'c't' deckt Sicherheitslücken in Industrieanlagen auf

    Die Experten der "c't" hätten zum Beispiel mit einfachen Mitteln die Schließanlage eines Fußballstadions mit rund 40 000 Sitzplätzen manipulieren und den mit den Türen verbundenen Alarmmechanismus ausschalten können. Zugang hätten sie sich auch zur Steuerung der Heizungsanlage in einem hessischen Gefängnis verschafft. Während die Manipulation von Gefängnisduschen noch amüsant erscheinen könne, stellten andere ähnlich gelagerte Sicherheitslücken etwa in Blockheizkraftwerken ein nicht unerhebliches Sicherheitsrisiko dar.

    Sicherheitssysteme von Industrieanlagen wie auch kleine Heizanlagen für Einfamilien-Häuser ließen sich vielfach über das Internet mit einer iPad-App steuern. Die zum Teil direkte Anbindung der Server an das Netz bietet aber vielfach ein Einfallstor für kriminelle Angreifer. Zum Teil lasse sich von außen über die Webserver sogar auf die Passwörter der Kunden und das Service-Passwort zugreifen, mit dem man sich als Entwickler am System anmelden und die Anlage manipulieren kann, schreibt das Magazin.

    Auch Steuersysteme, die von der beschriebenen Sicherheitslücke nicht betroffen seien, würden sich "zusehends zu tickenden Zeitbomben" entwickeln, ist sich "c't"-Redakteur Louis-F. Stahl sicher. Solche Industrieanlagen würden meist durch eingebettete Web-Systeme (embedded systems) gesteuert, die nach der Installation meist nicht regelmäßig mit Software-Updates gepflegt würden. "Sie verrichten nicht selten über Jahrzehnte hinweg ihren Dienst." Die Trennung vom eigenen Firmennetz und unbedingt vom Internet sollte deshalb selbstverständlich sein, schreibt Stahl./gri/DP/kja