Wer Sicherheitslücken findet, hat Probleme

Die Übermittlung der Sicherheitslücken an den Hersteller der Software war schwieriger als angenommen. Obwohl direkter Kontakt bestand und versprochen wurde, die Sicherheitslücken in einem angemessenen Zeitraum zu validieren, ließ das Unternehmen trotz mehrfacher Nachfrage bis heute nicht von sich hören.

Stellenmarkt
  1. Product Owner (m/w/d) IT Applikationen
    Goldbeck GmbH, Bielefeld
  2. Software Developer für Anwendungen und Schnittstellen (m/w / divers)
    Continental AG, Villingen
Detailsuche

Im Rahmen des Projektes Internetwache.org haben wir bereits mehrfach diese Erfahrung machen müssen. Das liegt offensichtlich schlichtweg dran, dass viele Unternehmen keine klaren Prozesse für den Umgang mit übermittelten Schwachstellen haben oder sich vor schlechter PR fürchten. Tatsächlich schlagen allerdings die meisten CERTs und beispielsweise auch das BSI vor, nicht nach dem Konzept des Security by Obscurity vorzugehen.

Sie fordern Hersteller auf, stattdessen nach dem Prinzip des Coordinated Disclosure zu handeln (siehe dazu ein Paper mit dem Titel "Handhabung von Schwachstellen", PDF). Das bedeutet, dass Sicherheitsforscher mit dem Hersteller einer Software gemeinsam versuchen sollen, die Sicherheitslücken zu schließen und die Informationen nicht einseitig zu publizieren.

Einen Angriff beweisen, ohne anzugreifen

Bei der Untersuchung von Sicherheitslücken in ICS gibt es neben der Übermittlung der Lücken an den Hersteller allerdings noch einige weitere Problematiken. Wie kann man die Sicherheitslücken beweisen, ohne den Hack bis zum Ende durchzuführen? Wir konnten ja nicht alle Schalter, die wir fanden, einfach betätigen oder innerhalb von Live-Systemen Proof-of-Concepts von Sicherheitslücken erstellen, die möglicherweise massiv in Produktions- oder Steuerungsprozesse eingegriffen hätten.

Golem Karrierewelt
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    13.10.2022, Virtuell
Weitere IT-Trainings

Das macht das Testen von Sicherheitslücken, aber auch die Kommunikation mit Behörden und Betreibern zusätzlich kompliziert, beispielsweise wenn diese gar keine konkreten Folgen entdecken können. Zudem stellen sich auch ethische Fragen, etwa inwieweit wir in einem vernetzten Haus Systeme manipulieren dürfen, wenn wir nicht wissen, ob sich gerade Personen darin aufhalten.

Im Rahmen unserer Untersuchungen haben wir deshalb auf Manipulationen verzichtet, bei denen wir wussten, dass sich die Auswirkungen sich nicht bloß auf die informationstechnischen Systeme beschränkten. Außerdem haben wir nach Auffinden eines Systems direkten Kontakt mit offiziellen Stellen wie dem BSI oder CERTs gesucht. Dieses Vorgehen legen wir anderen Sicherheitsforschern im Sinne einer Verantwortlichkeit ebenfalls nahe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Weitere Sicherheitslücken in der SteuerungssoftwareMassive Fehlkonfigurationen 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?



Aktuell auf der Startseite von Golem.de
E-Mail-Hosting
"Wir haben laufend Probleme mit GMX und Web.de"

Probleme, wie sie die Bahn jüngst mit GMX und Web.de hatte, kennt der Mailprovider Tinc schon lang. Antworten bleibe GMX schuldig, sagt uns der CEO.
Ein Interview von Moritz Tremmel

E-Mail-Hosting: Wir haben laufend Probleme mit GMX und Web.de
Artikel
  1. Cloudgaming: Google Stadia scheiterte nur an sich selbst
    Cloudgaming
    Google Stadia scheiterte nur an sich selbst

    Die Technik war nicht das Problem von Alphabets ambitioniertem Cloudgaming-Dienst. Das Problem liegt bei Google. Ein Nachruf.
    Eine Analyse von Daniel Ziegener

  2. Copilot, Java, RISC-V, Javascript, Tor: KI macht produktiver und Rust gewinnt wichtige Unterstützer
    Copilot, Java, RISC-V, Javascript, Tor
    KI macht produktiver und Rust gewinnt wichtige Unterstützer

    Dev-Update Die Diskussion um die kommerzielle Verwertbarkeit von Open Source erreicht Akka und Apache Flink, OpenAI macht Spracherkennung, Facebook hilft Javascript-Enwicklern und Rust wird immer siegreicher.
    Von Sebastian Grüner

  3. Ello LC1: Bastler baut 8-Bit-Computer in Kreditkartengröße
    Ello LC1
    Bastler baut 8-Bit-Computer in Kreditkartengröße

    Der Ello LC1 ist dank cleverer Konstruktion nur unwesentlich dicker als eine Platine und bietet einen Basic-Interpreter sowie ein LC-Display.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 2022 65" 120 Hz 1.799€ • ASRock Mainboard f. Ryzen 7000 319€ • MindStar (G.Skill DDR5-6000 32GB 299€, Mega Fastro SSD 2TB 135€) • Alternate (G.Skill DDR5-6000 32GB 219,90€) • Xbox Series S + FIFA 23 259€ • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ [Werbung]
    •  /