Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Schwierige Kontaktaufnahme mit den Betreibern

Nach dem Auffinden der Sicherheitsrisiken entpuppte es sich als Herausforderung, die Betreiber der Anlagen ausfindig zu machen und die Informationen an den richtigen Ansprechpartner zu übermitteln. Um zu verhindern, dass Dritte den Zugriff auf entsprechende Systeme erlangten, wandten wir uns zunächst an den Hersteller der Software. Dieser war allerdings nur in geringem Maße bereit, entsprechende Informationen an seine Kunden weiterzuleiten, und sah den eigentlichen Fehler, die Erreichbarkeit der Systeme, im Verantwortungsbereich der Kunden.

Anzeige

Später versprach der Hersteller allerdings schriftlich, "dass wenn es Handlungsbedarf gibt, [sie] reagieren werden". Ob es wirklich zu Handlungen kam, ist nicht bekannt, da der Hersteller später nicht mehr auf unsere Anfragen reagierte.

Da es teils ohne besonderen Aufwand möglich war, in Produktionsprozesse der gefundenen Systeme einzugreifen, sahen wir die Notwendigkeit, auf CERTs (Computer Emergency Response Teams) zurückgreifen oder die Betreiber direkt zu kontaktieren, um zu erreichen, dass die Systeme überhaupt gesichert würden. Weltweit wurden mehr als zehn CERTs und einige Unternehmen informiert.

Betreiber reagieren sehr verschieden

Die Reaktionen waren dabei durchaus verschieden. Einige Betreiber meldeten sich gar nicht, nahmen allerdings die Steuerungen zeitnah offline. Andere bedankten sich kurz, sahen allerdings keine besondere Gefahr oder sprachen von geringer Relevanz. Wieder andere, etwa der Geschäftsführer eines deutschen Wasserwerkes, sprachen davon, dass es sich bei dem betroffenen System um Prozessleitrechner handle, eine Art Herzstück von Scada-Systemen, und deshalb durchaus eine Problematik daraus erwachsen würde.

Die meistens CERTs und Betreiber ließen keine Übermittlung mittels PGP-verschlüsselter E-Mail zu, andere ignorierten Hinweise zunächst oder meldeten sich, trotz Behebung der Gefahr, nicht zurück.

 Wie die angreifbaren Systeme gefunden wurdenWeitere Sicherheitslücken in der Steuerungssoftware 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. INTENSE AG, Würzburg, Köln (Home-Office)
  2. cab Produkttechnik GmbH & Co. KG, Karlsruhe
  3. STAHLGRUBER GmbH, Poing bei München
  4. LogPay Financial Services GmbH, Eschborn


Anzeige
Hardware-Angebote
  1. 6,99€
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

  1. Ziemlich Naiv.

    Pldoom | 05:16

  2. Re: Aber PGP ist schuld ...

    Pete Sabacker | 03:31

  3. Re: Wie sicher sind solche Qi-Spulen vor Attacken?

    Maatze | 02:48

  4. Re: "dem sei ohnehin nicht mehr zu helfen"

    LinuxMcBook | 02:45

  5. Re: Interessant [...] ist immer die Kapazität des...

    nightmar17 | 01:36


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel