Wenn der Hacker an der Kirchglocke bimmelt

Fenster, Türen und Kameras zahlreicher Schweizer Kirchen konnten jahrelang mit simplen Tricks manipuliert werden.

Gebäude mit Sicherheitslücken: Zahlreiche Kirchen in der Deutschschweiz benutzen Computertechnologie für ihre Infrastruktur, die den aktuellen Sicherheitsstandards nicht entspricht. Bild: Daniel Ammann

Gebäude mit Sicherheitslücken: Zahlreiche Kirchen in der Deutschschweiz benutzen Computertechnologie für ihre Infrastruktur, die den aktuellen Sicherheitsstandards nicht entspricht. Bild: Daniel Ammann

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Die Kirche in der Ostschweiz beschreibt sich als «offene Gemeinde», als Ort, der «von ganz unterschiedlichen Zielgruppen wahrgenommen wird». Man könnte die Formulierung als klerikale Public Relations interpretieren. Doch in diesem Fall stimmt sie. Die betreffende Kirchgemeinde ist äusserst offen – offener gar, als ihr selber lange Zeit lieb war.

Die automatische Steuerung des gesamten Gebäudes inklusive Zutritt zu den Büros, dem Hauptschiff und zu Nebenhäusern war über Jahre mit simplen Hacker-Tricks öffentlich im Internet zugänglich und von Dritten manipulierbar. Fenster und Türen liessen sich auf Knopfdruck öffnen, die Heizung ein- oder ausschalten. Selbst die Kirchenglocken und das Musiksystem waren von Dritten steuerbar. Das zeigt eine Untersuchung von via Internet steuerbaren Systemen, die der SonntagsZeitung vorliegt.

Die Ostschweizer Kirche ist kein Einzelfall. Die Sicherheits­lücke betrifft die Gebäudeautomatisierung von schweizweit mindestens 71 Kirchen und Gemeindezentren. In allen Fällen waren teilweise Fenster, Türen, Glocken oder Heizsysteme für Hacker ohne grosses Vorwissen aus der Ferne manipulierbar.

Auch Toaster können mittlerweile IP-Adressen haben

Ein Sicherheitsexperte hat die SonntagsZeitung über die Lücken informiert. Er stiess bei einer routinemässigen Untersuchung im Internet auf die unsicheren Schnittstellen. Namentlich genannt werden will er hier nicht. Verständlich. Das Eindringen in ein Informatiksystem ist in der Schweiz mit bis zu drei Jahren Gefängnis strafbar.

Der Computerexperte ging folgendermassen vor: Mithilfe einer Spezial-Suchmaschine, die in Sicherheitskreisen wohlbekannt ist, entdeckte er unsichere Geräte, die in der Schweiz an das Internet angeschlossen sind. Jedes Gerät, das mit dem weltweiten Netz verbunden ist, verfügt über eine IP-Nummer. Dazu zählen nicht nur Handys oder Computer, sondern mittlerweile auch Toaster, Kühlschränke, Fernseher, Überwachungskameras – oder eben Gebäudeverwaltungssysteme. Diese IP-Nummern tippte der Experte in seinen Web-Browser.

Mit einem einfachen Hacker-Trick gelang es ihm, Nutzernamen und Passwort des Systems auszulesen. Wenige Augenblicke später erschien auf seinem Laptop in Zürich das Cockpit der Gebäudesteuerung diverser Gebäude, von Kirchen vom Kanton Bern über Zürich bis nach St. Gallen und Graubünden. Der Sicherheitsexperte hätte nun die Kirchenglocken läuten lassen, die Lichterschau des Altars bedienen oder alle Gebäudetüren entriegeln können. Er sagt: «Teilweise könnte man gar das angeschlossene Computersystem übernehmen, um Personendaten zu stehlen – komplett unbemerkt von den Gebäudebesitzern.»

Name darf nicht genannt werden

Über den Einsatz der Passwörter zur Sicherung der Systeme ärgerte sich der Experte besonders. Die Thurgauer Firma, die die Technologie entwickelt hat, verwendete für alle Kunden den gleichen Nutzernamen und die gleiche kurze sechsstellige Geheimzahl.

Auf Anfrage der SonntagsZeitung bedankte sich der Geschäftsführer der betreffenden Firma für den Hinweis auf das Sicherheitsloch und änderte Passwörter und Nutzernamen. Doch ein paar Tage später schaltete er einen Anwalt ein. Dieser bat darum, für zwei Wochen mit der Publikation zuzuwarten, damit sein Mandat das Sicherheitsloch schliessen konnte. Zeit, die der Firma gewährt wurde.

Ein Fehler: Genau damit hat die Thurgauer Firma nun vor dem Zürcher Handelsgericht erwirkt, dass ihr Name nicht öffentlich genannt werden darf. Und nicht nur das: Auch betroffene Kunden – eben die schweizweit über 71 Kirchen und Gemeindezentren – dürfen nicht genannt werden.

Auf Kundenseite sei nichts kompromittiert worden

Am Freitagnachmittag verfügte das Zürcher Handelsgericht, das öffentliche Interesse an der Namensnennung sei nicht gegeben; das Sicherheitsloch sei ja geschlossen. Und die Firma behauptet auch, auf Kundenseite sei nichts kompromittiert worden. Kein Hacker hätte die Lücke ausgenutzt.

Wie konnte eine solche Panne überhaupt passieren? Notabene bei einer Firma, die von sich behauptet, von Internet-Sicherheit viel zu verstehen? Auf der Website werden Kunden aufgefordert, der Technologie die Fenster- und Türsteuerung komplett zu überlassen.

«Viele Hersteller von Internet-of-Things-Geräten befassen sich zu wenig mit der Implementierung von Sicherheit.»Mitteilung der Melde- und Analysestelle Informationssicherung des Bundes

Nicht überrascht von der Sicherheitslücke ist Melani, die Melde- und Analysestelle Informationssicherung des Bundes: «Viele Hersteller von Internet-of-Things-Geräten befassen sich zu wenig mit der Implementierung von Sicherheit», heisst es von dort. Grund dafür sei, dass mehr Sicherheit in der Regel einen komplexeren Zugriff auf die Geräte bedeute. Und das treibe die Entwicklungskosten in die Höhe.

Tatsächlich ist der Fall ein Paradebeispiel dafür, wie Internet-Sicherheit für viele KMU zum Stolperstein werden kann. Vor zehn Jahren arbeitete die Thurgauer Firma mit einem Partner zusammen. Das eine Unternehmen entwickelte die Technologie; das andere vertrieb sie. Irgendwann zerstritten sich die beiden. Unter anderem wegen der mangelnden Sicherheit der Technologie. Die beiden gingen getrennte Wege. Beide Seiten verloren wertvolles Know-how. Seither wurde das System nach aktuellen Sicherheitsstandards nur ungenügend weiterentwickelt. Bis sich die SonntagsZeitung beim Unternehmen meldete.

* Dieser Artikel erschien erstmals am 24. Juni 2018 in der SonntagsZeitung.

Erstellt: 27.06.2018, 15:41 Uhr

Artikel zum Thema

Schon 40 Mal neue Massnahmen zur Überwachung ergriffen

Der NDB hat seit September 2017 neue Möglichkeiten zur Überwachung. Diese hat er bereits rege genutzt. Mehr...

«Genehmige ich nicht, kann es fatale Konsequenzen haben»

Interview Wer wird nun vom NDB wie überwacht? Salome Zimmermann entscheidet fast im Alleingang, wo der Nachrichtendienst sein neues Arsenal anwenden kann. Mehr...

Bund hatte Kontakt zu gehackter Spionage-Firma

Die Hersteller der Spionage-Software der Kantonspolizei Zürich wurde von der Bundesverwaltung kontaktiert. Es ging aber nicht um Überwachungssoftware. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

SonntagsZeit. Im Digital-Abo.

Die SonntagsZeitung digital ohne Einschränkung nutzen. Für nur CHF 10.- pro Monat.
Jetzt abonnieren!

Blogs

Wettermacher So wird der Winter

Sweet Home Kindermenüs für Erwachsene

Die Welt in Bildern

Bauernprotest: In den Niederlanden haben Tausende von Bauern mit Traktoren den Verkehr blockiert. Ihr Protest richtet sich gegen die Anschuldigung, dass sie für die Stickstoffbelastung verantwortlich sind. (16. Oktober 2019)
(Bild: Koen Van Weel/EPA) Mehr...