Hacken? Einfach klicken!

Für meine Tätigkeit als IT-Sicherheitsbeauftragter bereite ich gerade eine Präsentation vor. Dabei bin ich mal wieder über einen ungeschützten Web-Zugang gestoßen. Dabei handelt es sich um ein Gerät für Solaranlagen (https://www.solar-log.com/produkte…/hardwareportfolio).

Viele denken wahrscheinlich, zum „hacken“ benötigt man viel Wissen und Zeit. Oh nein, das geht auch viel einfacher. Über spezielle Suchmaschinen und Suchworte findet man lohnende Ziele, bei denen ein Zugriff ohne Zugangsdaten möglich ist.
Wie in diesem Fall, der Zugang ist über das Internet problemlos möglich. Nicht nur Statistiken und aktuelle Werte können aufgerufen werden. Nein, man hat vollen Zugriff auf das Gerät. Firmware-Updates, Änderungen an Einstellungen – alles wäre möglich.
Sicher kann man von Endverbrauchern nicht unbedingt ein tieferes IT-Know-How verlangen. Der Installateur dagegen sollte wenigsten verstehen, was er hier verbaut und warum und wie er es mit der „weiten Welt“ verbindet. Letztendlich sind hier auch die Hersteller gefragt. Nett, wenn wie in diesem Fall, rechts oben ein kleines rotes Dreieck blinkt und auf das Problem hinweist. Wenn man dann allerdings nicht „gezwungen“ wird, Passwörter zu vergeben, dann nützt dies gar nichts.

Für den Kunden könnte das in diesem Fall zu Ertragsausfällen oder sogar Schäden an der Anlage führen. In dem Fall habe ich eine E-Mail an die Deutsche Telekom geschrieben, in der Hoffnung, dass diese den Nutzer der IP-Adresse informiert.