liege Deutschland damit hinter den USA auf Platz zwei. "Die Gefahr ist real", warnen die Experten.
Welche Auswirkungen Hackerangriffe auf Versorgungsunternehmen haben können, zeigte sich in der Ukraine im vorigen Dezember. Dort gingen nach einer Cyberattacke auf Elektrizitätsversorger in Hunderttausenden Haushalten das Licht und die Tiefkühltruhen aus.
Die Anzahl der möglichen Schwachstellen und potenziellen Angriffsziele wächst derweil beständig. Gebäude, Fahrzeuge, sogar Kleidungsstücke werden zunehmend vernetzt und angeblich "smart". Bei der Steuerung von Maschinen und ganzen Industrieanlagen passiert unter dem Label "Industrie 4.0" gerade dasselbe.
Mit seiner Software sei die Steuerung und Überwachung selbst von Großanlagen einfach und komfortabel, wirbt etwa der Hersteller der betroffenen Software. Und tatsächlich: Seine Technik visualisiert Pumpen, Maschinen und Anlagen nicht nur, sie macht sie auch fernsteuerbar. Das funktioniert direkt aus den üblichen Browsern heraus, sogar vom iPad aus oder über ein Smartphone. Die Techniker müssen nicht mehr durchs Land reisen, sondern können von überall auf ihre Systeme zugreifen. So hätten Unternehmen "weniger Aufwand bei Betrieb und Wartung".
Für Firmen ist das verlockend, aber eben auch gefährlich: Sind die Systeme nicht ausreichend abgeschirmt, können auch Unbefugte zugreifen.
"Die beschriebenen Fälle bergen erhebliche Gefahren, das darf so nicht passieren", sagt der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm. "Das ist, wie wenn Sie die Tür zu Ihrem Haus sperrangelweit offen stehen lassen." Selbst wenn es bei einigen Betreibern nach dieser ersten Eintrittsschwelle möglicherweise weitere Türen gegeben habe, handle es sich um "gefährlichen Leichtsinn".
Im aktuellen Fall hatten die Betreiber der Wasserwerke und die übrigen Betroffenen das Glück, dass es dem Studenten nicht darum ging, Schaden anzurichten oder Schindluder zu treiben. Im Gegenteil: Er will mit seiner digitalen Detektivarbeit mögliche Schwachstellen aufdecken, um zu verhindern, dass andere sie ausnutzen.
Schäfers hat seine Funde vor Wochen über das Computer Emergency Response Team (Cert) beim BSI gemeldet. Aufgrund der Brisanz informierte das Amt die Betreiber individuell. Tatsächlich waren beispielsweise die betroffenen deutschen Wasserwerke innerhalb weniger Tage nicht mehr offen erreichbar.
Allerdings ging es nicht überall so schnell. Schäfers informierte auch mehr als zehn internationale Certs in einigen Fällen dauerte es Wochen, bis die Betreiber reagierten. "Mich schockiert vor allem, wie leicht diese Anlagen zu finden waren und wie einfach Hacker sie mit Standardmethoden hätten sabotieren können", sagt Tim Philipp Schäfers.
Der Student ist in der IT-Sicherheitsszene mittlerweile kein Unbekannter mehr. Bereits als Teenager gründete er 2012 mit dem Berliner Informatikstudenten Sebastian Neef die Seite Internetwache.org , damals lernte er noch für das Abitur. Seither suchen sie in ihrer Freizeit gemeinsam das Netz nach Sicherheitsschwachstellen ab und wurden nach eigenen Angaben in mehr als 200 Fällen fündig.
Die beiden folgen dabei der Hackerethik des "verantwortungsvollen Veröffentlichens" ("responsible disclosure"). Sie unterrichten zuerst die betroffenen Unternehmen und die zuständigen Certs. Erst nach Ablauf einer Frist berichten sie auf ihrer Website darüber. Die Unternehmen, so Schäfers, reagierten sehr unterschiedlich. Manche drohen mit juristischen Schritten. Viele bedanken sich und beheben das Problem mit möglichst wenig Aufsehen. Andere zeigen sich sogar finanziell erkenntlich.
So lief es auch bei ihrem bislang größten Fall, als sie beim Zahlungsdienstleister PayPal Probleme aufdeckten. Das Unternehmen behob den Fehler und überwies den beiden Studenten einen niedrigen fünfstelligen Eurobetrag. Wie PayPal haben mittlerweile viele Unternehmen sogenannte Bug-Bounty-Programme, mittels derer sie kritische Hinweise wie die von Schäfers und Neef belohnen.
Auf die aktuelle Fährte stieß Schäfers im vergangenen Herbst über einen Umweg. Bei einem seiner Internetwache-Streifzüge entdeckte er das Parkplatzmanagement eines Hochhauskomplexes mitten in Zürich, der als "Smart Building" beworben wird. Mühelos konnte er über die Webapplikation Daten auslesen beispielsweise über die Belegung der Stellplätze in den vergangenen Monaten. Schäfers erkannte darin Muster und konnte nach eigenen Angaben am Ende bis auf zehn Minuten genau prognostizieren, wann die Stellplätze belegt und wieder verlassen werden.
Der Student warnte ein Schweizer Cert und den Betreiber. Nichts geschah. Schäfers entschied sich deshalb, den Fall auf dem Tech-Portal Golem.de zu beschreiben . Plötzlich ging es sehr schnell: Noch am selben Tag meldete sich der Betreiber zu Wort. "Das Problem des externen Zugriffs wurde erkannt", ließ er verlauten, die Sicherheitslücke sei jetzt "blockiert".
Neugierig geworden, suchte Schäfers nach anderen Einsatzorten derselben Steuerungssoftware. Sein Kompagnon von der Internetwache scannte alle weltweit derzeit ansteuerbaren IP-Adressen mehr als vier Milliarden. Am Ende hatten sie eine lange Trefferliste, die sie in einer Nachtsitzung im bekannten Berliner Hackertreff C-Base auswerteten.
In einigen Fällen, wie bei einem global operierenden Gebäudeenergiespezialisten, wurden wenigstens noch Zugangsdaten verlangt, um die angezeigten Funktionen auch von außen bedienen zu können. In rund 80 Fällen war nach Einschätzung der beiden Internetwächter nicht einmal das notwendig auch einige der Wasserwerke in Deutschland und Italien hingen demnach offen und für jeden manipulierbar am Netz. Einzelne Adressen wie die hochmodernen Wohntürme in Israel erwiesen sich als besonders kritisch.
Schäfers und Neef kommen zu einem Ortstermin in Berlin, um zu demonstrieren, dass ihre Funde real und teilweise trotz der Warnungen an die zuständigen Certs noch immer live im Netz sind. Ihre Laptopdeckel sind mit Aufklebern aus der Hackerszene und von digitalen Bürgerrechtsorganisationen übersät. Der Berliner Neef trägt noch die Armbändchen der letzten drei Kongresse des Chaos Computer Clubs am Handgelenk.
Kaum haben sie über eine nicht rückverfolgbare Leitung die IP-Adresse eingegeben, baut sich auf dem Monitor ein Foto der beiden modernen israelischen Hochhäuser auf, dazu erschallt ein schriller Warnton. Offenbar hat der zuständige Administrator in Israel eine Fehlermeldung noch nicht bearbeitet. Mit einem Mausklick schaltet Schäfers den Warnton auf einer der angezeigten Schaltflächen einfach ab.
"Ich könnte mich jetzt ganz leicht selbst zum Administrator der Anlage machen", sagt Schäfers und wechselt auf die Ansicht einer Poolanlage im Gebäude. "Die Klimaanlage, die Heizung und die komplette Stromversorgung sind aus diesem normalen Browser heraus fernsteuerbar, von jedem Ort der Erde mit Netzanschluss", sagt er. "Ein falscher Mausklick, und dort würden jetzt die Lichter ausgehen."
Auch das israelische Cert hat inzwischen reagiert, die beiden Hochhaustürme sind nicht mehr offen im Netz. "Derlei Steuerungen haben im frei zugänglichen Internet nichts zu suchen", sagt Schäfers, "bei einer echten Hackerattacke würde auch ein vorgeschalteter Passwortschutz wenig helfen."
In vielen Fällen seien die Systeme etwa durch massenhafte simultane Abrufe von außen, sogenannte DDoS-Attacken, in die Knie zu zwingen. "Schon damit hätte man den Betrieb vieler Anlagen erheblich stören können", sagt Schäfers. Für erfahrene Angreifer wäre es nach Ansicht der beiden Betreiber von Internetwache.org bei einzelnen der betroffenen deutschen Wasserwerke möglich gewesen, den Pumpendruck oder die Füllmenge der Tanks zu manipulieren und so eventuell sogar physische Schäden anzurichten.
Die Betreiber selbst reagierten auf die SPIEGEL-Anfrage zumeist erschrocken, einige versuchten, das Problem herunterzuspielen. Der IT-Verantwortliche eines der betroffenen Wasserwerke sprach von einem "Tippfehler" in der Konfiguration. Sein Vorgesetzter wiederum behauptete, man habe den Zugang "bewusst offen" gelassen, "um bestimmte Abläufe zu testen". Andere Betreiber wiederum erklärten, sie hätten gar nicht gewusst, dass ihre Anlage über das Netz erreichbar sei. Immerhin: Nach Aufforderung durch die BSI-Experten zogen sie allesamt ihre Schutzzäune hoch.
Der Hersteller der Software, den der SPIEGEL nicht namentlich nennt, weil nicht ausgeschlossen werden kann, dass es weitere bislang nicht erkannte offene Systeme gibt, reagierte auf frühe Warn-E-Mails von Internetwache.org eher zögerlich.
Im Gespräch räumt der Geschäftsführer ein, das Produkt berge natürlich Risiken. Auch das US-Heimatschutz-Ministerium habe sich bereits gemeldet und auf Schwachstellen hingewiesen, die jetzt behoben seien. Im Übrigen habe man den Vertrieb sensibilisiert und die Warnungen auf den Begleitdokumenten aktualisiert.
Die Verantwortung für die Abschirmung der eigenen Anlagen, so der Hersteller, liege aber bei den Betreibern. Häufig aktivierten diese nicht einmal den enthaltenen Basisschutz: "Wir haben viele Kunden, die das einfach nicht berührt."
Genau das dürfte der Kern des Problems sein: Die von Internetwache.org aufgedeckten Fälle zeigten, dass "die Botschaft noch nicht bei allen angekommen ist", sagt auch BSI-Chef Schönbohm. "So wie ein Auto nicht ohne Licht und Bremsen ausgeliefert werden darf, muss Steuerungssoftware für Industrieanlagen standardmäßig höchsten Sicherheitsansprüchen genügen und eben auch fachgerecht installiert werden."
