Abo
  • IT-Karriere:

Sicherheit: Schwachstellen in US-Kraftwerken aufgedeckt

Drei US-Sicherheitsexperten haben Schwachstellen in den Systemen von Versorgungsunternehmen in Kanada und den USA aufgedeckt. Dadurch könnten Steuerungsrechner lahmgelegt oder sogar übernommen werden.

Artikel veröffentlicht am ,
Umspannwerk: Programmcode auf einen Rechner schleusen und ausführen
Umspannwerk: Programmcode auf einen Rechner schleusen und ausführen (Bild: John Moore/Getty Images News)

Sicherheitsexperten haben Schwachstellen in den Systemen von Versorgungsunternehmen in Nordamerika gefunden. Über diese Sicherheitslücken könnten Angreifer die Steuerungsrechner von Wasserwerken, Umspannstationen oder Kraftwerken außer Funktion setzen oder die Kontrolle übernehmen.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Münster
  2. BPG Beratungs- und Prüfungsgesellschaft mbH, Krefeld

Adam Crain, Chris Sistrunk und Adam Todorski haben die sogenannten Scada-Systeme (Supervisory Control and Data Acquisition) auf Schwachstellen untersucht. Scada-Systeme werden zur Steuerung von Anlagen eingesetzt.

Schwachstellen in Implementierung

Die drei Experten haben in den Produkten von 20 Anbietern mehr als 25 Sicherheitslücken gefunden. Die Systeme nutzen DNP3, ein Protokoll für serielle Kommunikation, das in den meisten Anlagen des Stromnetzes in Kanada und den USA im Einsatz ist. Das Protokoll selbst sei jedoch nicht das Problem. Die Schwachstellen entstünden bei der Implementierung, sagte Crain dem US-Technologiemagazin Wired.

Davon gebe es genug: Sie hätten in fast jeder Implementierung des Protokolls eine Schwachstelle gefunden, sagte Sistrunk. "Manche waren schlimmer als andere." Die meisten ermöglichten es Angreifern, Kontrollserver in Endlosschleifen zu versetzen, wodurch sie nicht mehr auf Befehle reagieren. Das Bedienpersonal könne dann eine Anlage nicht mehr überwachen oder steuern. Über einige Sicherheitslücken sei es aber möglich, Programmcode auf einen Rechner zu schleusen und auszuführen.

IP-basierte Kommunikation

Die Sicherheitsexperten konzentrierten sich auf die IP-basierte Kommunikation der Versorgungsanlagen, da sie diese als das größere Risiko betrachteten, sagte Crain. Entsprechend seien sie zwar auch mit Firewalls abgesichert. Es gebe aber eine Reihe von Möglichkeiten, die von ihnen untersuchten Systeme anzugreifen. Die Versorger müssten sich deshalb um diese Schwachstellen kümmern. Experten warnen immer wieder vor unsicheren Scada-Systemen.

Crain, Sistrunk und Todorski haben das Industrial Control Systems Cyber Emergency Response Team (ICS-Cert) über die Schwachstellen informiert. Die für die Sicherheit von Industrieanlagen zuständige Stelle beim US-Heimatschutzministerium hilft ihnen, die Anbieter zu unterrichten. Auf der Seite von Crains Unternehmen Automatak gibt es zudem Anweisungen des ICS-Cert zum Umgang mit Schwachstellen.



Anzeige
Hardware-Angebote
  1. 239,00€
  2. (reduzierte Überstände, Restposten & Co.)
  3. 259€ + Versand oder kostenlose Marktabholung

Moriati 18. Okt 2013

Danke fürs Trollen. Ich habe bereits geschrieben, was ich mir vorstelle: Keine Verbindung...

holminger 18. Okt 2013

anstatt sich, wie sie es früher mal getan hat, auch um die Sicherheit von Software zu...

Endwickler 18. Okt 2013

Vermutlich so etwas hier von 2011: http://www.virusbeseitigung.de/news/hacker-erlangt...

KTVStudio 18. Okt 2013

Wäre der physische Zugang schwer bewacht und das Dingen Autark wäre es mit win 3.11 total...

yeti 18. Okt 2013

Jedenfalls bei allen Anlagen, die räumlich weit verteilt sind, wie Infrastruktur...


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


      •  /