Abo
  • Services:

Massive Fehlkonfigurationen

Bei den Untersuchungen konnten wir feststellen, dass die meisten gefundenen Anlagen massiv fehlerhaft konfiguriert waren. Oftmals waren die Firewalls schlichtweg schlecht oder falsch eingestellt, so dass unter Ansprache bestimmter Ports Zugriff auf Applikationen möglich wurde. Darüber hinaus war eine transportverschlüsselte Verbindung mittels SSL/TLS (HTTPs) in den meisten Fällen (mehr als 80 Prozent) nicht eingerichtet. Selbst wenn die Erreichbarkeit des Systems über das Internet also vorgesehen wäre, könnten Angreifer im gleichen Netz mittels Sniffing den Netzwerkverkehr belauschen und diese Informationen nutzen, um Kontrolle über die Steuerungen zu übernehmen.

Stellenmarkt
  1. KEYMILE GmbH, Hannover
  2. Deloitte, verschiedene Standorte

Es ist überraschend genug, dass solche Systeme sich überhaupt im Internet finden lassen, denn eigentlich sollten diese abgeschirmt betrieben werden. Schließlich handelte es sich mitunter um öffentliche und teilweise kritische Infrastrukturen, also besonders schützenswerte IT-Systeme.

Die Hersteller sollten handeln

Es ist zudem fraglich, ob der Hersteller gegenüber den Kunden eine gewisse Informationspflicht zu erfüllen hat, wie die Software bzw. Anlage sicher zu betreiben ist. In jedem Fall zeigt sich, dass mit den vorliegenden Informationen viele Betreiber oder sogar Reseller auf die zusätzliche Sicherung der Systeme verzichten. Vermutlich fehlt ein Bewusstsein für Sicherheit, woraus sich durchaus ein Handlungsbedarf für den Hersteller ableiten lässt.

  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Die Steuerungsanlage eines Wasserwerks lässt sich manipulieren. (Screeenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Bei einer Ferienwohnung in Österreich konnten wir die Temperatur und andere Einstellungen verändern. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
  • Und bei einem Smart Tower in Isarel war die gesamte Elektronik aus der Ferne steuerbar. (Screenshot: Golem.de)
Auch ein Blockheizkraftwerk fanden wir ungeschützt im Internet. (Screenshot: Golem.de)

Im April 2016 teilte der Hersteller der von uns untersuchten Systeme mit, dass ein Informationsdokument zu diesem Thema zurzeit in Bearbeitung sei und Mitte Mai zur Verfügung stehen werde. Auf erneute Anfrage Anfang Juni 2016 reagierte er nicht.

Auch bei vielen Systemen für das Internet of Things (IoT) zeigt sich, dass sich diese zwar sicher konfigurieren lassen, in der Standardeinstellung aber häufig ungesichert ausgeliefert werden, wie etwa das Zigbee-Türschloss. Bei der von uns untersuchten Software wird beispielsweise ein automatisches Port Binding an allen verfügbaren Netzwerkanschlüssen vorgenommen. Das bedeutet, sobald einer dieser Anschlüsse direkt in das Internet führt, dass die Applikation auch darüber abrufbar ist.

 Wer Sicherheitslücken findet, hat ProblemeWas getan werden muss 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. ab 69,98€ mit Vorbesteller-Preisgarantie (Release 26.08.)
  3. (-15%) 33,99€
  4. 14,99€

Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt


Folgen Sie uns
       


OLKB Planck - Test

Die Planck von OLKB ist eine ortholineare Tastatur mit nur 47 Tasten. Im Test stellen wir aber fest, dass wir trotzdem problemlos mit dem Gerät arbeiten können - nachdem wir uns in die Programmierung eingearbeitet haben.

OLKB Planck - Test Video aufrufen
Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

Elektromobilität: Regierung bremst bei Anspruch auf private Ladesäulen
Elektromobilität
Regierung bremst bei Anspruch auf private Ladesäulen

Die Anschaffung eines Elektroautos scheitert häufig an der fehlenden Lademöglichkeit am heimischen Parkplatz. Doch die Bundesregierung will vorerst keinen eigenen Gesetzesentwurf für einen Anspruch von Wohnungseigentümern und Mietern vorlegen.
Ein Bericht von Friedhelm Greis

  1. Elektroautos Daimler-Betriebsrat will Akkuzellen aus Europa
  2. Elektromobilität Elektrisches Surfboard Rävik flitzt übers Wasser
  3. Elektromobilität UPS lässt sich von Thor neuen E-Truck bauen

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  2. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  3. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht

    •  /