GWF Wasser Abwasser
Risiko kritische Infrastruktur: Wie gut sind deutsche Wasserwerke gegen Angriffe aus dem Netz geschützt?

Wie sicher sind unsere Wasserwerke?

Zwei Studenten verschafften sich Zugang zu den Steuerungen deutscher Wasserwerke und anderer sensibler Anlagen. In einem Fall hätten sie nach eigenen Angaben Pumpen abschalten können.

Relativ mühelos sei es gewesen, sagen Tim Philipp Schäfers und Sebastian Neef, über das Internet auf verschiedene Industriesteuerungen zuzugreifen. Darunter die Kontrollen für drei deutsche Wasserwerke. Auf ihrer Homepage internetwache.org veröffentlichen die beiden Informatikstudenten regelmäßig Berichte über Sicherheitsprobleme im Internet – Ergebnisse eigener Hacker-Versuche, mit denen sie keinen Schaden anrichten, sondern Problembewusstsein schaffen wollen. Die offene Flanke, die sie in der Steuerungssoftware der drei Wasserversorger entdeckten, dürfte noch für einiges Aufsehen sorgen.

80 ungeschützte Anlagen

Nach ihrem detaillierten Bericht über ihre Ergebnisse auf der IT-Nachrichtenseite golem.de griffen das Fachportal heise.de und Spiegel online das Thema auf. Was genau hatten die beiden vorgefunden? Um Angriffspunkte ausfindig zu machen, haben Schäfers und Neef mithilfe einer eigens entwickelten Software mehr als vier Milliarden Internet-Adressen gescannt. Dabei stießen sie auf 80 ungeschützte Steuer-Anlagen, alle vom gleichen Software-Hersteller. Mit dem Programm werden Industrieanlagen visualisiert, überwacht und teils auch ferngesteuert. Der Zugriff ist von PC, Tablets und Smartphones aus mit einem normalen Browser möglich. Neben den deutschen Wasserwerken waren auch Industrieanlagen in Italien, Einkaufszentren in Chile und Hochhaustürme in Israel betroffen. „Mich schockiert, wie leicht diese Anlagen zu finden waren und wie einfach Hacker sie mit Standardmethoden hätten sabotieren können“, wird Schäfers von Spiegel online zitiert.

„Mit vergleichsweise einfachen Mitteln“

Bei den Wasserwerken stießen die beiden nach eigenen Angaben auf „Human-Machine-Interfaces“ (HMI), die normalerweise der Überwachung und Steuerung von Maschinen und Anlagen vor Ort dienen. „Aus dem Internet sollten diese kritischen Systeme in keinem Fall zu erreichen sein. Wir fanden sie allerdings dort mit vergleichsweise einfachen Mitteln und erlangten so Zugriff auf ihre Administrationsoberflächen“, berichten die beiden auf golem.de. Mindestens in einem Fall hätten sie Zugriff gehabt auf die Steuerung der Pumpendrehzahl. Bei einem Wasserversorger hätten sie Störungsmeldungen ohne besondere Authentifizierung quittieren können, also mögliche Alarme unterdrücken.

Lücken geschlossen

Die beiden „Internetwächter“ meldeten ihre Funde dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Betreiber der betroffenen Anlagen kontaktierte. Die verwundbaren Wasserwerke sind jetzt geschützt und nicht mehr auf diesem Weg erreichbar. Schäfers und Neef sprachen auch den Hersteller der Software an. Er sei sich der Schwachstellen bewusst, für die sichere Systemkonfiguration seien jedoch die Anwender verantwortlich.

Verwandte Themen
Auszeichnung für KSB weiter
Promotionspreis Wasserchemie 2018 weiter
HAMBURG WASSER: Wechsel an der Spitze weiter
VKU: Richtig wählen! weiter
Absperrklappe für Fernwassertransport weiter
Branchenstandard IT-Sicherheit anerkannt weiter

Bücher Neu erschienen

Abwasserentsorgung Cover

Abwasserentsorgung

Gestaltungsformen | Rechtsgrundlagen | rechtliche Besonderheiten
Susanne Rachel Wellmann

mehr
Bohrbrunnen Cover

Bohrbrunnen

Planung | Ausbau | Betrieb
Christoph Treskatis

mehr
Wasseraufbereitung - Grundlagen und Verfahren Cover

Wasseraufbereitung - Grundlagen und Verfahren

DVGW Lehr- und Handbuch Wasserversorgung Bd. 6
Martin Jekel/Christoph Czekalla

mehr