Weiterbetrieb nur mit Sicherheitskonzept
Das österreichische Cert teilte Schäfers und Neef mit, dass der Betreiber IKB die Bahn erst wieder in Betrieb nehmen werde, wenn "ein brauchbares Security-Konzept vorliegt und umgesetzt ist". Für die Steuerung der Gondelanlagen nutzte das Unternehmen die Software Doppelmayr Connect. Diese basiert auf Technik der Firma Certec/Atvise. Der Hersteller der Gondeln selbst sieht das Problem nicht so kritisch. Doppelmayr-Pressesprecher Ekkehard Assmann sagte: "Es hat nie ein Sicherheitsproblem gegeben. Die Steuerung der Bahn war auf diesem Weg nicht möglich." Die Sicherheit der Fahrgäste sei zu keinem Zeitpunkt gefährdet gewesen.
Diese Einstellung teilt Sebastian Neef nicht. Er sagte Golem.de: "Wir konnten das Kontrollpanel der Bahn einsehen. Dort waren die Bedienelemente für die Fahrtrichtung und den Sicherheitsabstand der Gondeln." Auch die Steuerung der Notbremse sei dort einsehbar. Ausprobiert haben die beiden Forscher das aber natürlich nicht. "Wir dürfen und wollen solche Zugriffe und Konfigurationsmöglichkeiten nicht testen, da sich die Auswirkungen nicht beurteilen lassen und es rechtlich untersagt ist", sagte Schäfers.
Betreiber und Hersteller wiegeln oft ab
Hersteller oder Betreiber unsicher konfigurierter Internet-of-Things-Geräte versuchen immer wieder, die Bedeutung von Sicherheitsproblemen herunterzuspielen. So reagierten die Betreiber einer Schweizer Luxusklinik überhaupt nicht auf eine Anfrage von Golem.de nach den Auswirkungen der offenbar im Netz vergessenen IT. Den Sicherheitsforschern sagte das Krankenhaus nur, es habe sich lediglich um einen Testlauf gehandelt - was einem potenziellen Angreifer egal sein dürfte. Auch der Hersteller einer Baustellen-Ampelanlage reagierte auf mehrere Anfragen nicht, obwohl eine Sicherheitslücke die Manipulation der an sensiblen Bereichen eingesetzten Lichtsignalanlagen ermöglichte.
Die Webseite der Gondelbetreiber wirkt übrigens ebenfalls nicht besonders durchdacht. Auf eine HTTPS-Verschlüsselung wird derzeit trotz kostenfrei verfügbarer Zertifikate von Let's Encrypt verzichtet. Zwar werden im Moment außer beim Eintragen für den Newsletter keine vertraulichen oder personenbezogenen Daten abgefragt, doch das dürfte sich bald ändern. Dann nämlich wird ein bereits angekündigter Onlineshop eröffnet. Es bleibt zu hoffen, dass die Webseite ihre Nutzer dann vor Angreifern schützt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Patscherkofel: Gondelbahn mit Sicherheitslücken |
- 1
- 2
Hast Du Dir schon mal die Liftseppl angeschaut. Das sind immer noch die gleichen die...
Nur als 1,94m Mensch bekommt man seine Skier schon nicht mehr auf die Stangen beim...
Apropos Statistik: In ca. 120% aller Statistiken sind Fehler selbst bei simpelsten...
Wenn man auf deren Seite nach IT sucht, ist der erste Treffer: 313, Service Road East, F...
Die ganze Anlage wird vom Hersteller gebaut. Der hängt nicht nur die Gondeln auf. D.h...