Kritische Schwachstellen in Kühlsystemen für Supermärkte und Pharmaunternehmen könnten Hackern ermöglichen, die weltweite Lebensmittel- und Arzneimittelversorgung lahm zu legen. Was nach Science-Fiction klingt, ist laut US-Sicherheitsbehörden eine reale Bedrohung.

Die amerikanische Cybersicherheitsbehörde CISA warnt vor zehn Sicherheitslücken in Kontrollsystemen der Hersteller Copeland und Danfoss. Diese Steuergeräte überwachen Kühlketten in zwei Drittel aller US-Supermärkte sowie in unzähligen Pharmalagern und Lebensmittelfabriken. Ein erfolgreicher Cyberangriff könnte temperatursensible Medikamente zerstören und zu leeren Kühlregalen führen.

Die Forscher der Cybersicherheitsfirma Armis tauften die zehn Schwachstellen in Copelands E2- und E3-Systemen "Frostbyte10". Drei davon stufen sie als kritisch ein. Das Problem: Werden mehrere Lücken geschickt kombiniert, können Hacker ohne Anmeldung die komplette Kontrolle über Kühl- und Heizsysteme übernehmen.

Vorhersagbare Passwörter als Einfallstor

Besonders brisant ist die Schwachstelle CVE-2025-6519: Ein Administratorkonto generiert täglich vorhersagbare Passwörter, die nicht gelöscht werden können. Hacker erhalten damit eine dauerhafte Hintertür ins System. Bei den älteren E2-Controllern können Angreifer sogar ohne jede Authentifizierung Dateien manipulieren.

Parallel dazu entdeckte CISA Sicherheitslücken in Danfoss-Steuergeräten der AK-SM 8xxA-Serie. Auch hier basiert die Schwachstelle auf zeitbasierten Passwörtern, die sich leicht knacken lassen. Zusätzlich ermöglichen Befehlsinjektions-Angriffe die ferngesteuerte Übernahme der Systeme.

Was macht diese Angriffe so gefährlich? Die Kühlkette ist eine kritische Infrastruktur. Ein einziger Ausfall in einem zentralen Kühlzentrum kann sich kaskadenförmig ausbreiten und ganze Regionen betreffen.

Industrie 4.0 mit Sicherheitslücken aus der Vergangenheit

Das Problem liegt in der DNA der Industrieanlagen: Viele Kühlsysteme wurden auf Langlebigkeit und Zuverlässigkeit ausgelegt, nicht auf Cybersicherheit. Jahrzehntelang arbeiteten sie isoliert vom Internet. Heute sind sie zunehmend vernetzt – und damit verwundbar.

Ransomware-Angriffe auf die Lebensmittelindustrie nehmen bereits zu. Hacker können Kühlsysteme ausschalten und Lösegeld fordern, während temperatursensible Waren verderben. Die Schäden gehen schnell in die Millionen.

Notfall-Patches und langfristige Strategien

Die Hersteller reagieren mit Software-Updates: Copeland brachte die Firmware-Version 2.31F01 für E3-Controller heraus. Nutzer der seit Oktober 2024 nicht mehr unterstützten E2-Systeme sollen auf die neuere Generation umsteigen. Danfoss stellte ebenfalls Patches bereit.

CISA empfiehlt einen mehrstufigen Schutzansatz: Netzwerksegmentierung trennt kritische Industrieanlagen vom IT-Netzwerk. Starke Zugangskontrollen mit Zwei-Faktor-Authentifizierung erschweren unbefugten Zugriff. Regelmäßige Sicherheitsaudits spüren Schwachstellen auf, bevor Hacker sie entdecken.

Kontinuierliche Netzwerküberwachung kann verdächtige Aktivitäten frühzeitig erkennen. Und ein durchdachter Notfallplan ermöglicht schnelle Reaktionen im Ernstfall.

Paradigmenwechsel: Security by Design

Die Frostbyte10-Enthüllungen markieren einen Wendepunkt. Sie zeigen, wie verwundbar kritische Infrastrukturen sind, wenn Cybersicherheit nachträglich aufgesetzt wird statt von Anfang an mitgedacht.

Die Industrie steht vor einem Paradigmenwechsel hin zu "Security by Design" – Sicherheit als Grundprinzip, nicht als nachträglicher Zusatz. Regulierungsbehörden werden schärfere Standards für Industriesteuerungen durchsetzen.

Für Unternehmen in der Kühlkette bedeutet das: Investitionen in moderne Systeme sind unvermeidlich. Wer veraltete Anlagen betreibt, riskiert nicht nur Cyberangriffe, sondern auch regulatorische Sanktionen. Die Zukunft gehört sicheren, von Grund auf durchdachten Industriesystemen.