Abo
  • Services:
Anzeige
Wasserwerke sollten aus dem Internet nicht erreichbar sein.
Wasserwerke sollten aus dem Internet nicht erreichbar sein. (Bild: Golem.de)

Schwierige Kontaktaufnahme mit den Betreibern

Nach dem Auffinden der Sicherheitsrisiken entpuppte es sich als Herausforderung, die Betreiber der Anlagen ausfindig zu machen und die Informationen an den richtigen Ansprechpartner zu übermitteln. Um zu verhindern, dass Dritte den Zugriff auf entsprechende Systeme erlangten, wandten wir uns zunächst an den Hersteller der Software. Dieser war allerdings nur in geringem Maße bereit, entsprechende Informationen an seine Kunden weiterzuleiten, und sah den eigentlichen Fehler, die Erreichbarkeit der Systeme, im Verantwortungsbereich der Kunden.

Anzeige

Später versprach der Hersteller allerdings schriftlich, "dass wenn es Handlungsbedarf gibt, [sie] reagieren werden". Ob es wirklich zu Handlungen kam, ist nicht bekannt, da der Hersteller später nicht mehr auf unsere Anfragen reagierte.

Da es teils ohne besonderen Aufwand möglich war, in Produktionsprozesse der gefundenen Systeme einzugreifen, sahen wir die Notwendigkeit, auf CERTs (Computer Emergency Response Teams) zurückgreifen oder die Betreiber direkt zu kontaktieren, um zu erreichen, dass die Systeme überhaupt gesichert würden. Weltweit wurden mehr als zehn CERTs und einige Unternehmen informiert.

Betreiber reagieren sehr verschieden

Die Reaktionen waren dabei durchaus verschieden. Einige Betreiber meldeten sich gar nicht, nahmen allerdings die Steuerungen zeitnah offline. Andere bedankten sich kurz, sahen allerdings keine besondere Gefahr oder sprachen von geringer Relevanz. Wieder andere, etwa der Geschäftsführer eines deutschen Wasserwerkes, sprachen davon, dass es sich bei dem betroffenen System um Prozessleitrechner handle, eine Art Herzstück von Scada-Systemen, und deshalb durchaus eine Problematik daraus erwachsen würde.

Die meistens CERTs und Betreiber ließen keine Übermittlung mittels PGP-verschlüsselter E-Mail zu, andere ignorierten Hinweise zunächst oder meldeten sich, trotz Behebung der Gefahr, nicht zurück.

 Wie die angreifbaren Systeme gefunden wurdenWeitere Sicherheitslücken in der Steuerungssoftware 

eye home zur Startseite
Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Anzeige

Stellenmarkt
  1. Wirecard Acceptance Technologies GmbH, Aschheim
  2. über Hays AG, Großraum Nürnberg
  3. über unternehmensberatung monika gräter, Augsburg
  4. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)
  2. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)

Folgen Sie uns
       


  1. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug

  2. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  3. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  4. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

  5. Programmiersprache

    Go 1.10 cacht besser und baut Brücken zu C

  6. Letzte Meile

    Telekom macht Versuche mit Fixed Wireless 5G

  7. PTI und IBRS

    FreeBSD erhält Patches gegen Meltdown und Spectre

  8. Deutsche Telekom

    Huawei und Intel zeigen Interoperabilität von 5G

  9. Lebensmittel-Lieferservices

    Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"

  10. Fertigungstechnik

    Intel steckt Kobalt und 4,5 Milliarden US-Dollar in Chips



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fujitsu Lifebook U727 im Test: Kleines, blinkendes Anschlusswunder
Fujitsu Lifebook U727 im Test
Kleines, blinkendes Anschlusswunder
  1. Palmsecure Windows Hello wird bald Fujitsus Venenscanner unterstützen
  2. HP und Fujitsu Mechanischer Docking-Port bleibt bis 2019
  3. Stylistic Q738 Fujitsus 789-Gramm-Tablet kommt mit vielen Anschlüssen

Kingdom Come Deliverance im Test: Mittelalter, Speicherschnaps und klirrende Klingen
Kingdom Come Deliverance im Test
Mittelalter, Speicherschnaps und klirrende Klingen
  1. Kingdom Come Deliverance Von unendlich viel Rettungsschnaps und dem Ninja-Ritter
  2. Kingdom Come Deliverance Auf der Xbox One X wird das Mittelalter am schönsten
  3. Kingdom Come Deliverance angespielt Und täglich grüßt das Mittelalter

Chargery: 150 Kilo Watt auf drei Rädern
Chargery
150 Kilo Watt auf drei Rädern
  1. Europa-SPD Milliardenfonds zum Ausbau von Elektrotankstellen gefordert
  2. Elektromobilität China subventioniert Elektroautos mit großer Reichweite
  3. Elektromobilität Dyson entwickelt drei Elektroautos

  1. Re: Besteht denn abseits von Großstadt-Hipstern...

    AntiiHeld | 00:46

  2. Re: nur Windows 10, nur Windows Store?

    MoonShade | 00:43

  3. Re: Ok, also das Handy nicht im Kühlschrank laden

    HerrMannelig | 00:38

  4. Re: Ich behaupte das Gegenteil...

    Neuro-Chef | 00:35

  5. Re: Neue Programmiersprachen?

    lestard | 00:30


  1. 00:27

  2. 18:27

  3. 18:09

  4. 18:04

  5. 16:27

  6. 16:00

  7. 15:43

  8. 15:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel