Letzte Aktualisierung am 20. Februar 2015.

Quelle: heise.de

Die Sicherheit von Industrieanlagen wird oft beschworen, die Praxis lässt aber viel zu wünschen übrig. Beim CCC-Congress in Hamburg zeigten Hacker, wie man Industrieanlagen lahmlegen und Millionenschäden verursachen kann. Doch ein Chemiewerk zu hacken ist schwerer, als es scheint.

Die erste Sicherheitsregel, industrielle Steuerungsanlagen nicht aus dem Internet zugänglich zu machen, wird immer wieder sträflich ignoriert.

In ihrem Vortrag in Hamburg beschäftigten sich Sergey Gordeychik und Aleksandr Timorin mit verteilten Energieanlagen im Netz. So fanden sie über einfache Scans fast eine Million Solar- und Windanlagen, deren Webinterfaces gar von Google indiziert worden waren. Noch schlimmer: Zwar waren die Steuerinterfaces passwortgesichert, doch wer die genauen URLs wusste, konnte sich auch ohne Passwort die Backup-Dateien des Systems herunterladen und dort die Zugangsdaten auslesen.

Bei anderen Systemen fanden die Forscher ein ganzes Horrorkabinett von Sicherheitslücken.

Wer aber nur zufällig einen anfälligen Switch sabotiert, hat wenig Chancen, irgendeinen greifbaren Effekt zu erzielen. „SCADA-Hacker haben ein sehr spezifisches Ziel“, erklärte Krotofil. Angreifern komme es oft darauf an, den maximalen wirtschaftlichen Schaden anzurichten.

Kommentar

Leider einmal mehr ein Hinweis, dass wir nicht mehr von hypothetischen Annahmen sprechen, sondern dass es bereits konkrete Hinweise auf derartige Vorfälle/Möglichkeiten gibt. Und einmal mehr hier der Hinweis, dass dazu auch noch die möglichen Dominoeffekte / kleine Ursache, große Auswirkung unterschätzt werden.