Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Dennis Schirrmacher 353

Horus Scenario: Sicherheitsforscher skizziert Blackout in Europa aufgrund angreifbarer Solarstromanlagen

Horus Scenario: Sicherheitsforscher skizziert Blackout in Europa aufgrund angreifbarer Solarstromanlagen

Bild: horusscenario.com

Diverse Solarstromanlagen sollen kritische Sicherheitslücken aufweisen. Eine Attacke könnte einen kontinentalen totalen Stromausfall auslösen, warnt ein Sicherheitsforscher. Diese Gefahr sieht ein betroffener Hersteller nicht.

Ökostrom-Tarifvergleich Anzeige

Der Sicherheitsforscher Willem Westerhof zeichnet ein desaströses Bild und prophezeit einen möglichen von Hackern ausgelösten Blackout, zum Beispiel in Europa. Hacker könnten Sicherheitslücken in Solarstromanlagen ausnutzen und so ganze Stromnetze lahmlegen, warnt Westerhof. Das Ganze präsentiert er unter dem Namen Horus Scenario auf einer eigens dafür erstellten Webseite. Horus ist der ägyptische Himmelsgott.

Anzeige

Der betroffene deutsche, weltweit umsatzstärkste Hersteller SMA Solar Technology bestätigte gegenüber heise Security Sicherheitslücken in einigen Modellen. SMA spielte im gleichen Atemzug aber die Folgen möglicher Angriffe herunter. Einige Aussagen des Sicherheitsforschers sind SMA zufolge nicht korrekt. Zudem sollen Tatsachen verzerrt dargestellt sein.

Westerhof nennt insgesamt 21 Sicherheitslücken in diversen Solarstromanlagen. Er gibt an, dass mitunter kritische Lücken mit einem CVSS 3.0 Score 9.0 von 10 darunter sind. In seinem Beitrag nennt er keine Details zu den Lücken und konkreten Angriffsszenarien. Westerhof erläutert, dass er die Lücken in einem Testaufbau mit Solarstromanlagen von SMA gefunden hat.

14 Lücken sind CVE-Nummern inklusive einer Kurzbeschreibung zugeteilt. Daraus geht hervor, dass Angreifer etwa Anlagen via DoS-Attacke lahmlegen könnten. Außerdem ist der Umgang mit Passwörtern nicht optimal gelöst: Einige Anlagen werden offenbar mit Standard-Passwörtern ausgeliefert. Andere sollen sich zum Teil im Klartext mitschneiden lassen. Zudem sollen in einigen Szenarien schwache Hash-Verfahren Passwörter schützen, die sich so leicht knacken lassen.

Von der direkten Ausführung von Schadcode ist in den Beschreibungen nicht die Rede. Doch Angreifer sollen ohne Authentifizierung eine manipulierte Firmware auf Wechselrichtern installieren und diese so komplett übernehmen können. Ob diese Attacke über das Internet möglich ist, geht aus der Beschreibung der CVE-Nummer nicht hervor.

SMA weiß seit Ende 2016 Bescheid, erklärt Westerhof. Anfang 2017 informierte er Verantwortliche im Energie-Sektor und der Politik. Alle Beteiligten sollen sich ihm zufolge sehr kooperativ verhalten haben und unter anderem miteinander an Lösungen arbeiten.

SMA versicherte gegenüber heise Security, dass Sicherheitspatches in der Mache sind. Konkret sind die Modelle Sunny Boy TLST-21 und TL21, sowie Sunny Tripower TL-10 und TL-30 betroffen. Das Angriffsszenario zum Lahmlegen von Solarstromanlagen stuft SMA als "hoch komplex" ein und nur ein Hacker mit "erheblicher Erfahrung" soll einen erfolgreichen Übergriff einleiten können.

Insgesamt sieht SMA keine Gefahren für das öffentliche Stromnetz, da die von betroffenen Geräten zur Verfügung gestellte Leistung nur einen Bruchteil ausmacht. Selbst bei zeitgleichen Attacken halten sie einen Blackout für unwahrscheinlich. (des)

Anzeige

353 Kommentare

Themen:

Anzeige
  1. Jetzt patchen: Kritische Lücken in Dell EMC Data Protection Suite

    PC-Hersteller Dell

    Einige Dell-EMC-Produkte sind anfällig für Angriffe, die im schlimmsten Fall die vollständige Systemkompromittierung ermöglichen. Patches stehen bereit.

  2. BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    Wie Millionen anderer Geräte sind auch Amazons und Googles digitale Assistenten via Bluetooth angreifbar: Die BlueBorne-Schwachstellensammlung ermöglicht mitunter die komplette Systemübernahme. Zum Glück gibt es Einschränkungen – und Updates.

  3. Ryzenfall, Fallout & Co: AMD bestätigt Sicherheitslücken in Ryzen- und Epyc-Prozessoren

    AMD Ryzen

    Der Chiphersteller AMD konnte die Sicherheitslücken in Epyc- und Ryzen-CPUs sowie Promontory-Chipsätzen nachvollziehen und kündigt Sicherheitspatches für die betroffenen Systeme an.

  4. Sicherheitslücken in Pixel-Smartphones: Google revanchiert sich mit bislang höchster Bug Bounty

    Google

    Für die Entdeckung zweier gefährlicher Lücken in Googles Pixel-Geräten erhielt ein Forscher über 100.000 Dollar Belohnung. Mittlerweile ist die Gefahr gebannt.

  1. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  2. Weltweiter Erpressungstrojaner-Angriff auf Computernetzwerke

    "WannaCry": Das Bundeskriminalamt (BKA) hat die strafrechtlichen Ermittlungen übernommen. Global sollen 99 Länder betroffen sein

  3. Die Neuerungen von Linux 4.13

    Linux-Kernel 4.13

    Der neue Kernel kann die Schwerarbeit bei der HTTPS-Verschlüsselung übernehmen. Statt einer "inakkuraten" Taktfrequenzangabe findet sich in /proc/cpuinfo jetzt nur noch der Basistakt des Prozessors. Außerdem sind jetzt Treiber für neue Grafikkerne von AMD und Intel dabei.

  1. Wiener Motorensymposium: Volkswagen hybridisiert den Golf VIII

    alternative Antriebe, Elektroautos

    Volkswagen elektrifiziert die Massen: Auf dem Wiener Motorensymposium konkretisieren die Wolfsburger Ingenieure, wie sie sich die flächendeckende Hybridisierung des Golfs vorstellen. Erstmals erwähnt Volkswagen offiziell den Golf VIII, der 2019 eingeführt werden soll

  2. 180-Euro-Smartphone Honor 7C nun auch in Deutschland

    Einsteiger-Smartphone Honor 7C kommt für 180 Euro nach Deutschland

    Das Honor 7C kann jetzt auch in Deutschland gekauft werden. Zum Marktstart kostet das Smartphone der Huawei-Tochter 180 Euro. Dafür bekommt man kompetente Hardware, die allen gängigen Anwendungen gewachsen sein sollte.

  3. Astronomen verblüfft über Megafusion großer Galaxien

    Astronomen verblüfft über Megafusion großer Galaxien

    Gleich zwei Mal haben Forscher gewaltige Galaxienhaufen aufgespürt – weit zurück im jungen Universum. Dass sie zu jener Zeit schon zu Haufen verschmolzen, lässt die Astronomen rätseln. Beeindruckend ist noch eine andere Eigenheit der Massemonster.

  4. Außenminister Maas und der politische Prozess zur Ablösung Baschar al-Assads

    Syrien: Wiederaufbauhilfen aus dem Westen, um das "Regime mit dem Monster" auszuhebeln? Das politische Interesse ist klar, der moralische Grund trüb

Anzeige