Heizungsbaumeister Uwe Kliemisch warnt:
Außentemperaturen um den Gefrierpunkt, Heizung und Warmwasser: ausgefallen. Dieses winterliche Horrorszenario wurde für die Bewohner zweier Mehrfamilienhäuser im ostfinnischen Lappeenranta kalte Realität. Die zentrale Heizungsanlage sei zwischen Ende Oktober und Anfang November tagelang ausgefallen, berichtet die finnische Tageszeitung Etelä-Saimaa. Grund: Mit Hilfe einer sogenannten DDoS-Attacke habe ein Hacker die mit dem Internet verbundene Anlage gezielt sabotiert.
Ist das auch in Deutschland denkbar? Laut SHK-Fachmann Uwe Kliemisch ist die Gefahr nicht auszuschließen. Es sei ein Trend unter den Herstellern, Heizungsanlagen mit einem Fernzugriff auszurüsten. „Über diese Online-Verbindungen erfolgt der externe Zugriff auf die Heizungsanlage und deren Regelung“, sagt der Obermeister der Innung für Gebäude- und Informationstechnik Delmenhorst/Oldenburg-Land. Vorteil für Handwerker und Kunden: Die Anlage lässt sich aus der Ferne überwachen, Störungen können schnell behoben werden, teils ohne dass ein Techniker vor Ort sein muss. Nachteil: Als Endgerät mit Internetverbindung, ist ein Heizungssystem auch eine potenzielle Beute für eine DDoS-Attacke.
Riskanter Angriff – auch für den Hacker
Das Problem dieser Angriffe: „Sie sind sehr effektiv und können auch von Hackern mit geringer Fachkenntnis durchgeführt werden“, sagt IT-Berater Thomas Duennemann von TD Consulting amp; Service. Mit einer DDoS-Attacke greift ein Hacker ein bestimmtes System gezielt an – und riskiert in Deutschland bis zu fünf Jahre Gefängnis.
Er braucht zudem Zeit und Know-how: „Er muss das Netzwerk scannen, die IP-Adressen überprüfen und herausfinden, welche Hardware dahintersteckt“, erklärt Duennemann. Und der Hacker braucht ein großes Botnetz. Botnetze bestehen aus Armeen virenverseuchter Endgeräte, wie beispielsweise Heimcomputern, die einen Teil ihrer Leistung dem Cyberangriff opfern. Hacker können sie selbst aufbauen oder im Darknet mieten.
Heizung in der Endlosschleife
Sind alle Vorbereitungen getroffen, startet der Angriff. Ziel: die Ressourcen des Zielsystems blockieren. „Das funktioniert wie am Bahnhofsschalter“, erklärt Duennemann. „Sie haben nur drei Schalterbeamte aber 100 Kunden stürmen die Halle – dann herrscht da Stillstand.“ Hat der Angreifer mehr Bots, die Anfragen stellen, als das Zielsystem beantworten kann, ist die Blockade erfolgreich. In Finnland traf der Angriff laut Medienbericht die Steuerungseinheit für Zentralheizung und Warmwasserbereitung. Folge: Sie habe ihren Hauptsteuerkreis immer wieder neu gestartet, so dass die Heizung tagelang nicht arbeitete.
Für Heizungsbauermeister Uwe Kliemisch ist das aus deutscher Sicht jedoch wenig nachvollziehbar: „Nach einem erfolgten Angriff bleibt als Maßnahme, die Heizungsanlage vom Netz zu trennen.“ Die Heizung müsse dann ohne Online-Steuerung betrieben werden, damit kein Bewohner frieren muss. So gilt für Kunden im Notfall: Sie sollten die Notrufnummer ihres Handwerkers kennen. Er sorgt dafür, dass die Systeme trotz DDoS-Attacke arbeitsfähig bleiben.
DDoS immer mächtiger
Dennoch wächst die potenzielle Opferzahl für DDoS-Angriffe. Heute nutzen nicht nur Großanlagen Online-Verbindungen. „Das geht bis zu Kleinanlagen in Einfamilienhäusern, die per Tablet oder Smartphone gesteuert werden können“, sagt Kliemisch. Und die Botnetze werden immer mächtiger. Grund: Millionen internetfähige Geräte wie Kameras oder Kaffeemaschinen lassen sich wegen ihres oft sehr schwachen Passwortschutzes besonders leicht zu Botnetz-Sklaven machen.
Laut IT-Experte Thomas Duennemann gibt es aber mehrere Möglichkeiten, auch Heizungssysteme gegen DDoS-Attacken zu schützen: „Eine mögliche Methode wäre eine Rückfalllösung einzurichten.“ So startet die Steuerungssoftware im Ernstfall ein vorprogrammiertes Standardprogramm und verhindert so den Totalausfall.
Im Notfall hilft der Fachmann
Kunden, die eine eigene Heizung mit Online-Zugang haben und sichergehen wollen, empfiehlt Uwe Kliemisch, mit ihrem SHK-Handwerker abzusprechen, wie schnell der im DDOS-Notfall reagieren kann. „Endkunden, die hier gar kein Risiko eingehen wollen, raten wir, abzuwägen, ob sie wirklich eine Internetaufschaltung für ihre Heizung brauchen.“
(deg)
Weitere Themen, die Sie interessieren könnten:
In der Falle des Social Engineering: Tausche Passwort gegen Süßes
IT-Sicherheit: Ihre Webseite? Leichte Beute!
Vorsicht!: Betrüger gibt sich als Zöllner aus
