Im Netz der Ahnungslosen
IoT-Server und Industriesteuerungen ungesichert im Netz
Vernetzte Anlagen können in der Industrie viele Probleme lösen. Hängt man sie ungeschützt ins Internet, schafft man sich aber eine Menge neue. Bei unserer Suche nach schlampigen Konfigurationen wurden wir allzu häufig fündig.
Wenn Privatpersonen versehentlich ihr Smart-Home ungeschützt ins Internet hängen, ist der Schaden überschaubar. Schlimmstenfalls können Scherzbolde aus der Ferne das Licht abschalten oder die Rollläden schließen. Richtig unangenehm wird es aber, wenn Industrieunternehmen ihre vernetzte oder „smarte“ Fabrik mit der ganzen Welt teilen. Das Potenzial für Erpressungen und Sabotage ist riesig. Was passiert, wenn Angreifer eine Chemiefabrik oder eine Ölraffinerie fernsteuern, möchte man sich nicht ausmalen. Eigentlich sollte man davon ausgehen, dass solche Unternehmen eigene IT-Sicherheitsexperten beschäftigen oder Expertise einkaufen und sich nach dem Stand der Technik gegen Angriffe schützen. Eigentlich.
Auf die Idee, die Sicherheit von Industrieanlagen mal systematisch zu untersuchen, brachte uns ein Tippgeber, der durch Zufall einen offenen MQTT-Server im Internet gefunden hatte. MQTT ist ein Protokoll, über das Sensoren und Aktoren einander Nachrichten schicken. Dabei läuft die Kommunikation nicht direkt von Gerät zu Gerät, sondern immer über einen MQTT-Broker, bei dem andere die Nachrichten abonnieren können. Das Protokoll haben wir bereits ausführlich vorgestellt [1] und nutzen es in Kombination mit Node-Red im c’t Smart-Home (siehe ct.de/yesy). Hat man gute Gründe dafür, kann man MQTT durchaus im Internet veröffentlichen – dafür verwendet man aber unbedingt MQTT über TLS auf Port 8883 und richtet für alle Endgeräte Benutzerkonten ein. Anmelden können Sie sich entweder per Passwort oder noch besser mit einem Zertifikat.