Wer Sicherheitslücken findet, hat Probleme

Die Übermittlung der Sicherheitslücken an den Hersteller der Software war schwieriger als angenommen. Obwohl direkter Kontakt bestand und versprochen wurde, die Sicherheitslücken in einem angemessenen Zeitraum zu validieren, ließ das Unternehmen trotz mehrfacher Nachfrage bis heute nicht von sich hören.

Stellenmarkt
  1. Solution Architekt PLM (w/m/d)
    Dassault Systèmes Deutschland GmbH, München, Stuttgart, Düsseldorf, Hamburg, Berlin (Home-Office)
  2. Projektmanager (m/w/d) mit Schwerpunkt Healthcare-IT im Rahmen der Umsetzung des KHZG
    Stiftung Kreuznacher Diakonie, Bad Kreuznach
Detailsuche

Im Rahmen des Projektes Internetwache.org haben wir bereits mehrfach diese Erfahrung machen müssen. Das liegt offensichtlich schlichtweg dran, dass viele Unternehmen keine klaren Prozesse für den Umgang mit übermittelten Schwachstellen haben oder sich vor schlechter PR fürchten. Tatsächlich schlagen allerdings die meisten CERTs und beispielsweise auch das BSI vor, nicht nach dem Konzept des Security by Obscurity vorzugehen.

Sie fordern Hersteller auf, stattdessen nach dem Prinzip des Coordinated Disclosure zu handeln (siehe dazu ein Paper mit dem Titel "Handhabung von Schwachstellen", PDF). Das bedeutet, dass Sicherheitsforscher mit dem Hersteller einer Software gemeinsam versuchen sollen, die Sicherheitslücken zu schließen und die Informationen nicht einseitig zu publizieren.

Einen Angriff beweisen, ohne anzugreifen

Bei der Untersuchung von Sicherheitslücken in ICS gibt es neben der Übermittlung der Lücken an den Hersteller allerdings noch einige weitere Problematiken. Wie kann man die Sicherheitslücken beweisen, ohne den Hack bis zum Ende durchzuführen? Wir konnten ja nicht alle Schalter, die wir fanden, einfach betätigen oder innerhalb von Live-Systemen Proof-of-Concepts von Sicherheitslücken erstellen, die möglicherweise massiv in Produktions- oder Steuerungsprozesse eingegriffen hätten.

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Das macht das Testen von Sicherheitslücken, aber auch die Kommunikation mit Behörden und Betreibern zusätzlich kompliziert, beispielsweise wenn diese gar keine konkreten Folgen entdecken können. Zudem stellen sich auch ethische Fragen, etwa inwieweit wir in einem vernetzten Haus Systeme manipulieren dürfen, wenn wir nicht wissen, ob sich gerade Personen darin aufhalten.

Im Rahmen unserer Untersuchungen haben wir deshalb auf Manipulationen verzichtet, bei denen wir wussten, dass sich die Auswirkungen sich nicht bloß auf die informationstechnischen Systeme beschränkten. Außerdem haben wir nach Auffinden eines Systems direkten Kontakt mit offiziellen Stellen wie dem BSI oder CERTs gesucht. Dieses Vorgehen legen wir anderen Sicherheitsforschern im Sinne einer Verantwortlichkeit ebenfalls nahe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Weitere Sicherheitslücken in der SteuerungssoftwareMassive Fehlkonfigurationen 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Aktuell auf der Startseite von Golem.de
WSL 2 in Windows 11
Von der Hassliebe zur fast perfekten Windows-Linux-Symbiose

Das Windows Subsystem für Linux bietet in Windows 11 theoretisch alles, was sich der Linux-Redakteur wünscht. Einige Fehler und Abstürze trüben jedoch den Eindruck.
Ein Test von Sebastian Grüner

WSL 2 in Windows 11: Von der Hassliebe zur fast perfekten Windows-Linux-Symbiose
Artikel
  1. Metaversum: Facebook plant wohl seine Umbenennung
    Metaversum
    Facebook plant wohl seine Umbenennung

    Einem Gerücht zufolge will Facebook seinen Firmennamen ändern. Der neue Name soll reflektieren, dass das Unternehmen mittlerweile mehr bietet.

  2. Google: Pixel-Smartphones erhalten Android 12
    Google
    Pixel-Smartphones erhalten Android 12

    Nach der Vorstellung des Pixel 6 hat Google mit der Verteilung von Android 12 für ältere Pixel-Modelle begonnen.

  3. Kaufberatung: Macbook Air oder Macbook Pro und wenn ja, welches?
    Kaufberatung
    Macbook Air oder Macbook Pro und wenn ja, welches?

    Apple macht es Kunden nicht leicht, das richtige Macbook zu finden. Wir geben Entscheidungshilfe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Jetzt PS5 bestellbar • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphone als Geschenk) • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ [Werbung]
    •  /