• IT-Karriere:
  • Services:

IT-Sicherheit: Angriffe auf Smart-City-Systeme können Massenpanik auslösen

Es war zum Glück eine Falschmeldung, dass Hawaii mit Raketen angegriffen wird. Aber sie sorgte für reichlich Verunsicherung unter den Bewohnern. Panik kann eine starke Waffe sein - und sie auszulösen ist nicht so schwierig, wie Sicherheitsforscher herausgefunden haben.

Artikel veröffentlicht am ,
Schalttafel für ein Smart-City-Projekt in Japan: gefährdete Systeme in Großstädten in den USA, in Europa und anderswo
Schalttafel für ein Smart-City-Projekt in Japan: gefährdete Systeme in Großstädten in den USA, in Europa und anderswo (Bild: Yoshikazu Tsuno/AFP/Getty Images)

Die Stadt der Zukunft ist intelligent. Sie ist mit Sensoren ausgestattet, die die Qualität der Luft, den Straßenverkehr oder die Funktionsfähigkeit von Bauwerken überwachen, oder einfach nur auf freie Parkplätze hinweisen. Einige dieser Systeme können Warnungen auf das Smartphone der Nutzer verschicken. Was aber, wenn diese Warnungen gar nicht der Wahrheit entsprechen?

Stellenmarkt
  1. ESWE Versorgungs AG, Wiesbaden
  2. finanzen.de, Berlin

Experten von IBMs Sicherheitsabteilung X-Force Red und dem US-Sicherheitsunternehmen Threatcare haben nach dem falschen Raketenalarm von Hawaii im Januar eine Reihe von Smart-City-Systemen getestet und dabei mehrere, zum Teil schwere Sicherheitslücken gefunden.

Die Sicherheitsforscher untersuchten Geräte der Hersteller Libelium, Echelon und Battelle in drei Kategorien: intelligente Verkehrssysteme, die Staus erkennen und versuchen, diese zu vermeiden, Systeme zum Katastrophenmanagement, und Systeme aus dem Bereich industrielles Internet der Dinge (Internet of Things, IoT), mit denen sich beispielsweise Industrie- und Versorgungseinrichtungen fernsteuern lassen. Die Systeme kommunizieren über verschiedene Standards, darunter Mobilfunk, WLAN oder ZigBee, und liefern Daten über den Zustand der Stadt: Wieviel Verkehr ist auf der Straße? Wie hoch steht das Wasser im Staudamm? Wie sehen die Strahlungswerte in der Nähe des Kernkraftwerks aus?

17 Zero-Day-Sicherheitslücken in vier Geräten

Bei den Tests hätten sie in vier intelligenten Systemen 17 Zero-Day-Sicherheitslücken gefunden, schreibt Daniel Crowley, Forschungsleiter bei IBM X-Force Red, in einem Blogbeitrag. Acht davon seien als schwerwiegend einzustufen. Dazu gehörten Standardpasswörter, die Möglichkeit zur Anmeldung ohne gültige Zugangsdaten oder SQL-Injektionen.

Anschließend entwickelten die Forscher Exploits für die Sicherheitslücken sowie Angriffsszenarien, um die Exploits zu testen. Dazu suchten die Forscher über das Internet, beispielsweise mit der IoT-Suchmaschine Shodan, nach den Geräten. Sie hätten "Dutzende und in einigen Fällen Hunderte" gefunden. Bei einigen der Fundstücke konnten sie Daten auslesen, etwa, wer sie zu welchem Zweck betrieb. Darunter war ein Strahlenmessgerät aus einer europäischen Stadt oder ein Verkehrsbeobachtungssystem aus einer Großstadt in den USA.

"Hier könnten 'Panikattacken' zu einer echten Bedrohung werden. Wenn jemand, ob Superschurke oder nicht, Schwachstellen wie die, die wir in intelligenten Stadtsystemen dokumentiert haben, ausnutzen würde, wären die Auswirkungen nach unseren logischen Schlussfolgerungen lästig bis katastrophal", resümiert Crowley. "Es gibt zwar keine Beweise dafür, dass solche Angriffe bereits stattgefunden haben, aber wir haben gefährdete Systeme in Großstädten in den USA, in Europa und anderswo gefunden."

Die Hersteller und die Betreiber der gefährdeten Systeme wurden benachrichtigt und die Sicherheitslücken geschlossen, bevor die Studie veröffentlicht wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-15%) 16,99€
  2. (-29%) 9,99€
  3. 39,99€

Palerider 15. Aug 2018

heute Nummer 127: Smart -> angreifbar, unsicher, die Privatsphäre verletzend; manchmal...


Folgen Sie uns
       


Pocketalk Übersetzer - Test

Mit dem Pocketalk können wir gesprochene Sätze in eine andere Sprache übersetzen lassen. Im Test funktioniert das gut, allerdings macht Pocketalk auch nicht viel mehr als gängige und kostenlose Übersetzungs-Apps.

Pocketalk Übersetzer - Test Video aufrufen
SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Ölindustrie Der große Haken an Microsofts Klimaplänen
  2. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  3. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10

    •  /