Egal ob Atomkraftwerk oder Waschanlage, Hacker finden Sicherheitslücken. Bei einer Konferenz in den USA zeigen sie, was man alles so hacken kann.

Die Hacker trafen sich bei der Black Hat-Hacker-Konferenz. Gehackt wurden unter anderem die Strahlenmessgeräte in Atomkraftwerken. Sie messen, ob Menschen oder Fahrzeuge und andere Gegenstände kontaminiert wurden. 

Die Messinstrumente dienen auch der Kontrolle, damit kein radioaktives Material aus einem Atommeiler herausgeschmuggelt werden kann. Deshalb gibt es stationäre wie mobile Geräte. Letztere hat sich der Sicherheitsforscher Ruben Santamarta angeschaut.

Übrigens: So sieht es bei der Hacker-Konferenz aus:

Die mobilen Geräte kommunizieren per Funk mit einer Basisstation. Santamarta kaufte sich auf E-Bay ein gebrauchtes Set aus einem mobilen Strahlenmessgerät und der dazugehörigen Basisstation - für 200 US-Dollar. Dann stellte er fest, dass die mobilen Instrumente ohne Verschlüsselung funktionieren, auch ohne Authentifizierung untereinander.

Es könnte zur Notabschaltung kommen

Das bedeutet, dass jeder, der ein solches mobiles Messgerät besitzt, der Basisstation ein nicht vorhandenes Strahlenleck melden und damit theoretisch die Evakuierung oder Notabschaltung auslösen kann. Ebenso kann die Meldung einer tatsächlichen Strahlung möglicherweise bewusst unterdrückt werden. Das Magazin Wired berichtete über die Erkenntnisse von Santamarta ebenso Heise.de.

Die Hacker finden Sicherheitslücken

Bei den stationären Geräten sah es nicht viel besser aus. Im Netz fand der Forscher die Steuerungssoftware für die Geräte. Darin war eine Backdoor eingebaut, quasi eine Hintertür in der Software mit einem fest hinterlegten Admin-Passwort: 5147. Wer sich über das Netz in das Gerät einloggt, kann es nach Belieben manipulieren. Die Hersteller sagen zwar, dass die Betreiber der AKWs streng abgesicherte Netze hätten, aber wirklich sicher klingt das nicht.

Auf der Konferenz ging es auch um die Laserwash-Serie, eine in den USA weit verbreitete Autowaschanlage. Diese kann von den Betreibern online ferngesteuert werden. Doch dummerweise fanden Hacker die Steuerungssoftware dazu im Netz. Hinzu kommt, dass die Hardware der Steuerung auf einem uralten Windows CE-Computer beruht, der bekannt ist für Sicherheitslücken. Und noch nicht genug: Es war auch noch ein Standardpasswort hinterlegt. Nämlich: 12345.

Wer sich in die Waschanlage einhackt, kann alles machen. Die Türen schließen, die Waschwalze absenken und so weiter.