Abo
  • Services:

Schwierige Kontaktaufnahme mit den Betreibern

Nach dem Auffinden der Sicherheitsrisiken entpuppte es sich als Herausforderung, die Betreiber der Anlagen ausfindig zu machen und die Informationen an den richtigen Ansprechpartner zu übermitteln. Um zu verhindern, dass Dritte den Zugriff auf entsprechende Systeme erlangten, wandten wir uns zunächst an den Hersteller der Software. Dieser war allerdings nur in geringem Maße bereit, entsprechende Informationen an seine Kunden weiterzuleiten, und sah den eigentlichen Fehler, die Erreichbarkeit der Systeme, im Verantwortungsbereich der Kunden.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Später versprach der Hersteller allerdings schriftlich, "dass wenn es Handlungsbedarf gibt, [sie] reagieren werden". Ob es wirklich zu Handlungen kam, ist nicht bekannt, da der Hersteller später nicht mehr auf unsere Anfragen reagierte.

Da es teils ohne besonderen Aufwand möglich war, in Produktionsprozesse der gefundenen Systeme einzugreifen, sahen wir die Notwendigkeit, auf CERTs (Computer Emergency Response Teams) zurückgreifen oder die Betreiber direkt zu kontaktieren, um zu erreichen, dass die Systeme überhaupt gesichert würden. Weltweit wurden mehr als zehn CERTs und einige Unternehmen informiert.

Betreiber reagieren sehr verschieden

Die Reaktionen waren dabei durchaus verschieden. Einige Betreiber meldeten sich gar nicht, nahmen allerdings die Steuerungen zeitnah offline. Andere bedankten sich kurz, sahen allerdings keine besondere Gefahr oder sprachen von geringer Relevanz. Wieder andere, etwa der Geschäftsführer eines deutschen Wasserwerkes, sprachen davon, dass es sich bei dem betroffenen System um Prozessleitrechner handle, eine Art Herzstück von Scada-Systemen, und deshalb durchaus eine Problematik daraus erwachsen würde.

Die meistens CERTs und Betreiber ließen keine Übermittlung mittels PGP-verschlüsselter E-Mail zu, andere ignorierten Hinweise zunächst oder meldeten sich, trotz Behebung der Gefahr, nicht zurück.

 Wie die angreifbaren Systeme gefunden wurdenWeitere Sicherheitslücken in der Steuerungssoftware 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Anzeige
Top-Angebote
  1. 297€ + Versand oder Abholung im Markt
  2. (u. a. HP Pavilion Gaming 32 HDR für 369€ + Versand - Bestpreis!)
  3. 699€ + Versand (PCGH-Preisvergleich ab 755€)
  4. (u. a. Oculus Go 32GB/64 GB für 149,90€/199,90€ inkl. Versand - Bestpreis!)

Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt


Folgen Sie uns
       


Alexa-App für Windows 10 ausprobiert

Wir stellen Alexa über die neue Windows-10-App einige Fragen und natürlich erzählt sie auch wie immer einen Witz.

Alexa-App für Windows 10 ausprobiert Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

IMHO: Valves Ka-Ching mit der Brechstange
IMHO
Valves "Ka-Ching" mit der Brechstange

Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
Ein IMHO von Michael Wieczorek

  1. Artifact im Test Zusammengewürfelt und potenziell teuer
  2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
  3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

Mars Insight: Nasa hofft auf Langeweile auf dem Mars
Mars Insight
Nasa hofft auf Langeweile auf dem Mars

Bei der Frage, wie es im Inneren des Mars aussieht, kann eine Raumsonde keine spektakuläre Landschaft gebrauchen. Eine möglichst langweilige Sandwüste wäre den beteiligten Wissenschaftlern am liebsten. Der Nasa-Livestream zeigte ab 20 Uhr MEZ, dass die Suche nach der perfekten Langeweile tatsächlich gelang.

  1. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  2. Mars Die Nasa gibt den Rover nicht auf
  3. Raumfahrt Terraforming des Mars ist mit heutiger Technik nicht möglich

    •  /