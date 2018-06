Die Kirche in der Ostschweiz beschreibt sich als «offene Gemeinde», als Ort, der «von ganz unterschiedlichen Zielgruppen wahrgenommen wird». Man könnte die Formulierung als klerikale Public Relations interpretieren. Doch in diesem Fall stimmt sie. Die betreffende Kirchgemeinde ist äusserst offen – offener gar, als ihr selber lange Zeit lieb war.

Die automatische Steuerung des gesamten Gebäudes inklusive Zutritt zu den Büros, dem Hauptschiff und zu Nebenhäusern war über Jahre mit simplen Hacker-Tricks öffentlich im Internet zugänglich und von Dritten manipulierbar. Fenster und Türen liessen sich auf Knopfdruck öffnen, die Heizung ein- oder ausschalten. Selbst die Kirchenglocken und das Musiksystem waren von Dritten steuerbar. Das zeigt eine Untersuchung von via Internet steuerbaren Systemen, die der SonntagsZeitung vorliegt.

Die Ostschweizer Kirche ist kein Einzelfall. Die Sicherheits­lücke betrifft die Gebäudeautomatisierung von schweizweit mindestens 71 Kirchen und Gemeindezentren. In allen Fällen waren teilweise Fenster, Türen, Glocken oder Heizsysteme für Hacker ohne grosses Vorwissen aus der Ferne manipulierbar.

Auch Toaster können mittlerweile IP-Adressen haben

Ein Sicherheitsexperte hat die SonntagsZeitung über die Lücken informiert. Er stiess bei einer routinemässigen Untersuchung im Internet auf die unsicheren Schnittstellen. Namentlich genannt werden will er hier nicht. Verständlich. Das Eindringen in ein Informatiksystem ist in der Schweiz mit bis zu drei Jahren Gefängnis strafbar.

Der Computerexperte ging folgendermassen vor: Mithilfe einer Spezial-Suchmaschine, die in Sicherheitskreisen wohlbekannt ist, entdeckte er unsichere Geräte, die in der Schweiz an das Internet angeschlossen sind. Jedes Gerät, das mit dem weltweiten Netz verbunden ist, verfügt über eine IP-Nummer. Dazu zählen nicht nur Handys oder Computer, sondern mittlerweile auch Toaster, Kühlschränke, Fernseher, Überwachungskameras – oder eben Gebäudeverwaltungssysteme. Diese IP-Nummern tippte der Experte in seinen Web-Browser.

Mit einem einfachen Hacker-Trick gelang es ihm, Nutzernamen und Passwort des Systems auszulesen. Wenige Augenblicke später erschien auf seinem Laptop in Zürich das Cockpit der Gebäudesteuerung diverser Gebäude, von Kirchen vom Kanton Bern über Zürich bis nach St. Gallen und Graubünden. Der Sicherheitsexperte hätte nun die Kirchenglocken läuten lassen, die Lichterschau des Altars bedienen oder alle Gebäudetüren entriegeln können. Er sagt: «Teilweise könnte man gar das angeschlossene Computersystem übernehmen, um Personendaten zu stehlen – komplett unbemerkt von den Gebäudebesitzern.»

Name darf nicht genannt werden

Über den Einsatz der Passwörter zur Sicherung der Systeme ärgerte sich der Experte besonders. Die Thurgauer Firma, die die Technologie entwickelt hat, verwendete für alle Kunden den gleichen Nutzernamen und die gleiche kurze sechsstellige Geheimzahl.Betroffene Firma reagiert mit Gerichtsverfügung

Auf Anfrage der SonntagsZeitung bedankte sich der Geschäftsführer der betreffenden Firma für den Hinweis auf das Sicherheitsloch und änderte Passwörter und Nutzernamen. Doch ein paar Tage später schaltete er einen Anwalt ein. Dieser bat darum, für zwei Wochen mit der Publikation zuzuwarten, damit sein Mandat das Sicherheitsloch schliessen konnte. Zeit, die der Firma gewährt wurde.

Ein Fehler: Genau damit hat die Thurgauer Firma nun vor dem Zürcher Handelsgericht erwirkt, dass ihr Name nicht öffentlich genannt werden darf. Und nicht nur das: Auch betroffene Kunden – eben die schweizweit über 71 Kirchen und Gemeindezentren – dürfen nicht genannt werden.

Auf Kundenseite sei nichts kompromittiert worden

Am Freitagnachmittag verfügte das Zürcher Handelsgericht, das öffentliche Interesse an der Namensnennung sei nicht gegeben; das Sicherheitsloch sei ja geschlossen. Und die Firma behauptet auch, auf Kundenseite sei nichts kompromittiert worden. Kein Hacker hätte die Lücke ausgenutzt.

Wie konnte eine solche Panne überhaupt passieren? Notabene bei einer Firma, die von sich behauptet, von Internet-Sicherheit viel zu verstehen? Auf der Website werden Kunden aufgefordert, der Technologie die Fenster- und Türsteuerung komplett zu überlassen. «Sie arbeitet gerne für Sie! Türöffnung kann von überall per iPad/Smartphone oder Computer bedient werden. Hohe Sicherheit, trotz offener Kirche.»

«Viele Hersteller von Internet-of-Things-Geräten befassen sich zu wenig mit der Implementierung von Sicherheit.»Mitteilung der Melde- und Analysestelle Informationssicherung des Bundes

Nicht überrascht von der Sicherheitslücke ist Melani, die Melde- und Analysestelle Informationssicherung des Bundes: «Viele Hersteller von Internet-of-Things-Geräten befassen sich zu wenig mit der Implementierung von Sicherheit», heisst es von dort. Grund dafür sei, dass mehr Sicherheit in der Regel einen komplexeren Zugriff auf die Geräte bedeute. Und das treibe die Entwicklungskosten in die Höhe.

Tatsächlich ist der Fall ein Paradebeispiel dafür, wie Internet-Sicherheit für viele KMU zum Stolperstein werden kann. Vor zehn Jahren arbeitete die Thurgauer Firma mit einem Partner zusammen. Das eine Unternehmen entwickelte die Technologie; das andere vertrieb sie. Irgendwann zerstritten sich die beiden. Unter anderem wegen der mangelnden Sicherheit der Technologie. Die beiden gingen getrennte Wege. Beide Seiten verloren wertvolles Know-how. Seither wurde das System nach aktuellen Sicherheitsstandards nur ungenügend weiterentwickelt. Bis sich die SonntagsZeitung beim Unternehmen meldete. (SonntagsZeitung)