Sicherheitslücken: Wie leicht haben es Heizungshacker?

Ein Rundfunkbeitrag meines Lieblingssenders Bayern 2 berichtete Ende Februar über Sicherheitsgefahren bei Smart Homes – also vernetzte, fernsteuerbare Haustechnik. Demzufolge sind viele Steuerungs- und Regelungssysteme anfällig für Manipulationen, sei es durch so einfache Dinge wie Standardpasswörter, die bei der Installation nicht geändert wurden, oder durch unsichere Router.

Inhaltsverzeichnis

Heizungshacker drangen in hessisches Gefängnis ein

Letztes Jahr sind beispielsweise Hacker in die Heizungssteuerung einer hessischen Justizvollzugsanstalt eingedrungen. Zwar musste kein Häftling erfrieren (es war im Mai), doch es sind auch gefährlichere Manipulationen möglich, zum Beispiel bei Gasheizungen. Vor einem guten Jahr musste auch ein namhafter Heizungshersteller die Notbremse ziehen und etliche Kunden auffordern, den Netzwerkstecker ihrer Heizanlage zu ziehen.

Sicherheitslücken ermöglichen Manipulationen an Heizanlagen via Interet

Betroffen waren so genannte Nano-Blockheizkraftwerke, die in Ein- bis Dreifamilienwohnhäusern zum Einsatz kommen können. Ein Kunde wunderte sich über den ungewöhnlichen Datenverkehr und entdeckte so eine Sicherheitslücke in seiner Heizungssteuerung: Die eigentlich für Wartungszwecke und für die komfortable Fernsteuerung per Smartphone gedachte Internetverbindung konnte leicht missbraucht werden. Durch Schwachstellen in der Authentifizierung wurde es Hackern leicht gemacht, sich bei der Heizung als vermeintlicher Besitzer, Kundendienst oder sogar Entwickler anzumelden. So hätten sie die Anlage manipulieren können – also zum Beispiel im Winter die Heizung einfach ausschalten und den Frostschutz deaktivieren. Zudem waren die Anlagen über einen einfachen DynDNS-Dienst im Netz auffindbar.

Auch Großkraftwerke sind betroffen

Der Heizsystem-Anbieter konnte zunächst nicht viel mehr tun, als seine Kunden zu informieren und eine selbst angepasste Reglersoftware als Zwischenlösung zu installieren. Denn das Sicherheitsupdate des schweizer Softwarezulieferers ließ auf sich warten. Die betroffene Software wird übrigens nicht nur in kleinen Heizungsanlagen eingesetzt – auch große Fernwärmekraftanlagen sind damit ausgestattet! Trotzdem ließ der Hersteller sich Zeit mit einer Lösung.

Unverschlüsselter Internetzugang ist generell fahrlässig

Doch es wäre falsch, Software- und Anlagenherstellern allein die Schuld zuzuschieben; ein Wechsel oder Update der Steuerung gewährleistet noch lange nicht, dass alle Sicherheitslücken geschlossen sind. Auch bei den Betreibern vor Ort hapert es: So sind veraltete Webserver, die lange keine Sicherheitsupdates mehr gesehen haben, und unzureichende Verschlüsselung ein wesentlicher Unsicherheitsfaktor. Das Team von Heise Security vermeldet kritische Schwachstellen in hunderten von Industrieanlagen – die IT-Sicherheitsexperten des renommierten Computerfachmagazins c’t fanden wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Sportstadion mehr oder weniger schutzlos vor und informierten das Bundesamt für Informationssicherheit (BSI). Die richtige Technologie, um Heizkraftwerke und andere kritische Anlagen vor Hackerangriffen zu schützen, sei ein verschlüsselter VPN-Tunnel mit starker Authentifizierung.

Ist mein PC besser geschützt als ein Großkraftwerk??

Die Lektüre zahlreicher Artikel im Internet legt nahe, dass die Sicherheitsprobleme noch lange nicht gelöst und viele, viele Anlagen immer noch ungeschützt über das Internet manipulierbar sind – von der Kirchenglocke bis zur Kraftwerkssteuerung. Ich bin zwar keine IT-Expertin, aber beim Recherchieren beschlich mich das Gefühl, dass mein heimischer PC mit aktuellem Betriebssystem, Firewall und sicher(er)en Passwörtern vielleicht besser gegen Hackerangriffe und Computerviren geschützt ist als so manches Fernwärmekraftwerk, das tausende von Menschen mit Wärme versorgt und bei dem Sachwerte in Millionenhöhe kaputt gehen können, wenn irgendein vermeintlicher Spaßvogel es per Fernsteuerung einfach abschaltet.

Das kann doch irgendwie nicht sein, oder??

Die Wärmeenergiewende braucht sichere Steuerungen!

Schließlich werden auch kleine Heizungsanlagen immer komplexer. So genannte multivaltente Heizsysteme kombinieren verschiedene Wärmeerzeuger wie Solarthermie, Pellet- und Stückholzöfen, Wärmepumpen und/oder kleine Blockheizkraftwerke – da ist eine intelligente Steuerung das A und O. Ich behaupte mal, das Thema Sicherheit ist hier nicht ganz unwichtig. Und das Bewusstsein dafür ist – belehrt mich eines Besseren – noch ausbaufähig.

Foto: streichholz / photocase.de

Links und Quellen:

Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler (…), BHKW-Infothek 15.04.2013
Neue ecoPOWER 1.0 Firmware beseitigt Sicherheitslücken, BHKW-Infothek vom 28.08.2013
Fernwartung: Sicherheitslücke bedroht Hightech-Heizungen, Spiegel-Online 16.04.2013
Fünf nach zwölf, Online-Artikel des Computermagazins c’t (Heise Verlag), aus c’t-Heft 15/2013
Kritische Schwachstelle in hunderten Industrieanlagen, Heise Security, 02.05.2013

Vielen Dank, Sabine, dass Du dieses Thema aufgegriffen hast. Ich glaube, vielen in unserer Branche ist die neue Dimension der vernetzten Energie-Welt noch gar nicht ganz klar geworden.

Früher konnte man z.B. eine Steuerung/einen Regler so bauen, dass ihn maximal noch der Kundendienst updaten konnte (meine 15 Jahre alte Waschmaschine hatte bereits eine Infrarotschnittstelle, mit der die Programmierung hätte geändert werden können – z.B. um die Waschzyklen an geänderte Waschmittelzusammensetzungen anpassen zu können). Heute aber hängt fast alles am Netz und da muss der Hersteller eine Strategie für laufenden Updates haben. Das ist neu. Gerade bei embedded Systems (z.B. der Controller einer Heizungssteuerung) ist sowas bisher fast nie der Fall.

Softwarefirmen wie Microsoft und andere haben da jahrelange Erfahrung sammeln können. Für die meisten “Hardware-Firmen” ist das noch Neuland: Umgang mit Zero-Day Exploits, Update-Server betreiben, automatisierte Updates verteilen usw. Leider ist ein Mehr an Sicherheit in vielen Fällen mit einem (leichten) Verlust an Bedienungskomfort verbunden (evtl. muss ich eine Funktion explizit freischalten, ein Passwort eingeben oder eine sonstige Konfiguration vornehmen).

Die meisten Kunden aber schauen nach der vermeintlich einfachsten und feature-reichsten Lösung und interessieren sich nicht für die Probleme, die damit verbunden sein können. Das wird sich vermutlich erst langsam ändern, wenn einige Hersteller einen so schlechten Ruf bekommen haben, wie früher Microsoft mit seinen sehr unsicheren Windows-Systemen. Solange kann man nur an alle Hersteller appelieren, trotzdem Sicherheit und Datenschutz von Beginn an einzubauen und Strategien für den Notfall vorzuhalten. Denn auch das ist eine Erkenntnis aus der IT-Welt: Absolute Sicherheit gibt es nicht. Überall werden Fehler gemacht und man muss von vornherein die Kompromittierung der Systeme einplanen aber deren Auswirkungen minimieren.

Antworten

2 Kommentare

Uwe Trenkner sagt:

24. März 2014 um 10:09 Uhr

Vielen Dank, Sabine, dass Du dieses Thema aufgegriffen hast. Ich glaube, vielen in unserer Branche ist die neue Dimension der vernetzten Energie-Welt noch gar nicht ganz klar geworden.

Früher konnte man z.B. eine Steuerung/einen Regler so bauen, dass ihn maximal noch der Kundendienst updaten konnte (meine 15 Jahre alte Waschmaschine hatte bereits eine Infrarotschnittstelle, mit der die Programmierung hätte geändert werden können – z.B. um die Waschzyklen an geänderte Waschmittelzusammensetzungen anpassen zu können). Heute aber hängt fast alles am Netz und da muss der Hersteller eine Strategie für laufenden Updates haben. Das ist neu. Gerade bei embedded Systems (z.B. der Controller einer Heizungssteuerung) ist sowas bisher fast nie der Fall.

Softwarefirmen wie Microsoft und andere haben da jahrelange Erfahrung sammeln können. Für die meisten “Hardware-Firmen” ist das noch Neuland: Umgang mit Zero-Day Exploits, Update-Server betreiben, automatisierte Updates verteilen usw. Leider ist ein Mehr an Sicherheit in vielen Fällen mit einem (leichten) Verlust an Bedienungskomfort verbunden (evtl. muss ich eine Funktion explizit freischalten, ein Passwort eingeben oder eine sonstige Konfiguration vornehmen).

Die meisten Kunden aber schauen nach der vermeintlich einfachsten und feature-reichsten Lösung und interessieren sich nicht für die Probleme, die damit verbunden sein können. Das wird sich vermutlich erst langsam ändern, wenn einige Hersteller einen so schlechten Ruf bekommen haben, wie früher Microsoft mit seinen sehr unsicheren Windows-Systemen. Solange kann man nur an alle Hersteller appelieren, trotzdem Sicherheit und Datenschutz von Beginn an einzubauen und Strategien für den Notfall vorzuhalten. Denn auch das ist eine Erkenntnis aus der IT-Welt: Absolute Sicherheit gibt es nicht. Überall werden Fehler gemacht und man muss von vornherein die Kompromittierung der Systeme einplanen aber deren Auswirkungen minimieren.

Antworten
Sabine Eva Rädisch sagt:

24. März 2014 um 10:49 Uhr

Danke für deine Expertenmeinung, Uwe! Dein Kommentar bestätigt, dass Sicherheit ein wichtiges Thema bei Smart Homes ist, aber auch dass es technische Lösungen gibt – nur das Wissen darüber ist noch nicht so weit verbreitet, scheint mir. Für die meisten PC-Nutzer ist wohl ein Virenscanner selbstverständlich, aber ich kenne wenige, die sich z.B. über die Sicherheit ihres Smartphones Gedanken machen, das ja auch ein vollwertiger Computer ist, mit dem im Netz gesurft wird.
Unklar ist auch, was nach dem Ende von Windows XP geschehen wird – ab 8. April stellt Microsoft ja keine Sicherheitsupdates mehr zur Verfügung. Auf vielen Industrierechnern läuft aber noch Windows XP. Zum Glück habe ich bis jetzt nichts davon gehört, dass Heizsysteme bzw. Kraftwerke davon besonders betroffen wären – im Gegensatz zu vielen Geldautomaten…

Antworten