Anzeige
Ein Kontrollzentrum an der Pipeline Baku-Tbilisi-Ceyhan 2008
Ein Kontrollzentrum an der Pipeline Baku-Tbilisi-Ceyhan 2008 (Bild: Osman Kerimov/AFP/Getty Images)

Lücken in Industrieanlagen: Nicht nur Banken und Webseiten sollen verteidigt werden

Ein Kontrollzentrum an der Pipeline Baku-Tbilisi-Ceyhan 2008
Ein Kontrollzentrum an der Pipeline Baku-Tbilisi-Ceyhan 2008 (Bild: Osman Kerimov/AFP/Getty Images)

Hacker sollen sich nicht mehr um die Sicherheit des Geldes und Daten von anderen kümmern. Stattdessen gilt es, den Fokus auf Industrieanlagen zu richten, auch, um Menschenleben zu schützen.

Anzeige

Eireann Leverett sieht die Zukunft des Hackings in den Industrieanlagen. Scada, ICS und ähnliche Systeme gilt es zu untersuchen. Sicherheitslücken dort sind zahlreich, qualifiziertes Personal Mangelware und Sicherheitsforschung vergleichsweise selten. Und so kommt es, dass gefährliche Sicherheitslücken in solchen Industriesystemen wie etwa auch Switches in der Regel nach der Meldung erst einmal nicht gepatcht werden. Im Schnitt braucht ein Hersteller von Netzwerkhardware in der Industrie um die 18 Monate, um ein Problem zu beseitigen, dessen Ausnutzung mitunter Leben kosten kann.

Und selbst wenn gepatcht wird: Bis dann der Anlagenbetreiber seine anfälligen Systeme auf einen aktuellen, sicheren Stand gebracht hat, vergehen noch einmal zwei bis drei Jahre. Schlimmstenfalls bleiben Anlagen also ein halbes Jahrzehnt offen für Angriffe.

Die Gefahren, die von solchen Systemen ausgehen, sind hoch. Erst kürzlich wurde etwa von kriminellen Hackern ein Hochofen bei einem Angriff stark beschädigt. Auch die Explosion einer Öl-Pipeline wird einem Angriff auf IT-Infrastruktur zugerechnet. Leverett berichtet von weiteren kritischeren Beispielen, wo etwa Switches, die er untersucht hat, Menschenleben gefährden könnten. So leiten die Switches in einigen Fällen etwa wichtige Signale in Unternehmen weiter. Für Arbeiter in Industrieanlagen, die mit Gasen hantieren, und sei es nur als Nebenprodukt, ist etwa die Erkennung gefährlicher Gase wichtig. Die wandern nicht etwa über dedizierte Leitungen, sondern über solche Industrieswitches und lösen die Alarmanlagen aus. Doch in solchen Switches fand er schnell viele Fehler. Einer der Fehler sorgt für einen Neustart des Geräts, ohne dass sich der Nutzer authentifizieren muss. Der Aufruf einer URL reichte aus. Auch im Webinterface des Switches fand er so viele Fehler, dass er nicht wusste, wie er den Switch eigentlich vollständig untersuchen soll.

Schlimmstenfalls könnte ein Angreifer demnach nicht nur Industrieanlagen beschädigen, sondern gleichzeitig die Warnsysteme ausschalten und so den Schaden weiter erhöhen und eine Schadensvermeidung aktiv verhindern. Ohne Alarm rückt beispielsweise auch nicht unbedingt die Feuerwehr aus.

Deswegen möchte Leverett, dass sich die Hacker auch um diese Probleme kümmern. Ein Problem ist auch, dass die Verantwortlichen die Problematik nicht unbedingt verstehen. Ein Hacker müsste potenzielle Probleme in einem Unternehmen erst einmal auf einem verständlichen Niveau kommunizieren. Das hat laut Leverett aber den Vorteil, dass sich so die Verbindung zwischen Hackern und den Verantwortlichen verbessert. Diese sind ihm zufolge auch dankbar. Das zeigt anscheinend jedoch auch, in welch schlechtem Zustand die Industrie ist.

Leverett hofft aber, dass sich das mit dem Druck der Hacker verbessert. "Ich kann träumen, oder?", sagte er. Er hofft auf die Einrichtung von Computer Emergency Response Teams bei den Herstellern der Industrienetzwerktechnik. Auch um "Das Schweigen der Hersteller" zu brechen. Er sieht es nicht mehr als wichtig an, das Geld anderer zu schützen, indem Banken untersucht oder die Leute vor Webseiten geschützt werden. Im Bereich der Industriesysteme fehlt noch viel Forschung in der Sicherheitstechnik.


eye home zur Startseite
cry88 30. Dez 2014

Da hast du Recht. Das Problem an der Sache ist, dass die Wenigsten dieser Anlagenbauer...

DerVorhangZuUnd... 30. Dez 2014

War selber einige Jahre Inbetriebsetzer für Anlagensoftware bei einem der genannten...

Kommentieren



Anzeige

  1. UX Designer für Mobile Apps (m/w)
    Daimler AG, Ulm
  2. Senior Information Security Lead (m/w)
    TUI Business Services GmbH, Hannover oder Crawley (England)
  3. Software-Entwickler (m/w) Java/C++
    IVU Traffic Technologies AG, Berlin, Aachen
  4. Consultant (m/w) Business Intelligence (Reporting)
    T-Systems on site services GmbH, Nürnberg

Detailsuche



Anzeige
Blu-ray-Angebote
  1. The Revenant - Der Rückkehrer (+ 4K Ultra HD-Blu-ray)
    29,99€
  2. 3 Blu-rays für 18 EUR
    (u. a. Rache für Jesse James, Runaway, The Wanderers)
  3. Steelbooks zum Aktionspreis
    (u. a. Game of Thrones Staffeln 1 u. 2 mit Magnetsiegeln für je 21,97€)

Weitere Angebote


Folgen Sie uns
       


  1. Section Control

    Bremsen vor Blitzern soll nicht mehr vor Bußgeld schützen

  2. Beam

    ISS-Modul erfolgreich aufgeblasen

  3. Arbeitsbedingungen

    Apple-Store-Mitarbeiterin gewährt Blick hinter die Kulissen

  4. Modulares Smartphone

    Project-Ara-Ideengeber hat von Google mehr erwartet

  5. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  6. Model S

    Teslas Autopilot verursacht Auffahrunfall

  7. Security

    Microsoft will Passwort 'Passwort' verbieten

  8. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  9. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  10. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Hack von Rüstungskonzern Schweizer Cert gibt Security-Tipps für Unternehmen
  2. APT28 Hackergruppe soll CDU angegriffen haben
  3. Veröffentlichung privater Daten AfD sucht mit Kopfgeld nach "Datendieb"

Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

  1. Re: Rasterfahndung

    Moe479 | 02:07

  2. Apple Gutschein

    mrgenie | 01:38

  3. Re: Also sind alle in Gebieten die nicht ausbauen...

    bombinho | 01:35

  4. Re: Was ein Unsinn...

    Watson | 01:21

  5. Re: Ein weitreichendes Urteil möglicherweise.

    Mithrandir | 01:20


  1. 12:45

  2. 12:12

  3. 11:19

  4. 09:44

  5. 14:15

  6. 13:47

  7. 13:00

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel