Sicherheitslücken: Wie leicht haben es Heizungshacker?

Veröffentlicht von

Ein Rundfunkbeitrag meines Lieblingssenders Bayern 2 berichtete Ende Februar über Sicherheitsgefahren bei Smart Homes – also vernetzte, fernsteuerbare Haustechnik. Demzufolge sind viele Steuerungs- und Regelungssysteme anfällig für Manipulationen, sei es durch so einfache Dinge wie Standardpasswörter, die bei der Installation nicht geändert wurden, oder durch unsichere Router.

Heizungshacker drangen in hessisches Gefängnis ein

Letztes Jahr sind beispielsweise Hacker in die Heizungssteuerung einer hessischen Justizvollzugsanstalt eingedrungen. Zwar musste kein Häftling erfrieren (es war im Mai), doch es sind auch gefährlichere Manipulationen möglich, zum Beispiel bei Gasheizungen. Vor einem guten Jahr musste auch ein namhafter Heizungshersteller die Notbremse ziehen und etliche Kunden auffordern, den Netzwerkstecker ihrer Heizanlage zu ziehen.

Sicherheitslücken ermöglichen Manipulationen an Heizanlagen via Interet

Betroffen waren so genannte Nano-Blockheizkraftwerke, die in Ein- bis Dreifamilienwohnhäusern zum Einsatz kommen können. Ein Kunde wunderte sich über den ungewöhnlichen Datenverkehr und entdeckte so eine Sicherheitslücke in seiner Heizungssteuerung: Die eigentlich für Wartungszwecke und für die komfortable Fernsteuerung per Smartphone gedachte Internetverbindung konnte leicht missbraucht werden. Durch Schwachstellen in der Authentifizierung wurde es Hackern leicht gemacht, sich bei der Heizung als vermeintlicher Besitzer, Kundendienst oder sogar Entwickler anzumelden. So hätten sie die Anlage manipulieren können – also zum Beispiel im Winter die Heizung einfach ausschalten und den Frostschutz deaktivieren. Zudem waren die Anlagen über einen einfachen DynDNS-Dienst im Netz auffindbar.

Auch Großkraftwerke sind betroffen

Der Heizsystem-Anbieter konnte zunächst nicht viel mehr tun, als seine Kunden zu informieren und eine selbst angepasste Reglersoftware als Zwischenlösung zu installieren. Denn das Sicherheitsupdate des schweizer Softwarezulieferers ließ auf sich warten. Die betroffene Software wird übrigens nicht nur in kleinen Heizungsanlagen eingesetzt – auch große Fernwärmekraftanlagen sind damit ausgestattet! Trotzdem ließ der Hersteller sich Zeit mit einer Lösung.

Unverschlüsselter Internetzugang ist generell fahrlässig

Doch es wäre falsch, Software- und Anlagenherstellern allein die Schuld zuzuschieben; ein Wechsel oder Update der Steuerung gewährleistet noch lange nicht, dass alle Sicherheitslücken geschlossen sind. Auch bei den Betreibern vor Ort hapert es: So sind veraltete Webserver, die lange keine Sicherheitsupdates mehr gesehen haben, und unzureichende Verschlüsselung ein wesentlicher Unsicherheitsfaktor. Das Team von Heise Security vermeldet kritische Schwachstellen in hunderten von Industrieanlagen – die IT-Sicherheitsexperten des renommierten Computerfachmagazins c’t fanden wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Sportstadion mehr oder weniger schutzlos vor und informierten das Bundesamt für Informationssicherheit (BSI). Die richtige Technologie, um Heizkraftwerke und andere kritische Anlagen vor Hackerangriffen zu schützen, sei ein verschlüsselter VPN-Tunnel mit starker Authentifizierung.

Ist mein PC besser geschützt als ein Großkraftwerk??

Die Lektüre zahlreicher Artikel im Internet legt nahe, dass die Sicherheitsprobleme noch lange nicht gelöst und viele, viele Anlagen immer noch ungeschützt über das Internet manipulierbar sind – von der Kirchenglocke bis zur Kraftwerkssteuerung. Ich bin zwar keine IT-Expertin, aber beim Recherchieren beschlich mich das Gefühl, dass mein heimischer PC mit aktuellem Betriebssystem, Firewall und sicher(er)en Passwörtern vielleicht besser gegen Hackerangriffe und Computerviren geschützt ist als so manches Fernwärmekraftwerk, das tausende von Menschen mit Wärme versorgt und bei dem Sachwerte in Millionenhöhe kaputt gehen können, wenn irgendein vermeintlicher Spaßvogel es per Fernsteuerung einfach abschaltet.

Das kann doch irgendwie nicht sein, oder??

Die Wärmeenergiewende braucht sichere Steuerungen!

Schließlich werden auch kleine Heizungsanlagen immer komplexer. So genannte multivaltente Heizsysteme kombinieren verschiedene Wärmeerzeuger wie Solarthermie, Pellet- und Stückholzöfen, Wärmepumpen und/oder kleine Blockheizkraftwerke – da ist eine intelligente Steuerung das A und O. Ich behaupte mal, das Thema Sicherheit ist hier nicht ganz unwichtig. Und das Bewusstsein dafür ist – belehrt mich eines Besseren – noch ausbaufähig.

Foto: streichholz / photocase.de

Links und Quellen: