Abo
  • Services:

IT-Sicherheit: Angriffe auf Smart-City-Systeme können Massenpanik auslösen

Es war zum Glück eine Falschmeldung, dass Hawaii mit Raketen angegriffen wird. Aber sie sorgte für reichlich Verunsicherung unter den Bewohnern. Panik kann eine starke Waffe sein - und sie auszulösen ist nicht so schwierig, wie Sicherheitsforscher herausgefunden haben.

Artikel veröffentlicht am ,
Schalttafel für ein Smart-City-Projekt in Japan: gefährdete Systeme in Großstädten in den USA, in Europa und anderswo
Schalttafel für ein Smart-City-Projekt in Japan: gefährdete Systeme in Großstädten in den USA, in Europa und anderswo (Bild: Yoshikazu Tsuno/AFP/Getty Images)

Die Stadt der Zukunft ist intelligent. Sie ist mit Sensoren ausgestattet, die die Qualität der Luft, den Straßenverkehr oder die Funktionsfähigkeit von Bauwerken überwachen, oder einfach nur auf freie Parkplätze hinweisen. Einige dieser Systeme können Warnungen auf das Smartphone der Nutzer verschicken. Was aber, wenn diese Warnungen gar nicht der Wahrheit entsprechen?

Stellenmarkt
  1. ODU GmbH & Co. KG. Otto Dunkel GmbH, Mühldorf am Inn
  2. SSI SCHÄFER IT Solutions GmbH, verschiedene Einsatzorte (Home-Office möglich)

Experten von IBMs Sicherheitsabteilung X-Force Red und dem US-Sicherheitsunternehmen Threatcare haben nach dem falschen Raketenalarm von Hawaii im Januar eine Reihe von Smart-City-Systemen getestet und dabei mehrere, zum Teil schwere Sicherheitslücken gefunden.

Die Sicherheitsforscher untersuchten Geräte der Hersteller Libelium, Echelon und Battelle in drei Kategorien: intelligente Verkehrssysteme, die Staus erkennen und versuchen, diese zu vermeiden, Systeme zum Katastrophenmanagement, und Systeme aus dem Bereich industrielles Internet der Dinge (Internet of Things, IoT), mit denen sich beispielsweise Industrie- und Versorgungseinrichtungen fernsteuern lassen. Die Systeme kommunizieren über verschiedene Standards, darunter Mobilfunk, WLAN oder ZigBee, und liefern Daten über den Zustand der Stadt: Wieviel Verkehr ist auf der Straße? Wie hoch steht das Wasser im Staudamm? Wie sehen die Strahlungswerte in der Nähe des Kernkraftwerks aus?

17 Zero-Day-Sicherheitslücken in vier Geräten

Bei den Tests hätten sie in vier intelligenten Systemen 17 Zero-Day-Sicherheitslücken gefunden, schreibt Daniel Crowley, Forschungsleiter bei IBM X-Force Red, in einem Blogbeitrag. Acht davon seien als schwerwiegend einzustufen. Dazu gehörten Standardpasswörter, die Möglichkeit zur Anmeldung ohne gültige Zugangsdaten oder SQL-Injektionen.

Anschließend entwickelten die Forscher Exploits für die Sicherheitslücken sowie Angriffsszenarien, um die Exploits zu testen. Dazu suchten die Forscher über das Internet, beispielsweise mit der IoT-Suchmaschine Shodan, nach den Geräten. Sie hätten "Dutzende und in einigen Fällen Hunderte" gefunden. Bei einigen der Fundstücke konnten sie Daten auslesen, etwa, wer sie zu welchem Zweck betrieb. Darunter war ein Strahlenmessgerät aus einer europäischen Stadt oder ein Verkehrsbeobachtungssystem aus einer Großstadt in den USA.

"Hier könnten 'Panikattacken' zu einer echten Bedrohung werden. Wenn jemand, ob Superschurke oder nicht, Schwachstellen wie die, die wir in intelligenten Stadtsystemen dokumentiert haben, ausnutzen würde, wären die Auswirkungen nach unseren logischen Schlussfolgerungen lästig bis katastrophal", resümiert Crowley. "Es gibt zwar keine Beweise dafür, dass solche Angriffe bereits stattgefunden haben, aber wir haben gefährdete Systeme in Großstädten in den USA, in Europa und anderswo gefunden."

Die Hersteller und die Betreiber der gefährdeten Systeme wurden benachrichtigt und die Sicherheitslücken geschlossen, bevor die Studie veröffentlicht wurde.



Anzeige
Hardware-Angebote
  1. 119,90€

Palerider 15. Aug 2018

heute Nummer 127: Smart -> angreifbar, unsicher, die Privatsphäre verletzend; manchmal...


Folgen Sie uns
       


Hitman 2 - Fazit

Wer ist Agent 47 - und warum ist er so ein perfekter Auftragskiller? Einer Antwort kommen Spieler auch in Hitman 2 unter Umständen nicht näher, dafür erleben sie mit dem Glatzkopf aber spannend und komplexe Abenteuer in schön gestalteten, sehr aufwendigen Einsätzen.

Hitman 2 - Fazit Video aufrufen
Wet Dreams Don't Dry im Test: Leisure Suit Larry im Land der Hipster
Wet Dreams Don't Dry im Test
Leisure Suit Larry im Land der Hipster

Der Möchtegernfrauenheld Larry Laffer kommt zurück aus der Gruft: In einem neuen Adventure namens Wet Dreams Don't Dry reist er direkt aus den 80ern ins Jahr 2018 - und landet in der Welt von Smartphone und Tinder.
Ein Test von Peter Steinlechner

  1. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller
  2. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Remote Code Execution: Die löchrige Webseite des TÜV Süd
Remote Code Execution
Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.
Ein Bericht von Hanno Böck

  1. Websicherheit Onlineshops mit nutzlosem TÜV-Siegel

Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

    •  /