Abo
  • Services:

Sicherheit: Schwachstellen in US-Kraftwerken aufgedeckt

Drei US-Sicherheitsexperten haben Schwachstellen in den Systemen von Versorgungsunternehmen in Kanada und den USA aufgedeckt. Dadurch könnten Steuerungsrechner lahmgelegt oder sogar übernommen werden.

Artikel veröffentlicht am ,
Umspannwerk: Programmcode auf einen Rechner schleusen und ausführen
Umspannwerk: Programmcode auf einen Rechner schleusen und ausführen (Bild: John Moore/Getty Images News)

Sicherheitsexperten haben Schwachstellen in den Systemen von Versorgungsunternehmen in Nordamerika gefunden. Über diese Sicherheitslücken könnten Angreifer die Steuerungsrechner von Wasserwerken, Umspannstationen oder Kraftwerken außer Funktion setzen oder die Kontrolle übernehmen.

Stellenmarkt
  1. DAN Produkte GmbH, Raum Schleswig-Holstein, Niedersachen, Hamburg, Bremen (Home-Office)
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln

Adam Crain, Chris Sistrunk und Adam Todorski haben die sogenannten Scada-Systeme (Supervisory Control and Data Acquisition) auf Schwachstellen untersucht. Scada-Systeme werden zur Steuerung von Anlagen eingesetzt.

Schwachstellen in Implementierung

Die drei Experten haben in den Produkten von 20 Anbietern mehr als 25 Sicherheitslücken gefunden. Die Systeme nutzen DNP3, ein Protokoll für serielle Kommunikation, das in den meisten Anlagen des Stromnetzes in Kanada und den USA im Einsatz ist. Das Protokoll selbst sei jedoch nicht das Problem. Die Schwachstellen entstünden bei der Implementierung, sagte Crain dem US-Technologiemagazin Wired.

Davon gebe es genug: Sie hätten in fast jeder Implementierung des Protokolls eine Schwachstelle gefunden, sagte Sistrunk. "Manche waren schlimmer als andere." Die meisten ermöglichten es Angreifern, Kontrollserver in Endlosschleifen zu versetzen, wodurch sie nicht mehr auf Befehle reagieren. Das Bedienpersonal könne dann eine Anlage nicht mehr überwachen oder steuern. Über einige Sicherheitslücken sei es aber möglich, Programmcode auf einen Rechner zu schleusen und auszuführen.

IP-basierte Kommunikation

Die Sicherheitsexperten konzentrierten sich auf die IP-basierte Kommunikation der Versorgungsanlagen, da sie diese als das größere Risiko betrachteten, sagte Crain. Entsprechend seien sie zwar auch mit Firewalls abgesichert. Es gebe aber eine Reihe von Möglichkeiten, die von ihnen untersuchten Systeme anzugreifen. Die Versorger müssten sich deshalb um diese Schwachstellen kümmern. Experten warnen immer wieder vor unsicheren Scada-Systemen.

Crain, Sistrunk und Todorski haben das Industrial Control Systems Cyber Emergency Response Team (ICS-Cert) über die Schwachstellen informiert. Die für die Sicherheit von Industrieanlagen zuständige Stelle beim US-Heimatschutzministerium hilft ihnen, die Anbieter zu unterrichten. Auf der Seite von Crains Unternehmen Automatak gibt es zudem Anweisungen des ICS-Cert zum Umgang mit Schwachstellen.



Anzeige
Top-Angebote
  1. (aktuell u. a. ADATA XPG GAMMIX D3 DDR4-3200 8 GB für 49,99€ + Versand)
  2. 229,99€
  3. (u. a. Plantronics RIG 800HS PS4/PC für 87€ und Indiana Jones - The Complete Adventures Blu-ray...
  4. (u. a. PSN Card 20€ für 17,99€, Assassin's Creed Odyssey für 24,99€ und Tropico 6 für 31...

Moriati 18. Okt 2013

Danke fürs Trollen. Ich habe bereits geschrieben, was ich mir vorstelle: Keine Verbindung...

holminger 18. Okt 2013

anstatt sich, wie sie es früher mal getan hat, auch um die Sicherheit von Software zu...

Endwickler 18. Okt 2013

Vermutlich so etwas hier von 2011: http://www.virusbeseitigung.de/news/hacker-erlangt...

KTVStudio 18. Okt 2013

Wäre der physische Zugang schwer bewacht und das Dingen Autark wäre es mit win 3.11 total...

yeti 18. Okt 2013

Jedenfalls bei allen Anlagen, die räumlich weit verteilt sind, wie Infrastruktur...


Folgen Sie uns
       


The Division 2 - Test

The Division 2 ist ein spektakuläres Spiel - und um einiges besser als der Vorgänger.

The Division 2 - Test Video aufrufen
Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
Days Gone angespielt
Zombies, Bikes und die Sache mit der Benzinpumpe

Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
Von Peter Steinlechner


    Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
    Fitbit Versa Lite im Test
    Eher smartes als sportliches Wearable

    Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
    Von Peter Steinlechner

    1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
    2. Inspire Fitbits neues Wearable gibt es nicht im Handel
    3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

      •  /