IT-Sicherheit "Es geht auch um Trinkwasser"

Die virtuelle Konsole einer Industrieanlage, zu finden mit spezialisierten Suchmaschinen.

(Foto: SZ)

Wie sicher sind Industrieanlagen? Recherchen der SZ zeigen: Steuerungs-Oberflächen stehen offen und schlecht geschützt im Netz.

Von Catharina Felke und Hakan Tanriverdi

Stefan Zölger, Meister im Bereich Abwasserversorgung, reißt die Augen auf: "Ja, ja, das ist es! Das gibt's doch gar nicht." Sein Chef Alexander Keilreder (beide Namen geändert) sitzt neben ihm und schaut ungläubig auf den Laptop. Dort ist die virtuelle Konsole einer Kläranlage zu sehen, kleine Pfeile visualisieren, wie das Abwasser durch die unterschiedlichen Behälter fließt. Der Wasserstand läst sich ablesen, ebenso mögliche Störmeldungen. "Das ist krass", staunt Keilreder.

Er ist technischer Leiter eines Verbands von Wasser- und Abwasserversorgern in Thüringen. 24 Kläranlagen fallen unter seine Verantwortung. Vor zwei Jahren wurde für jene Anlage, die er nun auf einem fremden Laptop sieht, die Möglichkeit des Fernzugriffs installiert. Der zuständige Elektriker besuchte extra eine Schulung. "Wir wollten durch den Online-Zugriff unsere Arbeit vereinfachen und Arbeitsstunden sparen", erklärt Stefan Zölger. Dass die technischen Oberflächen mit Live-Daten nun offen im Netz erreichbar sind, erschreckt ihn.

Noch eine zweite, kleinere Anlage ist ohne Passworteingabe erreichbar. Für beide Oberflächen sind keine Steuerfunktionen eingerichtet. "Damit Kollegen aus der Ferne nicht einfach etwas ändern oder beim Wischen aus Versehen wo drauf kommen", sagt Keilreder.

Unwissentlich wurden die Anlagen so auch vor möglichen Angreifern geschützt. Beunruhigt sind die beiden Männer dennoch, ebenso wie EES, Hersteller der verwendeten Übertragungstechnik. Ein Vertreter des Unternehmens erklärt: "Es geht auch um Trinkwasser, da geht viel über uns. Besonders im Süden Deutschlands." Mit dem jetzigen Wissen könne er jedenfalls nicht mehr ausschließen, dass sich Anlagen auch von außen steuern lassen. Die Datenverbindung zwischen der Technik der Kläranlage und den Endgeräten der Mitarbeiter hat EES an einen externen Dritten ausgelagert.

Recherchen der SZ zeigen: Außer Abwasseranlagen sind Steuerungen von Swimming Pools, Heiz- und Belüftungssysteme, Pumpen, Klimaanlagen kompletter Einrichtungshäuser und ein vollautomatisiertes Gemeindezentrum frei zugänglich. Für Stefan Zölger ist klar: Seine Anlage in Thüringen braucht ein Passwort. Zwei Tage später ist die Systemkontrolle offline, so wie es sein soll.

Angreifer brauchen Zeit, Geld und detailliertes Wissen

IT-Sicherheitsexperten sagen, dass grundsätzlich auch kritische Infrastruktur wie Kraftwerke und chemische Anlagen durch Hacker-Angriffe massiv beschädigt werden kann. Allerdings müssten die Angreifer sehr viel Aufwand betreiben, um Mensch und Umwelt physisch zu gefährden. Fachleute gehen davon aus, dass praktisch nur Hacker im Staatsauftrag über solche Kapazitäten verfügen. Damit sich ein Angriff spürbar auf Menschen auswirkt, etwa durch einen Stromausfall, sind viele Ressourcen nötig: Zeit, Geld und sehr spezifische Kenntnisse.

Über Steuerungs-Oberflächen, die in Suchmaschinen wie Shodan auftauchen, könnte es möglich sein, auf Systeme zuzugreifen und sie zu steuern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Betreibern, den Zugang über das Netz abzusichern - unabhängig davon, ob die Anlagen auch tatsächlich von Fremden gesteuert werden können. "In den Anlagen selbst sind Sicherheitsvorkehrungen, die einen Schaden, insbesondere von Menschen, abhalten sollen", sagt ein Sprecher des BSI. "Diese Vorkehrungen können nicht über die Bedienterminals beeinflusst werden."

Sensoren im Chemiewerk sollen Alarm schlagen

Die Systeme können zum Beispiel durch einen großen roten Knopf gesichert werden, mit dem ein Zuständiger die Anlage manuell abschalten kann. Oder Sensoren, die laufend Messungen durchführen. Werden zugelassene Werte überschritten, fährt die Anlage automatisch herunter. Im Fall eines Chemiewerks können das zum Beispiel Sensoren zum Füllstand oder der Temperatur sein, erklärt das BSI mit.

Der Sicherheitsmechanismus könne unter Umständen die Anlage beschädigen, nicht aber Menschen und Umwelt. Diese Sensoren "sollten nicht über das Internet erreichbar sein", heißt es. Das BSI betont, solche Systeme bis jetzt nicht im Netz gefunden zu haben.