Sie sind hier:

Lücken in der Software - Wie Hacker unsere Kraftwerke lahmlegen können

Datum:

Ein großflächiger Stromausfall ist ein übles Schreckensszenario. Wie leicht Kraftwerke von Hackern ausgeschaltet werden können, haben russische Sicherheitsforscher herausgefunden.

Das Braunkohlekraftwerk Jänschwalde in Brandenburg. Symbolbild
Man muss noch nicht einmal Expertenwissen haben, um Kraftwerke zu hacken. Die Bundesregierung will dennoch keine Meldepflicht für Sicherheitslücken.
Quelle: Christophe Gateau/dpa

In Kohle- und Gaskraftwerken werden die Turbinen vollautomatisch gesteuert. Das hat viele Vorteile. Gaskraftwerke können als Reservekraftwerke in Zeiten hohen Verbrauchs oder beim Ausfall von anderen Kraftwerken sehr schnell angefahren werden und ans Netz gehen.

Bei Kohlekraftwerken sorgt die Software für die Turbinensteuerung für einen sehr guten Wirkungsgrad. Das zentrale Element ist dabei der Anwendungsserver des Systems für die Turbinensteuerung. Solche Anwendungssysteme haben sich die Sicherheitsforscher Gleb Gritsa, Alexander Korotin und Radu Motspan genauer angeschaut. Das Ergebnis ihrer Analysen: In vielen Kraftwerken sind die Anwendungsserver voller Sicherheitslücken.

Nicht einmal Expertenkenntnisse notwendig - Probleme sind Passwörter

"Da gibt es so riesige Angriffsflächen, dass man gar nicht weiß, wohin man zunächst schauen soll", stellt Softwareexperte Gleb Gritsa von der IT-Sicherheitsfirma Kaspersky den Turbinensteuerungen ein schlechtes Zeugnis aus. Die Sicherheitsforscher haben das Zugangsmanagement für die Anwendungsserver bei den Turbinensteuerungen genauer unter die Lupe genommen. Ihre Erkenntnis: Man muss nicht einmal Softwareexperte sein, um die Steuerungssoftware für die Turbine zu kapern und die Stromerzeugung abzuschalten.

Über Jahre hinweg wurden zumindest von einem Hersteller an alle Kunden dieselben Passwörter ausgeliefert.
Alexander Korotin, Kaspersky-Softwareexperte

"Eines der bemerkenswertesten Probleme sind Passwörter", meint Gleb Gritsa. Gängige Zugangsberechtigungen mitsamt der gültigen Passwörter haben sie sogar mit einer simplen Suchmaschinenanfrage gefunden. "Über Jahre hinweg wurden zumindest von einem Hersteller an alle Kunden dieselben Passwörter ausgeliefert", berichtet ihr Kollege Alexander Korotin.

Zudem neigen die Kraftwerksbetreiber offenbar nicht dazu, die vom Hersteller mitgegebenen Passwörter noch einmal zu ändern, nachdem sie das System in Betrieb genommen haben. Die Änderungsprozedur gilt als unerhört schwierig.

Schadsoftware: Wirklicher Angriff hätte zu massiven Stromausfällen geführt

Außerdem gelang es den Sicherheitsforschern ohne große Mühe, Schadsoftware in den Java-Code auf den Anwendungsservern einzuschleusen. Sie konnten die von ihnen aufgespielte Schadsoftware mit allen notwendigen Berechtigungen ausführen. Ein wirklicher Angreifer hätte somit die Turbine abschalten können. Das hätte zu massiven Stromausfällen geführt. Von den Sicherheitslücken sind auch verschiedene Kraftwerke betroffen.

Zumindest eine Herstellerin, die von Kaspersky im November vergangenen Jahres über die massiven Gefahren informiert worden war, hat inzwischen eine Sicherheitswarnung und ein Update für das Steuersystem herausgegeben. Wieviele Kraftwerksbetreiber dieses Update auf wie vielen Steuerungssystemen eingespielt haben, lässt sich im Augenblick allerdings nicht sagen.

Bundesregierung will keine Meldepflicht

"Die Sicherheitslücken haben wir in den Leittechniksystemen von fünf Herstellern gefunden", berichtet Radu Motspan. Das Bundesamt für Sicherheit in der Informationstechnik hat inzwischen die von den Kaspersky-Mitarbeitern demonstrierten Sicherheitslücken bestätigt. Ein Behördensprecher verwies darauf, dass das Amt bereits im Dezember 2019 eine Sicherheitswarnung an die Kraftwerksbetreiber herausgegeben habe.

Ein Großteil der in deutschen Kraftwerken gefundenen Sicherheitslücken ist noch nicht geschlossen. Bis Ende Januar soll dazu eine genaue Sicherheitsanalyse vorgestellt werden. Die deutschen Kraftwerksbetreiber haben gegenüber dem Bundesamt für Sicherheit in der Informationstechnik darauf hingewiesen, dass bisher noch kein digitaler Angriff auf ein Kraftwerk in Deutschland erfolgt sei, der zu einer Turbinenabschaltung geführt habe.
Dass die gefundenen Sicherheitslagen allerdings zu großflächigen Stromausfällen in Deutschland führen können, wird von keinem Sicherheitsexperten mehr bestritten. Dennoch will die Bundesregierung mit dem neuen IT-Sicherheitsgesetz keine Meldepflicht für Sicherheitslücken einführen. Nachrichtendienste und Militärs, die solche Schwachstellen für digitale Angriffe und Spionage benötigen, haben ihr Veto eingelegt.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Zur Merkliste hinzugefügt! Merken beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Um zu verstehen, wie unsere Webseite genutzt wird und um Ihnen ein interessenbezogenes Angebot präsentieren zu können, nutzen wir Cookies und andere Techniken. Hier können Sie mehr erfahren und hier widersprechen.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, können Sie jetzt eine Altersprüfung durchführen. Dafür benötigen Sie Ihr Ausweisdokument.

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.