Abo
  • Services:

Wer Sicherheitslücken findet, hat Probleme

Die Übermittlung der Sicherheitslücken an den Hersteller der Software war schwieriger als angenommen. Obwohl direkter Kontakt bestand und versprochen wurde, die Sicherheitslücken in einem angemessenen Zeitraum zu validieren, ließ das Unternehmen trotz mehrfacher Nachfrage bis heute nicht von sich hören.

Stellenmarkt
  1. Landesamt für Steuern Niedersachsen, Hannover
  2. Robert Bosch GmbH, Stuttgart

Im Rahmen des Projektes Internetwache.org haben wir bereits mehrfach diese Erfahrung machen müssen. Das liegt offensichtlich schlichtweg dran, dass viele Unternehmen keine klaren Prozesse für den Umgang mit übermittelten Schwachstellen haben oder sich vor schlechter PR fürchten. Tatsächlich schlagen allerdings die meisten CERTs und beispielsweise auch das BSI vor, nicht nach dem Konzept des Security by Obscurity vorzugehen.

Sie fordern Hersteller auf, stattdessen nach dem Prinzip des Coordinated Disclosure zu handeln (siehe dazu ein Paper mit dem Titel "Handhabung von Schwachstellen", PDF). Das bedeutet, dass Sicherheitsforscher mit dem Hersteller einer Software gemeinsam versuchen sollen, die Sicherheitslücken zu schließen und die Informationen nicht einseitig zu publizieren.

Einen Angriff beweisen, ohne anzugreifen

Bei der Untersuchung von Sicherheitslücken in ICS gibt es neben der Übermittlung der Lücken an den Hersteller allerdings noch einige weitere Problematiken. Wie kann man die Sicherheitslücken beweisen, ohne den Hack bis zum Ende durchzuführen? Wir konnten ja nicht alle Schalter, die wir fanden, einfach betätigen oder innerhalb von Live-Systemen Proof-of-Concepts von Sicherheitslücken erstellen, die möglicherweise massiv in Produktions- oder Steuerungsprozesse eingegriffen hätten.

Das macht das Testen von Sicherheitslücken, aber auch die Kommunikation mit Behörden und Betreibern zusätzlich kompliziert, beispielsweise wenn diese gar keine konkreten Folgen entdecken können. Zudem stellen sich auch ethische Fragen, etwa inwieweit wir in einem vernetzten Haus Systeme manipulieren dürfen, wenn wir nicht wissen, ob sich gerade Personen darin aufhalten.

Im Rahmen unserer Untersuchungen haben wir deshalb auf Manipulationen verzichtet, bei denen wir wussten, dass sich die Auswirkungen sich nicht bloß auf die informationstechnischen Systeme beschränkten. Außerdem haben wir nach Auffinden eines Systems direkten Kontakt mit offiziellen Stellen wie dem BSI oder CERTs gesucht. Dieses Vorgehen legen wir anderen Sicherheitsforschern im Sinne einer Verantwortlichkeit ebenfalls nahe.

 Weitere Sicherheitslücken in der SteuerungssoftwareMassive Fehlkonfigurationen 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 9,99€

Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt


Folgen Sie uns
       


Sonnet eGFX Box 650W - Test

Die eGFX Box von Sonnet hat 650 Watt und ist ein externes Grafikkarten-Gehäuse. Sie funktioniert mit AMDs Radeon RX Vega 64 und wird per Thunderbolt 3 an ein Notebook angeschlossen. Der Lüfter und das Netzteil sind vergleichsweise leise, der Preis fällt mit 450 Euro recht hoch aus.

Sonnet eGFX Box 650W - Test Video aufrufen
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
    Sonnet eGFX Box 650 im Test
    Wenn die Vega 64 am Thinkpad rechnet

    Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Razer Core X eGPU-Box kostet 300 Euro
    2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
    3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

    BMW i3s im Test: Teure Rennpappe à la Karbonara
    BMW i3s im Test
    Teure Rennpappe à la Karbonara

    Mit dem neuen BMW i3s ist man zügig in der Stadt unterwegs. Zwar ist der Kleinwagen gut vernetzt, doch die Assistenzsysteme lassen immer noch zu wünschen übrig. Trotz des hohen Preises.
    Ein Praxistest von Friedhelm Greis

    1. R71-Seitenwagen BMW-Motorrad aus den 30er Jahren soll elektrifiziert werden
    2. SUV Concept iX3 zeigt BMWs elektrische Zukunft
    3. BMW Mini-Oldtimer mit E-Antrieb ausgerüstet

      •  /