Eine neue Untersuchung hat ergeben, dass deutsche Heizanlagen ein größeres Sicherheitsrisiko aufweisen, als dies bisher angenommen wurde. Sowohl die Kleinkraftwerke in den privaten Haushalten als auch flächendeckende Fernwärmenetze in Kilometerlänge lassen sich über das Internet bequem von Hackern steuern. Was alle Anlagen gemeinsam haben? Ein Steuerungsmodul der Firma Saia-Burgess.
Die Heizung als Internetfalle
Aktuell wird darüber berichtet, dass aber gerade dieses Steuerungsmodul beispielsweise in Kleinkraftwerken von Vaillant und in einer größeren deutschen Justizvollzugsanstalt verwendet wird. Für Hacker ist es kinderleicht, sich schnell und problemlos in die Anlagen einzuloggen – die Sicherheitslücken sind enorm. Ursprünglich sollte der Internetanschluss der Heizungsanlagen eine schnelle und unkomplizierte Fernwartung möglich machen. Nun ist es für Außenstehende relativ unkompliziert, sich relevante Passwörter im Netz anzeigen zu lassen oder einen Techniker-Zugang anzulegen und sich in die Anlagen einzuloggen. Bei der Einrichtung des Anschlusses wurde es verpasst, ein virtuelles privates Netz (VPN) einzurichten. Damit sind die Anlagen nicht gegen Hackerangriffe geschützt.
Das Bundesamt für Sicherheit und Informationstechnik hat jetzt veröffentlicht, dass alleine in Deutschland über 500 Anlagen von dieser Sicherheitslücke betroffen sind. Eine aufgedrehte Heizung oder abgestelltes warmes Wasser wäre dabei noch das geringste Problem. Wenn Hacker sich zu einem Angriff entschließen und gezielt Komponenten beschädigen, kann es zu Tausenden Euro Schaden kommen. Die Heizungsanlagen würden danach für längere Zeit ausfallen. Was noch schlimmer wäre: Sicherheitssysteme wie die Notabschaltung könnten ausfallen und im Falle eines Feuers nicht mehr funktionieren. In einer Justizvollzugsanstalt würde es damit nicht nur zu einem erheblichen Sachschaden kommen, sondern viele Menschenleben wären gefährdet. Dieses Schadensausmaß lässt sich bisher nicht kalkulieren.
Die Schweizer Firma Saia-Burgess, die für das erhebliche Sicherheitsleck verantwortlich ist, will nun ihre Kunden wegen der Sicherheitslücke schnellstmöglich benachrichtigen. Außerdem wollen sie den Sicherheitsengpass umgehend durch die Entwicklung einer neuen Softwareaktualisierung schließen. Den Kunden bleibt bis dahin nur eine Möglichkeit: Offline gehen.