Wie leichtfertig mit kritischer Infrastruktur umgegangen wird, zeigt eine deutsche Untersuchung, bei der auf ungeschützte Industriesteuerungen zugegriffen werden konnte - auch in Österreich.
Wie Online-Angriffe auf Kraftwerke oder Luxusimmobilien möglich sind, zeigt eine Untersuchung zur IT-Sicherheit von Industriesteuerungen. Durchgeführt wurde der Test von den Studenten Sebastian Neef und Tim Philipp Schäfers, die die Seite "Internetwache.org" betreiben und jetzt auf dem deutschen Technologieportal "Golem.de" die Ergebnisse ihrer zweimonatigen Recherche veröffentlichten. Die Autoren sprechen von "erschreckenden" Sicherheitslücken: "Innerhalb von wenigen Wochen gelang es uns, Zugriff auf die Steuerungssysteme von Wasserwerken, Blockheizkraftwerken, Interfaces zur Gebäudeautomatisierung und sonstigen Industrial Control Systems (ICS) zu erlangen". Auch österreichische und deutsche Heiz-, Blockheizkraftwerke und Biogasanlagen waren zugänglich.
Neef und Schäfers entdeckten mithilfe eines selbst geschriebenen Programms rund 80 ungeschützte Industriesteuerungen eines Software-Herstellers. Dabei machten sie unter anderem "Human-Machine-Interfaces" (HMI) von vier Wasserwerken ausfindig, drei davon in Deutschland. HMI sind für die Überwachung und Steuerung von Maschinen und Anlagen vor Ort zuständig. Über das Internet sollten diese freilich nicht zu erreichen sein. Dennoch sei dies mit "vergleichsweise einfachen Mittel" gelungen, heißt es im Bericht. Kriminelle und Geheimdienste könnten so nicht nur wichtige Daten kritischer Systeme auslesen, sondern die Systeme auch lahmlegen oder sogar beschädigen.
Zugriff auf Pumpanlagen möglich
"Mindestens in einem dieser Wasserwerke war auch ein Zugriff auf die Pumpanlagen möglich, speziell auf die Umdrehungen pro Minute. Im schlimmsten Fall ließe sich so die Wasserversorgung von ganzen Städten und Gemeinden unterbrechen", schreiben die Autoren auf "Golem.de".
Auch in die Steuerung eines "Smart Buildings" in Israel zu kommen, war offenbar kein Problem. Bei dem Tower mit Luxuswohnungen war das System zur Gebäudeautomatisierung unzureichend gesichert, so war der Zugriff ohne Authentifizierung möglich. Feindliche Angreifer könnten so einen erheblichen Schaden anrichten, immerhin hätten sie die Kontrolle über Beleuchtung, Klimaanlagen, Frisch- und Abwasserpumpen, Sicherungskasten und auf den Rauchmelder.
Mittlerweile wurden alle Sicherheitslücken von den Betreibern korrigiert.
(Red.)