Industrie-Kühlschränke mit Passwort 1234 abschaltbar

Den Kühlschrank des Nachbarn per Internet mal eben abschalten und dafür das Kennwort 1234 verwenden – dass ist jetzt für Industrie-Kühlschränke bittere Realität geworden.


Anzeige

Ich erinnere mich noch gut an die ersten Meldungen zum Internet der Dinge (Internet of Things, IoT), wo die Marketing-Fuzzis mit intelligenten Haushaltsgeräten warben. Zum Beispiel, dass der Kühlschrank am Internet hänge und selbst Milch oder andere Sachen bestellen könne. Die Waschmaschine oder Spülmaschine meldet, wenn sie fertig ist, Herd und Heizung sind per App zu steuern. Damals dachte ich noch 'was ein Unsinn, wer soll das bezahlen und wer braucht das?'. An das Thema Sicherheit habe ich damals noch nicht sofort gedacht. Inzwischen wissen wir, wie es um die Sicherheit von IoT-Geräten bestellt ist und dass das Zeugs gehackt werden kann.

Industrie-Kühlschrank mit Standardpasswort

Jetzt ist ein haarsträubender Fall aus dem Bereich der Industrie bekannt geworden (die Entdecker haben mich per E-Mail darüber informiert). Ein Hersteller lieferte Kühlsysteme für industriellen Kunden wie Supermärkte und Krankenhäuser aus. So weit so gut – und natürlich müssen diese Kühlsysteme auch am Internet hängen. Damit das Management da sofort im Bilde ist und notfalls die Systeme sogar aus der Ferne steuern kann.

Die israelischen Hacker und Aktivisten Noam Rotem und Ran L vom Forschungslabor Safety Detective haben sich Temperaturregelsysteme des schottischen Unternehmens Resource Data Management vorgenommen. Das ist ein Spezialist für Fernüberwachungslösungen, auch bei Kühlsystemen. Dabei wurde ein schwerwiegender Sicherheitsverstoß aufgedeckt, den die beiden in diesem Blog-Beitrag beschreiben.

Der Hersteller lieferte Kühlsysteme (Kühlschränke) mit einer Fernüberwachungslösung, die am Internet hängt, an die bereits oben genannten Industriekunden (Supermärkte, Krankenhäuser etc.). Leider war der Zugang zur Fernüberwachungslösung nur mit einem Standard-Kennwort 1234 gesichert.

Ein einfacher Scan mit der Suchmaschine Shodan zeigt Hunderte von Installationen in Großbritannien, Australien, Israel, Deutschland, den Niederlanden, Malaysia, Island und vielen anderen Ländern auf der ganzen Welt. Da jede Installation Dutzende von Maschinen kontrolliert, gibt es wohl viele tausend verwundbare Kühlsysteme, die sich per Internet beliebig steuern oder ausschalten lassen.

Major Security Breach Found in Hospital and Supermarket Refrigeration Systems
(Quelle: safetydetective.com)

Der obige Screenshot zeigt einen solchen Scan – überall wo rot eingefärbte Länder zu sehen sind, stehen verwundbare Kühlsysteme. Zum Zugriffe auf diese Systeme verwendet der Hersteller der Lösung das ungesicherte HTTP-Protokoll und den Port 9000 (oder manchmal 8080, 8100 oder sogar einfach 80). Alle Fernsteuerungslösungen haben einen Standardbenutzernamen und "1234" als Standardpasswort.

Die Autoren schreiben, dass dieses Kennwort und der Benutzername selten von den Systemadministratoren geändert wird. Alle Screenshots, die in dem Bericht der Forscher beigefügt wurden, erforderten keine Eingabe von Benutzer und Passwort. Die Forscher zeigten der Sekretärin, wie man andere Geräte online findet. Sie fand schnell, nur mit Hilfe von Google, ein angreifbares Kühlhaus in Deutschland und ein Krankenhaus in Großbritannien. Sowohl Golem als auch heise haben deutschsprachige Beiträge zu diesem Thema veröffentlicht.


Anzeige

Ähnliche Artikel:
Smart Home: Verbraucher bleiben skeptisch
Avast: 15,5 % der Smart Home-Geräte mit Sicherheitslücken
Security-Trends 2018: Der Preis der vernetzten Welt
IoT: Nachholbedarf bei der Sicherung des Smart Homes


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Industrie-Kühlschränke mit Passwort 1234 abschaltbar

  1. Christian59 sagt:

    …na hoffentlich lernt man was daraus und ändert schleunigst
    die Passwörter – in "12345"!

    Ist eigentlich schon lustig, dass man im Weltall nach "intelligentem Leben"
    sucht – ich glaube auf der Erde gibt's das gar nicht…

    Gruss, Christian

    • Ludwig von Ay sagt:

      Drum wird ja jetzt schwer auf Künstliche Intelligenz gesetzt – wenn die natürliche anscheinend nicht ausreicht…

      Gruß, LvA

    • Dekre sagt:

      Nö, zweigeteilt.
      Wieso muss ein Kühlaggregat am Internet zusätzlich hängen. Die Faulheit ist der Grund: Überprüfung vor Ort ist ist das Maß.
      Die größte Schwachstelle in der Technik ist der Mensch, egal in welcher Hinsicht. Der Mensch ist der Ruin seiner selbst, w.z.b.w.

  2. Uwe sagt:

    Ich weiß, warum ich nicht smart lebe, weder FB noch WA nutze und in die Cloud nur gehe, wenn ich träume …

  3. Roland Moser sagt:

    Genau vor solchen Dingen warnt John McAfee. Nur hat er eben nicht nur Kühlschränke gemeint, sondern AKW, Bahnen, Verkehrsfluss usw.

    • Alfred Neumann sagt:

      Eben. Es hängen so viele Geräte und wichtige Infrastruktur offen im Netz, das es schon extra Suchmaschinen dafür gibt.
      Alles nur eine Frage der Zeit, bis des mal richtig in die Hose geht.

Schreibe einen Kommentar zu Dekre Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.