• IT-Karriere:
  • Services:

IT-Sicherheit: Angriffe auf Smart-City-Systeme können Massenpanik auslösen

Es war zum Glück eine Falschmeldung, dass Hawaii mit Raketen angegriffen wird. Aber sie sorgte für reichlich Verunsicherung unter den Bewohnern. Panik kann eine starke Waffe sein - und sie auszulösen ist nicht so schwierig, wie Sicherheitsforscher herausgefunden haben.

Artikel veröffentlicht am ,
Schalttafel für ein Smart-City-Projekt in Japan: gefährdete Systeme in Großstädten in den USA, in Europa und anderswo
Schalttafel für ein Smart-City-Projekt in Japan: gefährdete Systeme in Großstädten in den USA, in Europa und anderswo (Bild: Yoshikazu Tsuno/AFP/Getty Images)

Die Stadt der Zukunft ist intelligent. Sie ist mit Sensoren ausgestattet, die die Qualität der Luft, den Straßenverkehr oder die Funktionsfähigkeit von Bauwerken überwachen, oder einfach nur auf freie Parkplätze hinweisen. Einige dieser Systeme können Warnungen auf das Smartphone der Nutzer verschicken. Was aber, wenn diese Warnungen gar nicht der Wahrheit entsprechen?

Stellenmarkt
  1. Hays AG, Ravensburg
  2. ModuleWorks GmbH, Aachen

Experten von IBMs Sicherheitsabteilung X-Force Red und dem US-Sicherheitsunternehmen Threatcare haben nach dem falschen Raketenalarm von Hawaii im Januar eine Reihe von Smart-City-Systemen getestet und dabei mehrere, zum Teil schwere Sicherheitslücken gefunden.

Die Sicherheitsforscher untersuchten Geräte der Hersteller Libelium, Echelon und Battelle in drei Kategorien: intelligente Verkehrssysteme, die Staus erkennen und versuchen, diese zu vermeiden, Systeme zum Katastrophenmanagement, und Systeme aus dem Bereich industrielles Internet der Dinge (Internet of Things, IoT), mit denen sich beispielsweise Industrie- und Versorgungseinrichtungen fernsteuern lassen. Die Systeme kommunizieren über verschiedene Standards, darunter Mobilfunk, WLAN oder ZigBee, und liefern Daten über den Zustand der Stadt: Wieviel Verkehr ist auf der Straße? Wie hoch steht das Wasser im Staudamm? Wie sehen die Strahlungswerte in der Nähe des Kernkraftwerks aus?

17 Zero-Day-Sicherheitslücken in vier Geräten

Bei den Tests hätten sie in vier intelligenten Systemen 17 Zero-Day-Sicherheitslücken gefunden, schreibt Daniel Crowley, Forschungsleiter bei IBM X-Force Red, in einem Blogbeitrag. Acht davon seien als schwerwiegend einzustufen. Dazu gehörten Standardpasswörter, die Möglichkeit zur Anmeldung ohne gültige Zugangsdaten oder SQL-Injektionen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Anschließend entwickelten die Forscher Exploits für die Sicherheitslücken sowie Angriffsszenarien, um die Exploits zu testen. Dazu suchten die Forscher über das Internet, beispielsweise mit der IoT-Suchmaschine Shodan, nach den Geräten. Sie hätten "Dutzende und in einigen Fällen Hunderte" gefunden. Bei einigen der Fundstücke konnten sie Daten auslesen, etwa, wer sie zu welchem Zweck betrieb. Darunter war ein Strahlenmessgerät aus einer europäischen Stadt oder ein Verkehrsbeobachtungssystem aus einer Großstadt in den USA.

"Hier könnten 'Panikattacken' zu einer echten Bedrohung werden. Wenn jemand, ob Superschurke oder nicht, Schwachstellen wie die, die wir in intelligenten Stadtsystemen dokumentiert haben, ausnutzen würde, wären die Auswirkungen nach unseren logischen Schlussfolgerungen lästig bis katastrophal", resümiert Crowley. "Es gibt zwar keine Beweise dafür, dass solche Angriffe bereits stattgefunden haben, aber wir haben gefährdete Systeme in Großstädten in den USA, in Europa und anderswo gefunden."

Die Hersteller und die Betreiber der gefährdeten Systeme wurden benachrichtigt und die Sicherheitslücken geschlossen, bevor die Studie veröffentlicht wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

Palerider 15. Aug 2018

heute Nummer 127: Smart -> angreifbar, unsicher, die Privatsphäre verletzend; manchmal...


Folgen Sie uns
       


Samsung Galaxy S21 Ultra vorgestellt

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Samsung Galaxy S21 Ultra vorgestellt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /