Abo
  • Services:
Anzeige
Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten

Viele Windräder könnten ein IT-Security-Update vertragen.
Viele Windräder könnten ein IT-Security-Update vertragen. (Bild: Guillauma Souvant/Getty Images)

Windparks machen einen professionellen Eindruck, doch bei der IT-Sicherheit hapert es leider. Recherchen von Internetwache.org und Golem.de zeigen eine Menge Schwachstellen und ein Chaos bei der Zuständigkeit.
Von Sebastian Neef und Tim Philipp Schäfers

Windräder sind ein sichtbares Zeichen der Energiewende in Deutschland und auch deutsche Hersteller gelten als erfolgreiche Beispiele moderner Industriepolitik. Doch das heißt leider nicht, dass die professionell anmutenden Anlagen aktuellen Anforderungen an die IT-Sicherheit entsprechen. Internetwache.org und Golem.de haben durch eine monatelange Recherche herausgefunden, dass viele Anlagen über zahlreiche Schwachstellen angreifbar sind - und das Bewusstsein für IT-Sicherheit sowohl beim Hersteller als auch offenbar bei den Betreibern nicht besonders ausgeprägt ist. Zudem herrscht offenkundig ein Zuständigkeitschaos, das die klare Zuordnung von Verantwortung erschwert.

Anzeige

Exemplarisch dokumentieren wir die Probleme an Anlagen des Herstellers Nordex, den wir auch zu den von uns gefundenen Schwachstellen befragt haben. Schon mittels einfacher Google-Recherchen können detaillierte Informationen zu Windparks abgerufen werden, außerdem verwenden viele Geräte das gleiche Sicherheitszertifikat. Wer also eine Anlage kompromittiert, könnte zahlreiche andere übernehmen. Diese Mühe müssen sich Angreifer aber nicht einmal unbedingt machen. Denn die Kommunikation mit der Weboberfläche läuft bei vielen Anlagen standardmäßig unverschlüsselt ab.

Auch die Software auf den Anlagen ist nicht aktuell, darüber hinaus werden häufig Consumer-Router mit unzureichender Sicherheit eingesetzt, um die Anlagen mit dem Internet zu verbinden. Angreifer könnten Ransomware-Angriffe starten und die Windräder so lahmlegen, bis ein Lösegeld bezahlt wird. Geschieht dies in großem Umfang, könnte der Mangel an Kapazitäten zu Unregelmäßigkeiten im Stromnetz führen. Eine zielgenaue Abschaltung Hunderter Anlagen, wie sie in einem Hollywood-Hackerfilm vorstellbar wäre, ist nach unseren Recherchen aber immerhin nicht zu befürchten.

Nach unserer Anfrage verwies Nordex auf vorliegende Sicherheitsrichtlinien und darauf, dass sich das Unternehmen an die Gesetze halte. Ein Sprecher sagte: "Wir bitten weiterhin um Ihr Verständnis, dass wir detaillierte Aussagen über unsere internen Abläufe und Sicherheitsmechanismen bei der Anlagensteuerung bewusst nicht in der Öffentlichkeit treffen wollen. Details hierzu teilen wir ausschließlich mit unseren Kunden, Partnern und Sicherheitsexperten und unterliegen Vertraulichkeitsvereinbarungen." Unter IT-Experten wird eine solche Argumentation als "Security by Obscurity" bezeichnet. Empfehlenswert ist dieses Vorgehen nicht, weil davon ausgegangen wird, dass schon keiner so genau hinschauen wird und die Sicherheitsprobleme damit auf magische Weise verschwinden. Wir allerdings haben genau hingeschaut.

Wie wir die Schwachstellen gefunden haben

Zunächst haben wir - wie auch zu Beginn vieler anderer Recherchen - einfach im Internet nach Herstellern aus der Branche gesucht. Nach einiger Zeit stößt man unserer Erfahrung nach so unweigerlich auf konkrete Produkte und teilweise auch auf Software. Im Rahmen unserer Recherche wurden wir auf verschiedene Hersteller aufmerksam, die auf ihrer Webseite sehr großzügig mit Informationen zu ihren Windrädern umgingen.

Zahlreiche der von uns gefundenen Anlagen stammen vom Hersteller Nordex. Die simple Suche nach den drei Wörtern "wind farm portal" lieferte zudem bereits einen Treffer mit der IP-Adresse einer Windanlage auf der ersten Suchseite in Google. Wie wir herausfanden, kann man sich mittels Suchfilter sogar auf einen Schlag alle Google bekannten Nordex-Wind-Farm-Portal-Systeme anzeigen lassen. Allein über Google finden wir so circa 100 Systeme, die augenscheinlich für die Administration von Windparks vorgesehen sind.

Warum Suchmaschinen diese Systeme überhaupt bekannt sind oder besser gesagt bekannt sein dürfen, ist fraglich, denn es hat für Betreiber wohl kaum einen Vorteil, wenn sich das Administrationsportal ihrer Windparks über Google finden lässt. Nordex hat uns auf Nachfragen zur Indexierung dazu Folgendes mitgeteilt: "Die Indexierung durch Suchmaschinen wird weitgehend durch den jeweiligen Betreiber bestimmt. Soweit Nordex hier Einfluss nehmen kann (z. B. durch Einsatz einer robots.txt), wird dies vorgenommen."

Auf 181 Systemen und damit auf einem absoluten Großteil der Systeme war keine robots.txt zu finden. Diese verhindert allerdings, anders als vielfach angenommen, auch gar nicht die Indexierung innerhalb von Google, sondern ausschließlich das Cachingverhalten. Zur Vermeidung der Indexierung innerhalb von Google wäre im vorliegenden Fall ein Noindex-Tag notwendig. Dabei muss der Quellcode modifiziert werden; dies obliegt unserer Kenntnis nach ausschließlich Nordex. Nicht alle Betreiber scheinen sich der Problematik übrigens überhaupt bewusst zu sein. Einige von ihnen zeigten sich auf Anfrage von Golem.de überrascht, dass ihre Anlagen im Netz auffindbar waren.

Doch die Anlagen bei Google zu finden, war nur der erste Schritt unserer Recherche.

HTTPS ist nicht Standard 

eye home zur Startseite
Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³



Anzeige

Stellenmarkt
  1. Der Polizeipräsident in Berlin, Berlin
  2. NRW.BANK, Düsseldorf
  3. Landis+Gyr GmbH, Nürnberg
  4. Weleda AG, Schwäbisch Gmünd


Anzeige
Top-Angebote
  1. (heute u. a. Samsung Galaxy S8 499,00€, PS4 inkl. FIFA 18 und 2 Controllern 279,00€)
  2. 44,99€ statt 60,00€

Folgen Sie uns
       


  1. SuperSignal

    Vodafone Deutschland schaltet Smart-Cells ab

  2. Top Gun 3D

    Mit VR-Headset kostenlos ins Kino

  3. Übernahme

    Marvell kauft Cavium für 6 Milliarden US-Dollar

  4. Wilhelm.tel

    Weiterer Kabelnetzbetreiber schaltet Analog-TV ab

  5. Grafiktreiber

    AMDs Display-Code in Linux-Kernel aufgenommen

  6. Oneplus 5T im Test

    Praktische Änderungen ohne Preiserhöhung

  7. Vito, Sprinter, Citan

    Mercedes bringt Lieferwagen als Elektrofahrzeuge heraus

  8. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  9. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  10. The Update Aquatic

    Minecraft bekommt Klötzchendelfine



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Universal Paperclips: Mit ein paar Sexdezillionen Büroklammern die Welt erobern
Universal Paperclips
Mit ein paar Sexdezillionen Büroklammern die Welt erobern
  1. Disney Marvel Heroes wird geschlossen
  2. Starcraft 2 Blizzard lästert über Pay-to-Win in Star Wars Battlefront 2
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Star Wars Battlefront 2 im Test: Filmreife Sternenkrieger
Star Wars Battlefront 2 im Test
Filmreife Sternenkrieger
  1. Star Wars EA entfernt Mikrotransaktionen aus Battlefront 2
  2. Electronic Arts Community empört über freischaltbare Helden in Battlefront 2
  3. Star Wars Mächtiger Zusatzinhalt für Battlefront 2 angekündigt

Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

  1. Re: Also wieder nur umbauten

    thinksimple | 23:51

  2. Re: RAM-Geschwindigkeit?

    grorg | 23:50

  3. Re: Immer noch nicht hoehenverstellbar

    Teebecher | 23:50

  4. Re: Richtig so, FDP!

    teenriot* | 23:42

  5. Re: Tesla Model 3 ist 100x besser

    FrankGallagher | 23:42


  1. 17:26

  2. 17:02

  3. 16:21

  4. 15:59

  5. 15:28

  6. 15:00

  7. 13:46

  8. 12:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel