Menü
Leipziger Volkszeitung | Ihre Zeitung aus Leipzig
Anmelden
Lokales Online-Sicherheitslücken in Industrieanlagen: Leipziger Unternehmen sehen sich gewappnet
Leipzig Lokales Online-Sicherheitslücken in Industrieanlagen: Leipziger Unternehmen sehen sich gewappnet
Partner im Redaktionsnetzwerk Deutschland
15:28 06.05.2013
Viele Industrieanlagen haben in Deutschland offenbar ein Sicherheitsproblem Quelle: dpa
Anzeige
Leipzig

Grund für die Risiken sind schlecht gesicherte Online-Zugänge zu den virtuellen Bedienelementen der Betriebe. Auch Anlagen in Mitteldeutschland könnten betroffen sein. Zumindest aus einigen großen Unternehmen in und um Leipzig gab es am Montag aber Entwarnung.

Mit Hilfe der umstrittenen Internet-Suchmachine „Shodan“, die Sicherheitslücken im Netz automatisch sammelt und auflistet, kamen die Hannoveraner Experten den Risiko-Betrieben auf die Spur. „Wir haben bei unseren Recherchen im Februar mehr als 500 verschiedenen Anlagen gefunden, die mit einfachen Mitteln angreifbar waren“, erklärte c’t-Redakteur Ronald Eikenberg gegenüber LVZ-Online. Neben unzähligen Heizungsanlagen in privaten Haushalten, die über eine iPad-App kontrolliert werden, stieß die Redaktion auch auf mehrere kaum gesicherte Kraftwerke, eine Justizvollzugsanstalt, ein Fußballstadion, eine Brauerei und eine Klebstofffabrik. In allen Fällen befanden sich die c’t-Experten mit wenigen Handgriffen praktisch schon in den Schaltzentralen und hätten in den Betrieb eingreifen können.

Internetfreie Zonen im Kraftwerk Lippendorf – KWL sendet verschlüsselt

Vattenfall-Kohlekraftwerk in Lippendorf. (Archivfoto) Quelle: dpa

Im Kraftwerk Lippendorf in der Nähe von Leipzig wäre solch ein unerlaubter Zugriff laut Betreiber Vattenfall kaum denkbar. „Der Prozessbereich Leittechnik ist bei uns abgesichert. Wir verwenden ein sogenanntes Zonenmodell, das heißt: Die Beiden mit höchster Sicherheitsstufe sind komplett vom Internet abgekoppelt. So sollte es unmöglich sein, von Außen einzugreifen“, erklärte Vattenfall-Sprecher Thoralf Schirmer. Bei den Leipziger Stadtwerken (SWL) setzt man ebenfalls auf Abschottung als beste Sicherungsstrategie. „Allerdings ist diese Strategie durch zunehmende Verbreitung von IP-basierten Fernwirkprotokollen nicht mehr durchgängig durchsetzbar“, sagte SWL-Sprecher Thoralf Stein. Zwischen Zentrale und Netz müsse ein Austausch stattfinden. „Und jeder Kommunikationsstrang ist ein potentielles Einfalltor, wenn nicht hinreichende Vorbeugung stattfindet“, so Stein. Bis auf wenige, klar definierte Ausnahmen habe der Energieversorger in der Messestadt bisher aber keinen Zugriff zugelassen.

Auch die Kommunalen Wasserwerken (KWL) nutzen das Internet beim Betrieb ihrer Anlagen. „Die Steuerung erfolgt jedoch verschlüsselt über einen Datentunnel“, erklärte Pressesprecher Thomas Flinth. Zudem beschäftige das Unternehmen IT-Fachleute, die ihre Datennetze kontinuierlich überwachen und vor Angriffen schützen. Die Leipziger Verkehrsbetrieben (LVB) nehmen die c’t-Enthüllungen indes zum Anlass, die eigenen Sicherheitsbemühungen zu untermauern: „Die Ergebnisse bestätigen, dass der sehr hohe Stellenwert, der dem Thema IT-Sicherheit im Unternehmen LVB eingeräumt wird, gerechtfertigt wird“, heißt es aus der Zentrale. Die Internetanbindung der hauseigenen Systeme erfolge nur über besonders gesicherte und ständig geprüfte Netzwerkverbindungen. Zur Art der Sicherung wollten sich die LVB aber nicht äußern.

Kein Fernzugriff in der Leipziger JVA – Steuerungsmodule ohne Netzanbindung

In der Leipziger Justizvollzugsanstalt (JVA) weiß man um die Probleme, die durch eine externe Steuerung via Internet entstehen können. „Diesbezüglich wurde bereits bei der Errichtung von technischen Anlagen darauf hingewirkt, dass keine Fernwartungseinrichtungen vorhanden waren oder sind“, erklärte Sprecherin Susann Mielke. Weder Türen, noch Heizung oder ein anderes Steuerungsmodul im Gefängnis lasse sich über das Internet regulieren.

Laut des c’t-Berichts vom Montag waren die Experten der Redaktion bei ihren Recherchen auch in eine hessische Haftanlage gelangt und hätten hier die Wärme in den Zellen und die Duschtemperatur manipulieren können. Ebenso wie viele andere der gefundenen Anlagen mit Sicherheitslücken war hier ein Steuermodul eines Schweizer Herstellers installiert worden. Nach den Recherchen im Februar informierten die c’t-Redakteure neben dem zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI) auch die betroffenen Modul-Hersteller und die Betreiber der Anlagen. „In der Zwischenzeit sollte eigentlich genug Zeit gewesen sein, um die Lücken zu beheben“, so c’t-Redakteur Ronald Eikenberg. Allerdings wurden die Experten auch kurz vor Veröffentlichung des Artikels noch vielfach fündig.

Matthias Puppe / Patricia Liebling

Kommentare
Die Debatte geht am Morgen weiter
Die Kommentarfunktion ist zwischen 23:00 und 06:00 Uhr nicht aktiv – denn wir wollen eine gute Moderation der Beiträge gewährleisten.
Wir freuen uns am Morgen über Ihre konstruktiven Beiträge zum Thema!

Rund 1500 Computer-Freaks haben am Sonnabend die 7. Lange Nacht der Computerspiele zum Tag gemacht. Georg sitzt auf der Kante seines Stuhles und beugt sich weit vor.

06.05.2013

Mit einem Gedenkmarsch in Leipzig haben Mitglieder des Bundes der Antifaschisten am Sonntag an die Leiden der Insassen von Haftlagern zum Kriegsende 1945 erinnert.

05.05.2013

[gallery:500-2351688358001-LVZ] Leipzig. Dunkel, stinkend und voller Ratten – eine Vorstellung von Abwasserkanälen hat jeder. Doch nur wenige bekommen das weit verzweigte, unterirdische Netz je zu sehen.

04.05.2013
Anzeige