Sensible Industrieanlagen zur Strom- oder Wasserversorgung sollten eigentlich besonders gut gegen Angriffe über das Internet geschützt sein. Es kommt aber immer wieder vor, dass diese Anlagen von außen erreichbar sind. Das macht sie angreifbar für Hacker. In monatelanger Recherche haben zwei Sicherheitsforscher in Zusammenarbeit mit Journalisten von "Golem" Dutzende Steuerungssysteme von Wasserwerken, Blockheizkraftwerken, Biogasanlagen und auch Smart Homes in Deutschland und Österreich entdeckt.

Manipulation möglich

Die deutschen Security-Experten Tim Philipp Schäfers und Sebastian Neef konnten über einen normalen Browser auf die Systeme zugreifen. Dazu haben sie eine Software entwickelt, die über vier Milliarden Internetadressen scannt. So sind sie auf 80 Steuersysteme gestoßen, die ungeschützt erreichbar waren.

Alle stammen vom gleichen Software-Entwickler. Mit der Software können die Anlagen von PC, Smartphone und Tablet aus visualisiert, überwacht und ferngesteuert werden. Theoretisch hätten die Sicherheitsforscher damit nicht nur Daten ausspionieren, sondern einige Anlagen sogar stilllegen können. Denn teilweise konnten sie sich Administrationsrechte über die Systeme verschaffen.

Der Zugriff sei vergleichsweise einfach gewesen. Der Fernzugriff auf die Anlagen sei mitunter schlecht oder gar nicht abgesichert gewesen. "Mich schockiert, wie leicht diese Anlagen zu finden waren und wie einfach Hacker sie mit Standardmethoden hätten sabotieren können", sagt Schäfers zum "Spiegel".

Kontrolle über Licht und Heizung

Die Steuersoftware wird in mehreren Ländern für verschiedene Zwecke eingesetzt. So fanden die Forscher anderem auch die Steuerungen einer Smart-Home-Anlage einer Ferienwohnung in Österreich, von Einkaufszentren in Chile und zwei Hochhäusern in Israel. Bei den Hochhäusern hätten die Sicherheitsforscher nach eigenen Angaben theoretisch die Beleuchtung abschalten können. Im Fall der österreichischen Ferienwohnung hätte man die Kontrolle über Licht und Heizung übernehmen können.

Der Hersteller sagte in einer Stellungnahme, dass es Sache der Kunden sei, die Systeme richtig zu konfigurieren. Ihre Entdeckung meldeten die Sicherheitsforscher schon vor einiger Zeit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) und den jeweils zuständigen Computer Emergency Response Teams (CERT), die die Betreiber der Anlagen kontaktierten. Inzwischen sollen die meisten Systeme nicht mehr online erreichbar. (red, 17.7.2016)