Industrie-Kühlschränke mit Passwort 1234 abschaltbar

Den Kühlschrank des Nachbarn per Internet mal eben abschalten und dafür das Kennwort 1234 verwenden – dass ist jetzt für Industrie-Kühlschränke bittere Realität geworden.

Ich erinnere mich noch gut an die ersten Meldungen zum Internet der Dinge (Internet of Things, IoT), wo die Marketing-Fuzzis mit intelligenten Haushaltsgeräten warben. Zum Beispiel, dass der Kühlschrank am Internet hänge und selbst Milch oder andere Sachen bestellen könne. Die Waschmaschine oder Spülmaschine meldet, wenn sie fertig ist, Herd und Heizung sind per App zu steuern. Damals dachte ich noch 'was ein Unsinn, wer soll das bezahlen und wer braucht das?'. An das Thema Sicherheit habe ich damals noch nicht sofort gedacht. Inzwischen wissen wir, wie es um die Sicherheit von IoT-Geräten bestellt ist und dass das Zeugs gehackt werden kann.

Industrie-Kühlschrank mit Standardpasswort

Jetzt ist ein haarsträubender Fall aus dem Bereich der Industrie bekannt geworden (die Entdecker haben mich per E-Mail darüber informiert). Ein Hersteller lieferte Kühlsysteme für industriellen Kunden wie Supermärkte und Krankenhäuser aus. So weit so gut – und natürlich müssen diese Kühlsysteme auch am Internet hängen. Damit das Management da sofort im Bilde ist und notfalls die Systeme sogar aus der Ferne steuern kann.

Die israelischen Hacker und Aktivisten Noam Rotem und Ran L vom Forschungslabor Safety Detective haben sich Temperaturregelsysteme des schottischen Unternehmens Resource Data Management vorgenommen. Das ist ein Spezialist für Fernüberwachungslösungen, auch bei Kühlsystemen. Dabei wurde ein schwerwiegender Sicherheitsverstoß aufgedeckt, den die beiden in diesem Blog-Beitrag beschreiben.

Der Hersteller lieferte Kühlsysteme (Kühlschränke) mit einer Fernüberwachungslösung, die am Internet hängt, an die bereits oben genannten Industriekunden (Supermärkte, Krankenhäuser etc.). Leider war der Zugang zur Fernüberwachungslösung nur mit einem Standard-Kennwort 1234 gesichert.

Ein einfacher Scan mit der Suchmaschine Shodan zeigt Hunderte von Installationen in Großbritannien, Australien, Israel, Deutschland, den Niederlanden, Malaysia, Island und vielen anderen Ländern auf der ganzen Welt. Da jede Installation Dutzende von Maschinen kontrolliert, gibt es wohl viele tausend verwundbare Kühlsysteme, die sich per Internet beliebig steuern oder ausschalten lassen.

(Quelle: safetydetective.com)

Der obige Screenshot zeigt einen solchen Scan – überall wo rot eingefärbte Länder zu sehen sind, stehen verwundbare Kühlsysteme. Zum Zugriffe auf diese Systeme verwendet der Hersteller der Lösung das ungesicherte HTTP-Protokoll und den Port 9000 (oder manchmal 8080, 8100 oder sogar einfach 80). Alle Fernsteuerungslösungen haben einen Standardbenutzernamen und "1234" als Standardpasswort.

Die Autoren schreiben, dass dieses Kennwort und der Benutzername selten von den Systemadministratoren geändert wird. Alle Screenshots, die in dem Bericht der Forscher beigefügt wurden, erforderten keine Eingabe von Benutzer und Passwort. Die Forscher zeigten der Sekretärin, wie man andere Geräte online findet. Sie fand schnell, nur mit Hilfe von Google, ein angreifbares Kühlhaus in Deutschland und ein Krankenhaus in Großbritannien. Sowohl Golem als auch heise haben deutschsprachige Beiträge zu diesem Thema veröffentlicht.

Ähnliche Artikel:
Smart Home: Verbraucher bleiben skeptisch
Avast: 15,5 % der Smart Home-Geräte mit Sicherheitslücken
Security-Trends 2018: Der Preis der vernetzten Welt
IoT: Nachholbedarf bei der Sicherung des Smart Homes