Relativ mühelos sei es gewesen, sagen Tim Philipp Schäfers und Sebastian Neef, über das Internet auf verschiedene Industriesteuerungen zuzugreifen. Darunter die Kontrollen für drei deutsche Wasserwerke. Auf ihrer Homepage internetwache.org veröffentlichen die beiden Informatikstudenten regelmäßig Berichte über Sicherheitsprobleme im Internet – Ergebnisse eigener Hacker-Versuche, mit denen sie keinen Schaden anrichten, sondern Problembewusstsein schaffen wollen. Die offene Flanke, die sie in der Steuerungssoftware der drei Wasserversorger entdeckten, dürfte noch für einiges Aufsehen sorgen.
80 ungeschützte Anlagen
Nach ihrem detaillierten Bericht über ihre Ergebnisse auf der IT-Nachrichtenseite golem.de griffen das Fachportal heise.de und Spiegel online das Thema auf. Was genau hatten die beiden vorgefunden? Um Angriffspunkte ausfindig zu machen, haben Schäfers und Neef mithilfe einer eigens entwickelten Software mehr als vier Milliarden Internet-Adressen gescannt. Dabei stießen sie auf 80 ungeschützte Steuer-Anlagen, alle vom gleichen Software-Hersteller. Mit dem Programm werden Industrieanlagen visualisiert, überwacht und teils auch ferngesteuert. Der Zugriff ist von PC, Tablets und Smartphones aus mit einem normalen Browser möglich. Neben den deutschen Wasserwerken waren auch Industrieanlagen in Italien, Einkaufszentren in Chile und Hochhaustürme in Israel betroffen. „Mich schockiert, wie leicht diese Anlagen zu finden waren und wie einfach Hacker sie mit Standardmethoden hätten sabotieren können“, wird Schäfers von Spiegel online zitiert.
„Mit vergleichsweise einfachen Mitteln“
Bei den Wasserwerken stießen die beiden nach eigenen Angaben auf „Human-Machine-Interfaces“ (HMI), die normalerweise der Überwachung und Steuerung von Maschinen und Anlagen vor Ort dienen. „Aus dem Internet sollten diese kritischen Systeme in keinem Fall zu erreichen sein. Wir fanden sie allerdings dort mit vergleichsweise einfachen Mitteln und erlangten so Zugriff auf ihre Administrationsoberflächen“, berichten die beiden auf golem.de. Mindestens in einem Fall hätten sie Zugriff gehabt auf die Steuerung der Pumpendrehzahl. Bei einem Wasserversorger hätten sie Störungsmeldungen ohne besondere Authentifizierung quittieren können, also mögliche Alarme unterdrücken.
Lücken geschlossen
Die beiden „Internetwächter“ meldeten ihre Funde dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Betreiber der betroffenen Anlagen kontaktierte. Die verwundbaren Wasserwerke sind jetzt geschützt und nicht mehr auf diesem Weg erreichbar. Schäfers und Neef sprachen auch den Hersteller der Software an. Er sei sich der Schwachstellen bewusst, für die sichere Systemkonfiguration seien jedoch die Anwender verantwortlich.