Netzkolumne : Lasst eure Häuser offline!

Die Computerzeitschrift "c't" hat gezeigt, wie erschreckend einfach es ist, an das Internet angeschlossene Steuerungsanlagen zu manipulieren. Unter anderem hatte sie Zugriff auf die Heizungsanlage einer Haftanstalt. Das Beispiel zeigt: Wir sollten uns hüten, Systeme ohne Not an das Netz anzuschließen.

von
Lieber nicht ins Netz? Wo ein Port ist, ist auch ein Weg.
Lieber nicht ins Netz? Wo ein Port ist, ist auch ein Weg.Foto: dpa

Der Stuxnet-Schock war offensichtlich nicht groß genug. Mit diesem Computervirus war es den USA gelungen, Urananreicherungsanlagen des Iran zu sabotieren. Stuxnet funktionierte wie eine mehrstufige Rakete. In der ersten Stufe wurde sichergestellt, dass der Schädling über die USB-Schnittstelle in einen Computer eindringen konnte. Die zweite Stufe nutzte eine Schwachstelle im Windows-Betriebssystem. Erst mit der letzten Stufe wurde die eigentliche Steuerungsanlage so manipuliert, dass die Zentrifugen zur Urananreicherung nicht mehr richtig arbeiteten. In dieser Kombination war Stuxnet zwar nur für das iranische Atomprogramm gefährlich, dennoch war nicht nur den Experten des deutschen Systemsteuerungsherstellers klar: Die Gefahr reicht viel weiter als bis nach Natanz.

Kurt Sagatz ist Redakteur in der Medienredaktion des Tagesspiegels und verantwortet außerdem die Computerseite.
Kurt Sagatz ist Redakteur in der Medienredaktion des Tagesspiegels und verantwortet außerdem die Computerseite.Foto: Kai-Uwe Heinrich

Genutzt hat das offensichtlich wenig. Wie die Computerzeitschrift „c’t“ jetzt aufgedeckt hat, bedarf es nicht einmal ausgeklügelter Hightechviren, um sich Zugang zu den virtuellen Schaltzentralen von Industrieanlagen, Kraftwerken und sogar Gefängnissen zu verschaffen. Hunderte Anlagen standen demnach in Deutschland für Hackerangriffe sperrangelweit offen, weil sie ohne größere Schutzvorkehrungen mit dem Internet verbunden waren. Nicht einmal eine grundlegende Authentifizierung war nötig, um zum Beispiel die Schließanlage eines Fußballstadions mit 40 000 Sitzplätzen und die dazugehörige Alarmanlage zu manipulieren. Dem Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge sind von dieser kritischen Lücke 500 Anlagen in Deutschland betroffen. In einer hessischen Justizvollzugsanstalt hätten die „c’t“-Experten ohne Weiteres für angenehmere Temperaturen sorgen können, weil sich die Heizungsanlage des Gefängnisses ebenfalls aus dem Internet fernsteuern ließ.

Gefährdet sind indes nicht nur die ungeschützten Steuerungsanlagen. Eine mindestens genauso große Gefahr geht von eingebetteten Steuerungssystemen aus. „Tickende Zeitbomben“ nennt sie die „c’t“. Oft sind die Anlagen über Jahrzehnte in Betrieb, ohne regelmäßige Updates werden sie für Angriffe aus dem Internet zunehmend anfälliger.

Es muss ja nicht gleich ein Tüv eingeführt werden, aber einige grundlegende Sicherheitsstandards sollten für IT-Anlagen genauso selbstverständlich sein wie Sicherheitsnormen für Elektrogeräte. Zumal es um die Sicherheit von Heizanlagen für Einfamilienhäuser kaum besser bestellt ist. Die Zeitschrift zeigte, wie sie sich per iPad-App über das Internet steuern ließen. Sogar auf Passwörter der Kunden und das Servicepasswort, mit dem man sich als Entwickler am System anmelden und die Anlage manipulieren kann, konnten die „c’t“-Redakteure zugreifen. So bequem es in der Werbung aussehen mag, seine Haustechnik per Smartphone-App selbst aus dem Urlaub zu steuern, die Sicherheit sollte man dabei nie aus dem Blick verlieren.

Autor

3 Kommentare

Neuester Kommentar
      Kommentar schreiben