Sicherheitsforscher: Viele Scada-Systeme stehen ungeschützt im Internet

Sicherheitsforscher haben auf der Konferenz Black Hat demonstriert, dass im Internet viele kritische Informationen zu Scada-Systemen verfügbar sind. Tom Parker gab einige Suchbegriffe wie Programmable Logic Controller (PLC) ein. Als Resultat lieferte ihm Google unter anderem eines, das auf eine Remote Terminal Unit (RTU) verwies, wie sie in Wasseraufbereitungsanlagen und Pipelines Verwendung finden. Sie schien mit dem Internet verbunden zu sein. Eine andere Suche lieferte ein Passwort: „1234“.

Ein PLC ist ein eingebetteter Computer, der Funktionen elektromechanischer Prozesse automatisiert. Und Scada steht für Supervisory Control and Data Acquisition – die Systeme, die in Kraftwerken und anderer kritischer Infrastruktur zum Einsatz kommen. Parker wies darauf hin, dass er sich durch einen Klick auf manche der gefundenen Links strafbar gemacht hätte – wegen Eindringens in ein Netzwerk ohne Genehmigung.

„Man kann eine Google-Suche im Webbrowser starten und möglicherweise gleich den Hauptschalter solcher Systeme umlegen“, sagte Parker, der bei dem Beratungsunternehmen FusionX in Australien als Chief Technology Officer angestellt ist. Sein Workshop lief unter dem Titel „Building, Attacking and Defending Scada Systems in the Age of Stuxnet“.

Die meisten Scada-Protokolle nutzen weder Verschlüsselung noch Authentifizierung, ergänzte Jonathan Pollet von Red Tiger Security. Es gebe oft keine Zugangsbeschränkung. Wenn ein PLC über einen Webserver verfüge und mit dem Internet verbunden sei, könne jedermann Befehle an seine IP-Adresse senden, die dann ausgeführt würden. Nur die Adresse selbst müsse man erst finden.

„Sie können damit anstellen, was sie wollen“, führte Poller aus. „Wenn die RTU oder der PLC mit starken Motoren verbunden sind, etwa um Wasser oder Chemikalien zu pumpen, kann man diese Leitungen abstellen. Handelt es sich um eine Umspannstation, kann man einen Stromausfall für einen ganzen Stadtteil oder eine Kleinstadt herbeiführen.“

Auch Pollets Behauptungen basieren auf eigenen Versuchen. Er und sein Kollege Daniel Michaud-Soucy hatten einen PLC mit eingebautem Webserver erworben. Dessen Identifizierungscode gaben sie in Google ein. So stießen sie auf den Trafo eines Umspannwerks in Großbritannien, der kein Passwort erforderte. Statt ihn abzustellen, verständigten sie jedoch den Energieversorger, dem er gehörte. „Man konnte den Status aller Schaltkreise sehen, die letzten Wartungsarbeiten, den Status des Trafos. Er ist immer noch im Internet, aber jetzt wird ein Passwort gefordert. So etwas sollte nicht im Internet sein. Es handelt sich um eine Umspannstation im Betrieb.“

Tom Parker, CTO des Beratungshauses FusionX, googelt kritische Scada-Systeme, aber klickt die Links nicht an – er würde sich sonst strafbar machen (Bild: ZDNet).