Abo
  • Services:
Anzeige
Ein Kontrollzentrum an der Pipeline Baku-Tbilisi-Ceyhan 2008
Ein Kontrollzentrum an der Pipeline Baku-Tbilisi-Ceyhan 2008 (Bild: Osman Kerimov/AFP/Getty Images)

Lücken in Industrieanlagen: Nicht nur Banken und Webseiten sollen verteidigt werden

Ein Kontrollzentrum an der Pipeline Baku-Tbilisi-Ceyhan 2008
Ein Kontrollzentrum an der Pipeline Baku-Tbilisi-Ceyhan 2008 (Bild: Osman Kerimov/AFP/Getty Images)

Hacker sollen sich nicht mehr um die Sicherheit des Geldes und Daten von anderen kümmern. Stattdessen gilt es, den Fokus auf Industrieanlagen zu richten, auch, um Menschenleben zu schützen.

Anzeige

Eireann Leverett sieht die Zukunft des Hackings in den Industrieanlagen. Scada, ICS und ähnliche Systeme gilt es zu untersuchen. Sicherheitslücken dort sind zahlreich, qualifiziertes Personal Mangelware und Sicherheitsforschung vergleichsweise selten. Und so kommt es, dass gefährliche Sicherheitslücken in solchen Industriesystemen wie etwa auch Switches in der Regel nach der Meldung erst einmal nicht gepatcht werden. Im Schnitt braucht ein Hersteller von Netzwerkhardware in der Industrie um die 18 Monate, um ein Problem zu beseitigen, dessen Ausnutzung mitunter Leben kosten kann.

Und selbst wenn gepatcht wird: Bis dann der Anlagenbetreiber seine anfälligen Systeme auf einen aktuellen, sicheren Stand gebracht hat, vergehen noch einmal zwei bis drei Jahre. Schlimmstenfalls bleiben Anlagen also ein halbes Jahrzehnt offen für Angriffe.

Die Gefahren, die von solchen Systemen ausgehen, sind hoch. Erst kürzlich wurde etwa von kriminellen Hackern ein Hochofen bei einem Angriff stark beschädigt. Auch die Explosion einer Öl-Pipeline wird einem Angriff auf IT-Infrastruktur zugerechnet. Leverett berichtet von weiteren kritischeren Beispielen, wo etwa Switches, die er untersucht hat, Menschenleben gefährden könnten. So leiten die Switches in einigen Fällen etwa wichtige Signale in Unternehmen weiter. Für Arbeiter in Industrieanlagen, die mit Gasen hantieren, und sei es nur als Nebenprodukt, ist etwa die Erkennung gefährlicher Gase wichtig. Die wandern nicht etwa über dedizierte Leitungen, sondern über solche Industrieswitches und lösen die Alarmanlagen aus. Doch in solchen Switches fand er schnell viele Fehler. Einer der Fehler sorgt für einen Neustart des Geräts, ohne dass sich der Nutzer authentifizieren muss. Der Aufruf einer URL reichte aus. Auch im Webinterface des Switches fand er so viele Fehler, dass er nicht wusste, wie er den Switch eigentlich vollständig untersuchen soll.

Schlimmstenfalls könnte ein Angreifer demnach nicht nur Industrieanlagen beschädigen, sondern gleichzeitig die Warnsysteme ausschalten und so den Schaden weiter erhöhen und eine Schadensvermeidung aktiv verhindern. Ohne Alarm rückt beispielsweise auch nicht unbedingt die Feuerwehr aus.

Deswegen möchte Leverett, dass sich die Hacker auch um diese Probleme kümmern. Ein Problem ist auch, dass die Verantwortlichen die Problematik nicht unbedingt verstehen. Ein Hacker müsste potenzielle Probleme in einem Unternehmen erst einmal auf einem verständlichen Niveau kommunizieren. Das hat laut Leverett aber den Vorteil, dass sich so die Verbindung zwischen Hackern und den Verantwortlichen verbessert. Diese sind ihm zufolge auch dankbar. Das zeigt anscheinend jedoch auch, in welch schlechtem Zustand die Industrie ist.

Leverett hofft aber, dass sich das mit dem Druck der Hacker verbessert. "Ich kann träumen, oder?", sagte er. Er hofft auf die Einrichtung von Computer Emergency Response Teams bei den Herstellern der Industrienetzwerktechnik. Auch um "Das Schweigen der Hersteller" zu brechen. Er sieht es nicht mehr als wichtig an, das Geld anderer zu schützen, indem Banken untersucht oder die Leute vor Webseiten geschützt werden. Im Bereich der Industriesysteme fehlt noch viel Forschung in der Sicherheitstechnik.


eye home zur Startseite
cry88 30. Dez 2014

Da hast du Recht. Das Problem an der Sache ist, dass die Wenigsten dieser Anlagenbauer...

DerVorhangZuUnd... 30. Dez 2014

War selber einige Jahre Inbetriebsetzer für Anlagensoftware bei einem der genannten...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Dresden
  2. Robert Bosch GmbH, Abstatt
  3. Schaeffler Technologies AG & Co. KG, Nürnberg
  4. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz


Anzeige
Top-Angebote
  1. 29,99€ + 5,99€ Versand (Vergleichspreis 48€)
  2. 294,78€ (zur Zeit günstigste RX 580 mit 8 GB)
  3. 20,99€ + 5€ Versand (für Prime-Mitglieder)

Folgen Sie uns
       


  1. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  2. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  3. Quantengatter

    Die Bauteile des Quantencomputers

  4. Microsoft gibt Entwarnung

    MS Paint bleibt

  5. BGH-Urteil

    Banken dürfen Geld für SMS-TANs verlangen

  6. Deep Space Gateway

    Lockheed baut eine Raumstation aus Spaceshuttle-Frachtmodul

  7. Auftragsfertiger

    Samsung will Marktanteil verdreifachen

  8. Android O

    Google veröffentlicht letzte Testversion vor Release

  9. Fruit Fly 2

    Mysteriöse Mac-Malware seit Jahren aktiv

  10. Poets One im Test

    Kleiner Preamp, großer Sound



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  3. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic

Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

  1. Re: TAN-Listen waren unsicher

    My1 | 12:56

  2. Re: DSLRs?

    HibikiTaisuna | 12:56

  3. Re: Wie bekommt man den Müll

    ibsi | 12:54

  4. Re: Emotionale Reaktionen auf MS Paint

    Evron | 12:54

  5. Re: Wetten, sogut wie Mensch wird sich Paint...

    Christian72D | 12:52


  1. 12:26

  2. 12:12

  3. 12:05

  4. 11:50

  5. 11:30

  6. 11:15

  7. 11:00

  8. 10:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel