Die Steuer-Software wird keinen direkten Kontakt zum Internet haben. Das wäre grob fahrlässig.
Das ist ja der eigentliche Skandal. Ich zitiere aus o.g. artikel:
„... Das vor allem in Kohle- und Gaskraftwerken eingesetzte Distributed Control System (DCS) SPPA-T3000 komme mit einer ganzen Menge an Java-Apps an Bord, die aus der Ferne aufrufbar seien, Programmen für den Apache-Tomcat-Server, MSSQL, Cygwin sowie mit der industriellen Automatisierungstechnik Simatic.„
„...Auf einem zum SPPA-T3000 gehörenden Orion-Java-Server, auf dem sich Verzeichnisse via HTTPS recht einfach auslesen ließen, fand das Team eine große Zahl an Servlets, die Anfragen von Clients entgegennahmen und beantworteten. Dazu gehörten etwa ein BrowserServlet für Drittparteien oder ein FileUploadServlet, über das sich Dateien mit vollen Systemrechten hochladen ließen.“
Das bedeutet in der Praxis, dass ich als Angreifer meinen eigenen Schadcode einschleusen kann. Das hat das Team dann auch umgesetzt - also nicht nur Theorie.
„Der Truppe gelang es so letztlich, eigenen Code mit allen Rechten auszuführen, beliebige Java-Klassen zu injizieren und sämtliche Sitzungsinformationen nebst Nutzernamen und Kennungen sowie andere private Informationen im Klartext abzufragen. Von Siemens implementierte Firewalls erwiesen sich als nutzlos.“
Warum bei uns nicht häufiger die Lichter ausgehen, kann ich nicht sagen. Aber dass Militärs diese Art von Exploits kennen und bei Bedarf nutzen, hat man zuletzt wieder beim geplanten und von Trump in letzter Minute abgesagten Vergeltungsschlag nach Abschuss einer US-Drone durch den Iran im Sommer gesehen. Da hatten die Cyberspezialisten entsprechende Lücken ausgenutzt, um die iranische Verteidigungssysteme zu schwächen. Als der Angriff dann doch nicht stattgefunden hat, war diese einmalige Chance vertan. Die Lücken hat der Iran nun geschlossen. Die Spezialisten sollen nicht amüsiert gewesen sein.