Abo
  • IT-Karriere:

IT-Sicherheit: Angriffe auf Smart-City-Systeme können Massenpanik auslösen

Es war zum Glück eine Falschmeldung, dass Hawaii mit Raketen angegriffen wird. Aber sie sorgte für reichlich Verunsicherung unter den Bewohnern. Panik kann eine starke Waffe sein - und sie auszulösen ist nicht so schwierig, wie Sicherheitsforscher herausgefunden haben.

Artikel veröffentlicht am ,
Schalttafel für ein Smart-City-Projekt in Japan: gefährdete Systeme in Großstädten in den USA, in Europa und anderswo
Schalttafel für ein Smart-City-Projekt in Japan: gefährdete Systeme in Großstädten in den USA, in Europa und anderswo (Bild: Yoshikazu Tsuno/AFP/Getty Images)

Die Stadt der Zukunft ist intelligent. Sie ist mit Sensoren ausgestattet, die die Qualität der Luft, den Straßenverkehr oder die Funktionsfähigkeit von Bauwerken überwachen, oder einfach nur auf freie Parkplätze hinweisen. Einige dieser Systeme können Warnungen auf das Smartphone der Nutzer verschicken. Was aber, wenn diese Warnungen gar nicht der Wahrheit entsprechen?

Stellenmarkt
  1. awinta GmbH, Region Süd-West
  2. RFT kabel Brandenburg GmbH, Brandenburg an der Havel

Experten von IBMs Sicherheitsabteilung X-Force Red und dem US-Sicherheitsunternehmen Threatcare haben nach dem falschen Raketenalarm von Hawaii im Januar eine Reihe von Smart-City-Systemen getestet und dabei mehrere, zum Teil schwere Sicherheitslücken gefunden.

Die Sicherheitsforscher untersuchten Geräte der Hersteller Libelium, Echelon und Battelle in drei Kategorien: intelligente Verkehrssysteme, die Staus erkennen und versuchen, diese zu vermeiden, Systeme zum Katastrophenmanagement, und Systeme aus dem Bereich industrielles Internet der Dinge (Internet of Things, IoT), mit denen sich beispielsweise Industrie- und Versorgungseinrichtungen fernsteuern lassen. Die Systeme kommunizieren über verschiedene Standards, darunter Mobilfunk, WLAN oder ZigBee, und liefern Daten über den Zustand der Stadt: Wieviel Verkehr ist auf der Straße? Wie hoch steht das Wasser im Staudamm? Wie sehen die Strahlungswerte in der Nähe des Kernkraftwerks aus?

17 Zero-Day-Sicherheitslücken in vier Geräten

Bei den Tests hätten sie in vier intelligenten Systemen 17 Zero-Day-Sicherheitslücken gefunden, schreibt Daniel Crowley, Forschungsleiter bei IBM X-Force Red, in einem Blogbeitrag. Acht davon seien als schwerwiegend einzustufen. Dazu gehörten Standardpasswörter, die Möglichkeit zur Anmeldung ohne gültige Zugangsdaten oder SQL-Injektionen.

Anschließend entwickelten die Forscher Exploits für die Sicherheitslücken sowie Angriffsszenarien, um die Exploits zu testen. Dazu suchten die Forscher über das Internet, beispielsweise mit der IoT-Suchmaschine Shodan, nach den Geräten. Sie hätten "Dutzende und in einigen Fällen Hunderte" gefunden. Bei einigen der Fundstücke konnten sie Daten auslesen, etwa, wer sie zu welchem Zweck betrieb. Darunter war ein Strahlenmessgerät aus einer europäischen Stadt oder ein Verkehrsbeobachtungssystem aus einer Großstadt in den USA.

"Hier könnten 'Panikattacken' zu einer echten Bedrohung werden. Wenn jemand, ob Superschurke oder nicht, Schwachstellen wie die, die wir in intelligenten Stadtsystemen dokumentiert haben, ausnutzen würde, wären die Auswirkungen nach unseren logischen Schlussfolgerungen lästig bis katastrophal", resümiert Crowley. "Es gibt zwar keine Beweise dafür, dass solche Angriffe bereits stattgefunden haben, aber wir haben gefährdete Systeme in Großstädten in den USA, in Europa und anderswo gefunden."

Die Hersteller und die Betreiber der gefährdeten Systeme wurden benachrichtigt und die Sicherheitslücken geschlossen, bevor die Studie veröffentlicht wurde.



Anzeige
Top-Angebote
  1. 659,00€
  2. 227,74€ (Bestpreis!)
  3. 69,90€ (Bestpreis!)

Palerider 15. Aug 2018

heute Nummer 127: Smart -> angreifbar, unsicher, die Privatsphäre verletzend; manchmal...


Folgen Sie uns
       


ANC-Kopfhörer im Lautstärkevergleich

Wir haben Microsofts Surface Headphones und die Jabra Elite 85h bei der ANC-Leistung verglichen. Für einen besseren Vergleich zeigen wir auch die besonders leistungsfähigen ANC-Kopfhörer von Sony und Bose, die WH-1000XM3 und die Quiet Comfort 35 II.

ANC-Kopfhörer im Lautstärkevergleich Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. Telefónica Deutschland Samsung will in Deutschland 5G-Netze aufbauen
  2. Landtag Niedersachsen beschließt Ausstieg aus DAB+
  3. Vodafone 5G-Technik funkt im Werk des Elektroautoherstellers e.Go

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

    •  /