Abo
  • IT-Karriere:

Schwierige Kontaktaufnahme mit den Betreibern

Nach dem Auffinden der Sicherheitsrisiken entpuppte es sich als Herausforderung, die Betreiber der Anlagen ausfindig zu machen und die Informationen an den richtigen Ansprechpartner zu übermitteln. Um zu verhindern, dass Dritte den Zugriff auf entsprechende Systeme erlangten, wandten wir uns zunächst an den Hersteller der Software. Dieser war allerdings nur in geringem Maße bereit, entsprechende Informationen an seine Kunden weiterzuleiten, und sah den eigentlichen Fehler, die Erreichbarkeit der Systeme, im Verantwortungsbereich der Kunden.

Stellenmarkt
  1. mobileX AG, München
  2. SOLCOM GmbH, Reutlingen

Später versprach der Hersteller allerdings schriftlich, "dass wenn es Handlungsbedarf gibt, [sie] reagieren werden". Ob es wirklich zu Handlungen kam, ist nicht bekannt, da der Hersteller später nicht mehr auf unsere Anfragen reagierte.

Da es teils ohne besonderen Aufwand möglich war, in Produktionsprozesse der gefundenen Systeme einzugreifen, sahen wir die Notwendigkeit, auf CERTs (Computer Emergency Response Teams) zurückgreifen oder die Betreiber direkt zu kontaktieren, um zu erreichen, dass die Systeme überhaupt gesichert würden. Weltweit wurden mehr als zehn CERTs und einige Unternehmen informiert.

Betreiber reagieren sehr verschieden

Die Reaktionen waren dabei durchaus verschieden. Einige Betreiber meldeten sich gar nicht, nahmen allerdings die Steuerungen zeitnah offline. Andere bedankten sich kurz, sahen allerdings keine besondere Gefahr oder sprachen von geringer Relevanz. Wieder andere, etwa der Geschäftsführer eines deutschen Wasserwerkes, sprachen davon, dass es sich bei dem betroffenen System um Prozessleitrechner handle, eine Art Herzstück von Scada-Systemen, und deshalb durchaus eine Problematik daraus erwachsen würde.

Die meistens CERTs und Betreiber ließen keine Übermittlung mittels PGP-verschlüsselter E-Mail zu, andere ignorierten Hinweise zunächst oder meldeten sich, trotz Behebung der Gefahr, nicht zurück.

 Wie die angreifbaren Systeme gefunden wurdenWeitere Sicherheitslücken in der Steuerungssoftware 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Anzeige
Spiele-Angebote
  1. 4,19€
  2. (-81%) 3,75€
  3. 23,99€
  4. 1,12€

Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt


Folgen Sie uns
       


Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

    •  /