Massive IT-Sicherheitslücken bei Windkraft- und Photovoltaikanlagen | Plusminus SWR
ฝัง
- เผยแพร่เมื่อ 8 ก.พ. 2023
- Unsere Recherchen zeigen, wie einfach sich Hacker Zugang zu Anlagen für Erneuerbare Energien verschaffen könnten - um sie zum Beispiel abzuschalten.
-----------
Dieses Video ist eine Auskopplung aus der vom SWR verantworteten ARD-Plusminus-Sendung vom 8. Februar 2023. Die ganze Sendung gibt es in der ARD-Mediathek unter: x.swr.de/s/plusminusardmediathek
Übrigens: Da Marktcheck zum SWR gehört, könnt ihr dieses Video kostenlos im WLAN herunterladen und unterwegs offline schauen!
-----------
SOLAR- UND WINDKRAFTANLAGEN: MANGELNDE IT-SICHERHEIT?
Wir treffen einen Branchen-Insider. Seit Jahren arbeitet er für Unternehmen, die mit Erneuerbaren Energien Strom erzeugen. Er möchte unerkannt bleiben. Die Versorgungssicherheit liegt ihm am Herzen. Deshalb will er uns zeigen, wie verwundbar Solar- und Windkraftanlagen bei möglichen Cyberangriffen sind.
"Dass wir eine so große Anlage finden, mit so vielen Informationen und dermaßen ungesichert. Also diese Anlage ist eine Katastrophe, also wirklich eine absolute Katastrophe!“
UNVERSCHLÜSSELTE LOGIN-SEITE IM INTERNET
Mit Hilfe einer speziellen Suchmaschine, die Maschinen und Geräte im Internet findet, entdeckt er nach nur wenigen Minuten die unverschlüsselte Login-Seite eines großen Solarparks in Nordrhein-Westfalen.
"Hier haben wir eine Anlage mit 14 Megawatt, das ist schon ganz ordentlich, nicht mehr klein. Es hat mich jetzt nicht gerade viel Gehirnschmalz gekostet und so richtige Hacking-Künste sind das auch nicht..."
VOREINGESTELLTES PASSWORT IN DER BEDIENUNGSANLEITUNG
Wo der Solarpark genau liegt, wollen wir aus Sicherheitsgründen nicht sagen. Unser Insider findet auch das voreingestellte Passwort für das Steuerungsmoduls - in der Bedienungsanleitung im Internet.
"Hier könnte ich das Ding jetzt einfach ausschalten. Wenn ich die auf einen Schlag ausschalte, dass wird sich schon bemerkbar machen. Das ist nicht ohne!"
GEFAHR FÜR DIE ENERGIEVERSORGUNG IN DEUTSCHLAND
Das eigentliche Problem sei nicht das Kennwort, sondern vielmehr, dass die Anlage überhaupt im Internet unverschlüsselt zu finden sei.
Und er entdeckt noch mehr unverschlüsselte Steuerungen von Solar- und Windkraft-Anlagen. Im Fall eines gezielten Cyberangriffs, kann das schnell für die Energieversorgung in Deutschland zu Problemen führen.
KLEINE UND MITTLERE PHOTOVOLTAIK- UND WINDKRAFTANLAGEN SCHLECHT GESCHÜTZT
Denn schon heute decken die Erneuerbaren über die Hälfte unseres Strombedarfs. Vor allem kleinere und mittlere Anlagen sind gegen Cyberangriffe oft schlecht geschützt. Das decken diese Recherchen schonungslos auf.
Filmautor: Jörg Hommer
Bildquelle: picture alliance/dpa | Karl-Josef Hildenbrand
-----------
► Energie aus Wind und Sonne - Was bringt Ökostrom für Klima und Umwelt? I Ökochecker SWR: • Energie aus Wind und S...
► Kampf um Strom - Welchen Preis zahlen wir für die Energiewende? | SWR: • Video
► Photovoltaik und Balkonkraftwerk - wann zahlen sie sich aus? | Marktcheck SWR: • Photovoltaik und Balko...
► Batteriespeicher - wenn das Vertrauen nachlässt | Marktcheck SWR: • Batteriespeicher - wen...
► Mit Balkonkraftwerk Strom erzeugen: Wann lohnt sich hier Photovoltaik? I Ökochecker SWR: • Mit Balkonkraftwerk St...
-----------
► Mehr Plusminus auch in der Mediathek: x.swr.de/s/plusminus
► Zu unserem TH-cam-Kanal-Abo geht es hier: x.swr.de/s/13x1
► Mehr zu Marktcheck auf unserer Facebook-Seite: / marktcheck
► Mehr zu unseren Ökocheckern gibt es auf Instagram: / oekochecker
► Kommentare sind willkommen - aber bitte unter Beachtung der Netiquette: www.swr.de/home/netiquette-10...
► Impressum: www.swr.de/impressum/
#windkraft #photovoltaik #blackout - แนวปฏิบัติและการใช้ชีวิต
![[UNCUT] ลูกหมี-ลิลลี่ เหงียน เปิดใจฟาด ปู มัณฑนา I คนดังนั่งเคลียร์ I 15 ก.ค.67](http://i.ytimg.com/vi/FKQ60Y7bJ6s/mqdefault.jpg)
Es wird sich erst ändern wenns Knallt oder per Gesetz Verpflichtend ist.
Die Gesetze gibt es schon
@@clydefrogster1203 aber keine kontrollen
@@clydefrogster1203 Mir ist kein Gesetz bekannt, dass die besondere Sicherung solcher Anlagen verlangt.
@@food7479Es gibt ein IT-Sicherheitsgesetz (mittlrweile in 2.0). Das betrifft auch die Betreiber von Kritischen Infrastrukturen (KRITIS), da fällt der Sektor "Energie" rein.
Das ist bei sehr vielen Systemen so: W-Lan Drucker in Arztpraxen, kommunale W-Lan Netze, Brandmeldeanlagen in Sporthallen...
Immer ist IT Sicherheit ein lästiger Kostenfaktor.
Als ich bei meinen Hausarzt war habe ich auch direkt nachgeschaut. Da konnte man über den Drucker ins Netzwerk (danke Wartezeit in der Arztpraxis ) Habe die denn aufgeklärt
@@Naddi2023ann Klär mal auf wie man über einen Drucker ins Netzwerk kommt?
Entweder ist der per Kabel verbunden oder per WLAN
(Oder standalone AP)
Ich schätze hier gehts oft ums Geld und mangelnde Beratung. Hab selbst schon erlebt wie Dienstleister "hoppla-hopp schnell was in Betrieb" genommen haben. Läuft -> Reicht. Über IT Sicherheit wurde nichtmal nachgedacht. Ob es für den Kunden eine gute Lösung warm konnte der Kunde gar nicht beurteilen. Diese sehen nur: Läuft oder läuft nicht. Ist wie Pfusch auf dem Bau... Man merkt es erst nach Jahren wenn es dann doch mal rein regnet und der Schaden bereits angerichtet ist.
Da ist ja die Internetseite von unserem Sportverein besser gesichert 😮
Jo. Euer Sportverein finanziert sich ja auch nicht mit dem Geld von Kommanditisten und dem Kredit einer Bank.
Just FYI für alle Quatscher die nicht aus der Branche kommen. IT Sicherheit und vor allem Ihre Wartung kostet Geld. Viel Geld. Und auch wenn "Ökostrom" für Verbraucher beim Stromanbieter teuer war, war er dennoch die letzten 20 Jahre (vor dem September 2021) fast überhaupt nicht lukrativ für die eigentlichen Erzeuger. 4-8 ct/ kWh war das Maxmimum für eine Anlage die zw. 3 und 8 Mio Euro kostet. Da sagt bestimmt jede Bank nen Kredit zu.
IT Sicherheit, in diesem Kostenrahmen mit einem 5 Euro Brandmelder zu vergleichen zeigt wie wenig Ahnung der Insider von den tatsächlichen Kosten hat...
Wohlgemerkt passiert ja nun was. Aber nicht weil gehackt wurde oder es in den Medien aufgetaucht ist, sondern weil die Erzeuger endlich fair entlohnt werden.
Da haben wir ihn wieder, den Fachkräftemangel.
Der Reinste Horror wenn da ein Skript schreibt mehr Anlagen gleichzeitig runter regelt dann könnte es sehr kritisch werden...
Innerhalb von 1-3 min vielleicht 4 oder 5 Windparks oder Solarparks (oder alle die zu finden sind gleichzeitig) von Volllast auf Null runter, da gibs dann aber einen Blackout.
LuL 10 Minuten mit Shodan gesucht - Lokale Anlage gefunden.
Krass, dass die so inkompetent sind.
Shodan - unser Freund
Der Beitrag zeigt nicht das volle Ausmaß des möglichen Schadens und betrifft nicht nur Erneuerbare Energien. Unser Stromnetz läuft bei 50 Hertz und diese Frequenz muss stabil gehalten werden. Jetzt könnten Angreifer dem Netz vorgaukeln, dass Anlagen abgeschaltet wurden, obwohl sie weiterhin Strom einspeisen. Daraufhin würden zusätzliche Anlagen angefahren werden und die Netzfrequenz steigt über den kritischen Wert und…..Blackout. Gleiches könnte man über die langsam sich verbreitenden Smart Meter machen. Ich täusche einen hohen Stromverbrauch vor und Kraftwerke werden hochgefahren. Netzfrequenz steigt über den kritischen Wert und…Blackout.
Also die Netzfrequenz kann überall im Netz gemessen werden. Man ist also auf keine zentrale Messtelle angewiesen. Wenn also dem Steuersystem der Wegfall von Erzeugungskapazität vorgegaukelt wird, braucht es auch einige Zeit bis Reservekraftwerke einspringen. Wenn sich aber die Netzfrequenz trotz vermeintlicher Unterproduktion von Storm nicht absenkt, dann kommen die Steuersysteme schnell zum Schluss, dass das Netz ausgeglichen ist. Die Primärregelung funktioniert dezentral rein über die Frequenz.
Solange also ein Hacker keine Schaltvorgänge auslösen oder provozieren kann, halte ich einen Blackout für nicht möglich. Ich schließe aber nicht aus, dass ein Hacker doch auch Schaltvorgänge im Netz durchführen kann.
Die Nachregelung im Netz passiert nur über die Frequenz, nicht darüber was Smartmeter und smarte Verbraucher über Internet kommunizieren. Aber mit Smartmetern könnte man natürlich die Haushalte automatisiert vom Netz trennen. Man sagt dem Smartmeter einfach, der Kunde hätte den Strom abgemeldet und der Anschluss soll abgeschaltet werden. Allein damit könnte ein Hacker viel Chaos anrichten.
Anzeige ist raus!
Jegliche Netzinfrastruktur, egal welche Kraftwerke, Schalt- und Umspannanlagen, Verteiler etc sind angreifbar. Hängt alles am großen Datennetz, ist somit verwund- und damit zerstörbar. Natürlich hört das beim Stromnetz nicht auf. Sehen wir den Tatsachen ins Auge.
wundert mich auch dass solche Lücken nicht besser ausgenutzt werden.
@SWR Marktcheck Ihr solltet vielleicht die IP noch unkenntlich machen bei 2:57 . th-cam.com/video/OMeP77OLHIA/w-d-xo.html Man kommt zwar nur auf den Router, aber vlt ist das schon ein Anfang für den nächsten Magic Trick.
Dazu wurde gesagt man will den Ort aus Sicherheitsgründen nicht verraten, und ne Minute später steht der Ort zweimal oben im Bild...
Hallo Querformat, danke für den Hinweis und Deinen aufmerksamen Blick. Wir haben die Stelle unkenntlich gemacht.
@@DedmenMiller Auf die Unfähigkeit der Deutschen ist eben 100% Verlass.
moderne Technik und Digitalisierung ist wie man immer besser erkennen kann, Fluch und Segen zugleich
Wohl eher die Menschen, die das alles ungesichert lassen gehören mal auf den Deckel!
Hauptproblem sind standardpasswörter der Geräte. Und da könnten die Hersteller im Auslieferungszustand schon viel zur Sicherheit beitragen.
Du würdest dich wundern wieviele Geräte „changeme“ als Passwort haben…
Also nicht im Werkszustand sondern nach Einrichtung einfach nicht geändert
5:35 Es ist bekannt, dass unsere Windanlagen nicht das Ziel waren, sondern nur Kollateralschaden.
Halt ÖR... Der Satellit gehört ja bestimmt zu Enercon. Wenn der gehackt wird ist das die Schuld des Unternehmens dass sich auf den Dienstleister des Satelliten verlassen hat.
Und die Leute sind dumm genug diesen miserablen Bericht abzukaufen.
Wobei eh schon viel passiert ist ganz ohne die Medien oder Hackangriffe. Denn seit Sept 2021 wird die Produktion von Ökostrom erst fair entlohnt.
Der dargestellte P-Rückfallwert ist die Wirkleistungsvorgabe im Fehlerfall. Solange kein Fehlerfall auftritt passiert erstmal gar nichts...dennoch schlimm das sowas unverschlüsselt in 2 Minuten
zu finden ist.
So ist es, der Parameter macht erstmal nichts direkt
Das sollte doch der IT-Sicherheitskatalog nach EnWG Paragraf 11 Absatz 1b lösen, aber vermutlich sind die Schwellenwerte zu hoch
Dafür gibt es ein IT-Sicherheitsgesetz, das Betreibern von kritischen Infrastrukturen (KRITIS) genaue Vorgaben macht.
Sieht man wie es umgesetzt wird!
@@paddy1004 bei den lächerlichen Gehältern gehen Experten lieber in die besser bezahlten Branchen 🫡
"Schaltet ein, schalte aus! Wieso muss man das überhaupt ausschalten?
Batteriespeicher dazwischen gepackt, um Spitzen zu überbrücken!
Wenn das jemand lahmlegen will, wird er das nicht auf 0 stellen 😂 entweder wird er Schwankungen verursachen 0-100-0-100, um die netzstabilität anzugreifen, oder für Spannungswerte sorgen die Gerätschaften zeitlich lahm legen.
Wieso sagen die, den genauen Ort, will man nicht sagen, zeigt aber einen Google Maps Ausschnitt und später den Ort auf ner Deutschlandkarte. Man kann daraus schließen, dass es der Flughafen Weeze ist. Schade.
wo es ist ist im grunde auch egal.. man kann nur hoffen das nach so einem bericht nicht 10hobby hacker mal auf die suche gehen im net wo sie unfug treiben können... zu der anlage müssen sie ja garnicht hinfahren
Schau Mal bei 2:57 oben in die Tabs ;)
Amateurhaufen.. leider. Selbst Hobby TH-camr bekommen das besser hin.
@@DedmenMiller ja ist mir dann später auch noch mal aufgefallen. Großgehirnzeit.
Das ist halt ÖR
Hallo PW, wir haben inzwischen Teile des Videos unkenntlich gemacht. Auch wenn wir genaue Orte nicht nennen können, möchten wir unsere Userinnen und User natürlich so gut wie möglich informieren und ihnen einen guten Überblick über ein Thema geben. Dass einzelne aus verschiedenen Einzelinformationen die richtigen Schlüsse ziehen, lässt sich dabei natürlich nicht immer vermeiden.
Moin und grüsse vom PV Kanal Weissnichs Welt - witzig ich habe genau zu dem Thema gestern eine diskussion mit einem Wechselrichterhersteller gehabt.. wollte genau dazu nämlich noch ein Video machen.. hoffen wir mal das die Verantwortlichen das Thema zügig angehen..
eigentlich hätte man erwarten können das die wka betreiber letztes jahr durch das russland hacking etwas klüger geworden sind..
das problem das eben alles so schön bequem übers internet machbar sein soll.. das ist ein fehler..
Kein Problem wenn dier Wechselrichter- Hersteller bei Auslieferung auf individuelle Passwörter geht. Viele Sicherheitslücken wurden geschlossen als Hersteller von Druckern/Wlan Routern/ Kameras auf individuelle Passwörter gingen. Dann kann auch wieder ein nicht so IT erfahrener Elektriker sichere Photovoltaikanlagen in Betrieb nehmen
Das ist einfach UNGLAUBLICH😡
Sogar ein/e Bürokaufmann/Frau kann ein WLAN Signal hacken, da will ich mir nicht ausmalen wie es bei der kritischen Infrastruktur aussieht.
😂😂😂😂
Un glaub lich!!!! Sowas darf nicht sein!
Kann man nichts machen. Es ist und bleibt Neuland in Deutschland.
Der Kunde will keine IT Sicherheit, weil es kostet. Die Techniker haben keine Ahnung... So geht es weiter.
das ist peinlich! wenn die einen remote zugriff unbedingt brauchen, dann einfach nen VPN tunnel, so wie alle homeserver hobbyisten das machen!
diese computer dürfen einfach keine offenen ports haben!!
bis auf einen VPN Port ;)
@@Chris-rq4qz ich glaube es geht auch ohne, wenn es dafür einen externen service gibt, der die verbindung herstellt. bei ner fritzbox muss man keinen port direkt freischalten, vielleicht macht die ja irgendwas eigenes im hintergrund. aber wie dem auch sei, halte ich das für eine sichere methode, wenn man z.B. wireguard benutzt.
Hacker müssen die nicht Abschalten, dass macht der Netzbetreiber ganz alleine.
😂😂😂 na klar.... die Hacker sind schuld wenn was schief geht...
Erster, ich bin der King 👑
Sauber, jetzt haste dir einen Keks verdient.
@@Ehle90 Danke 💋
furchtbar! Was kann man sagen!
Wer da etwas besser bescheid weiß, weiß das es ganz billige Fehler bei der Installation sind! Schade das hier so reißerisch berichtet wird! und das kostet auch nicht extra... schlechte doku
gibts es denn nur noch verantwortliche mit ganz wenig brain in deutschland????🤣🤣🤣
Es fängt schon an beim Verwenden des Wortes „Brain“ an.
Jeder versucht nur noch sein Gegenüber im Gespräch mit kompetenzheischenden Pseudofachbegriffen hierarchisch in die Defensive zu drücken.
Keiner setzt sich mehr dem Risiko aus mit klarer Sprache eventuell eigene Wissenslücken offenzulegen. So steht am Ende der Techniker am Ende ohne klare Weisung da, der Auftraggeber mit einer falschen Lageauffassung.
Deswegen habe ich das WIFI bei meiner Solaranlage weggemacht, ist doch besser so, oder? Geht auch ohne, brauche ich nicht und ist sicherer? Steht ja auch auf dem Wechselrichter.