Image
Handwerk Archiv
Foto: handwerk.com

DDoS-Attacken

Hacker machen Heizung kalt

Cyberkriminelle können jetzt auch Heizungen lahmlegen. Droht uns damit ein kalter Winter?

 -  Heizungsanlagen mit einem Fernzugriff sind vor Hacker-Angriffen nicht sicher.
Heizungsanlagen mit einem Fernzugriff sind vor Hacker-Angriffen nicht sicher.
Foto: Torsten von Reeken

Außentemperaturen um den Gefrierpunkt, Heizung und Warmwasser: ausgefallen. Dieses winterliche Horrorszenario wurde für die Bewohner zweier Mehrfamilienhäuser im ostfinnischen Lappeenranta kalte Realität. Die zentrale Heizungsanlage sei zwischen Ende Oktober und Anfang November tagelang ausgefallen, berichtet die finnische Tageszeitung Etelä-Saimaa. Grund: Mit Hilfe einer sogenannten DDoS-Attacke habe ein Hacker die mit dem Internet verbundene Anlage gezielt sabotiert.

Ist das auch in Deutschland denkbar? Laut SHK-Fachmann Uwe Kliemisch ist die Gefahr nicht auszuschließen. Es sei ein Trend unter den Herstellern, Heizungsanlagen mit einem Fernzugriff auszurüsten. „Über diese Online-Verbindungen erfolgt der externe Zugriff auf die Heizungsanlage und deren Regelung“, sagt der Obermeister der Innung für Gebäude- und Informationstechnik Delmenhorst/Oldenburg-Land. Vorteil für Handwerker und Kunden: Die Anlage lässt sich aus der Ferne überwachen, Störungen können schnell behoben werden, teils ohne dass ein Techniker vor Ort sein muss. Nachteil: Als Endgerät mit Internetverbindung, ist ein Heizungssystem auch eine potenzielle Beute für eine DDoS-Attacke.

Riskanter Angriff – auch für den Hacker
Das Problem dieser Angriffe: „Sie sind sehr effektiv und können auch von Hackern mit geringer Fachkenntnis durchgeführt werden“, sagt IT-Berater Thomas Duennemann von TD Consulting amp; Service. Mit einer DDoS-Attacke greift ein Hacker ein bestimmtes System gezielt an – und riskiert in Deutschland bis zu fünf Jahre Gefängnis.

Er braucht zudem Zeit und Know-how: „Er muss das Netzwerk scannen, die IP-Adressen überprüfen und herausfinden, welche Hardware dahintersteckt“, erklärt Duennemann. Und der Hacker braucht ein großes Botnetz. Botnetze bestehen aus Armeen virenverseuchter Endgeräte, wie beispielsweise Heimcomputern, die einen Teil ihrer Leistung dem Cyberangriff opfern. Hacker können sie selbst aufbauen oder im Darknet mieten.

Heizung in der Endlosschleife
Sind alle Vorbereitungen getroffen, startet der Angriff. Ziel: die Ressourcen des Zielsystems blockieren. „Das funktioniert wie am Bahnhofsschalter“, erklärt Duennemann. „Sie haben nur drei Schalterbeamte aber 100 Kunden stürmen die Halle – dann herrscht da Stillstand.“ Hat der Angreifer mehr Bots, die Anfragen stellen, als das Zielsystem beantworten kann, ist die Blockade erfolgreich. In Finnland traf der Angriff laut Medienbericht die Steuerungseinheit für Zentralheizung und Warmwasserbereitung. Folge: Sie habe ihren Hauptsteuerkreis immer wieder neu gestartet, so dass die Heizung tagelang nicht arbeitete.

Für Heizungsbauermeister Uwe Kliemisch ist das aus deutscher Sicht jedoch wenig nachvollziehbar: „Nach einem erfolgten Angriff bleibt als Maßnahme, die Heizungsanlage vom Netz zu trennen.“ Die Heizung müsse dann ohne Online-Steuerung betrieben werden, damit kein Bewohner frieren muss. So gilt für Kunden im Notfall: Sie sollten die Notrufnummer ihres Handwerkers kennen. Er sorgt dafür, dass die Systeme trotz DDoS-Attacke arbeitsfähig bleiben.

DDoS immer mächtiger
Dennoch wächst die potenzielle Opferzahl für DDoS-Angriffe. Heute nutzen nicht nur Großanlagen Online-Verbindungen. „Das geht bis zu Kleinanlagen in Einfamilienhäusern, die per Tablet oder Smartphone gesteuert werden können“, sagt Kliemisch. Und die Botnetze werden immer mächtiger. Grund: Millionen internetfähige Geräte wie Kameras oder Kaffeemaschinen lassen sich wegen ihres oft sehr schwachen Passwortschutzes besonders leicht zu Botnetz-Sklaven machen.

Laut IT-Experte Thomas Duennemann gibt es aber mehrere Möglichkeiten, auch Heizungssysteme gegen DDoS-Attacken zu schützen: „Eine mögliche Methode wäre eine Rückfalllösung einzurichten.“ So startet die Steuerungssoftware im Ernstfall ein vorprogrammiertes Standardprogramm und verhindert so den Totalausfall.

Im Notfall hilft der Fachmann
Kunden, die eine eigene Heizung mit Online-Zugang haben und sichergehen wollen, empfiehlt Uwe Kliemisch, mit ihrem SHK-Handwerker abzusprechen, wie schnell der im DDOS-Notfall reagieren kann. „Endkunden, die hier gar kein Risiko eingehen wollen, raten wir, abzuwägen, ob sie wirklich eine Internetaufschaltung für ihre Heizung brauchen.“

(deg)

Weitere Themen, die Sie interessieren könnten:
In der Falle des Social Engineering: Tausche Passwort gegen Süßes
IT-Sicherheit: Ihre Webseite? Leichte Beute!
Vorsicht!: Betrüger gibt sich als Zöllner aus

Wenn Hacker eine Heizung sabotieren, kann ein Fachhandwerker sie zeitweilig wieder betriebsfähig machen.
Foto: Torsten von Reeken

IT-Sicherheit

Wie sicher sind deutsche Heizungen gegen Hackerangriffe?

Immer mehr Heizungen haben eine Verbindung zum Internet. Sind sie damit durch Hacker angreifbar? Zwei Hersteller klären auf.

Image
Handwerk Archiv
Foto: handwerk.com

Die zehn größten Gefahren im Netz

Und wie Sie sich dagegen wehren können

Trojaner, Würmer, Phishing – der Branchenverband Bitkom hat ein Ranking aufgestellt, was die IT in Ihren Betrieben derzeit am meisten bedroht. Wie Sie sich gegen diese Gefahren schützen können, lesen Sie hier:

Image
Handwerk Archiv
Foto: handwerk.com

IT-Sicherheit

Sicherheitstipps von den Profis der Spionageabwehr

Selbst wenn Sie es nicht wissen: Auch Sie haben wertvolle Daten! Angreifer aus dem Netz greifen unablässig Firmencomputer und Netzwerke an, mahnt der Verfassungsschutz. Hier erklärt er, welcher Betrieb welchen Mindestschutz braucht.

Image
Handwerk Archiv
Foto: handwerk.com

Internet der Dinge

Viel sicherer als Linux

Dieses neue Betriebssystem soll schlicht unknackbar sein.

Wir haben noch mehr für Sie!

Praktische Tipps zur Betriebsführung und Erfahrungsberichte von Kollegen gibt es dienstags und donnerstags auch direkt ins Postfach: nützlich, übersichtlich und auf den Punkt.
Melden Sie sich jetzt für unseren Newsletter an - schnell und kostenlos!
Wir geben Ihre Daten nicht an Dritte weiter. Die Übermittlung erfolgt verschlüsselt. Zu statistischen Zwecken führen wir ein anonymisiertes Link-Tracking durch.