Abo
  • IT-Karriere:

Sicherheitslücken: Bauarbeitern die Maschinen weghacken

Bergbaumaschinen, Kräne und andere Industriegeräte lassen sich fernsteuern oder durch einen DoS-Angriff unbenutzbar machen. Das ist laut einer Studie nicht nur gefährlich, sondern auch vergleichsweise einfach.

Artikel veröffentlicht am ,
Ob auch diese Steuerung einfach übernommen werden kann?
Ob auch diese Steuerung einfach übernommen werden kann? (Bild: Carsten Koall/Getty Images)

Joysticks und bunte Köpfe, manchmal zum Umhängen: Die Funksteuerungen von Kränen, Bohrern, Bergbaumaschinen und anderen Industriegeräten lassen sich mobil vom Boden oder mit etwas Abstand steuern. Allerdings nicht nur von den Bauarbeitern: Die Geräte können auch von Angreifern gesteuert werden, beispielsweise indem die Steuercodes mitgeschnitten und selbst gesendet werden. Fünf verschiedene Angriffstypen haben Forscher der Sicherheitsfirma Trend Micro in den Funksteuerungen gefunden. Getestet hatten sie 14 Steuerungen von 7 Anbietern aus den USA, Italien, Taiwan und Japan. Bereits im Oktober riet die staatliche Sicherheitsbehörde US-CERT Baufirmen, die den Kran Telecrane F25 einsetzen, Sicherheitsupdates einzuspielen.

Stellenmarkt
  1. Universitätsklinikum Tübingen, Tübingen
  2. IQTIG - Institut für Qualitätssicherung und Transparenz im Gesundheitswesen, Berlin Tiergarten

"Bei der Prüfung der von unseren Forschern entdeckten Schwachstellen haben wir festgestellt, dass wir in der Lage sind, industrielles Gerät in voller Größe zu bewegen, das beispielsweise auf Baustellen, in Fabriken oder in der Logistik zum Einsatz kommt", sagte Udo Schneider von Trend Micro. Ein fremdgesteuerter Kran kann nicht nur den Bauarbeitern gefährlich werden, auch Passanten oder Gebäude könnten von einem Kran verletzt oder beschädigt werden. Auch Sabotage nennt die Studie als eine der möglichen Gefahren.

Vielfältige Angriffe

Der einfachste Angriff funktioniert mit einer sogenannten Replay-Attacke. Hierzu wird der Funkverkehr zwischen dem Steuerungsgerät und dem Industriegerät mitgeschnitten. Diese nutzen immer wieder die gleichen Steuerungsbefehle, die aus dem Mitschnitt extrahiert und dann selbst gesendet werden können. Kennt ein Angreifer das Funk-Protokoll des Kranes, kann er die gewünschten Steuerungsbefehle an das Industriegerät senden oder andere Befehle verändern, ohne zuvor die entsprechenden Befehle mitzuschneiden. Der Replay-Angriff funktionierte bei allen 14 getesteten Steuerungen.

Industriegeräte lassen sich durch eine DoS-Attacke (Denial of Service) sogar ausschalten: Besitzt beispielsweise ein Kran oder eine Bergbaumaschine einen Notausschalter, kann das Notaus-Kommando kontinuierlich gesendet werden. Das Gerät wird hierdurch unbenutzbar.

Komplizierter sind Angriffe, bei welchen die Firmware modifiziert werden muss. Diese kann trojanisiert werden, um dauerhafte Kontrolle über das Gerät zu erlangen. Zudem lassen sich die Steuerungsgeräte oder deren Funktion klonen, um beispielsweise einen Bohrer zu übernehmen.

Keine Schutzmechanismen

Die übertragenen Steuerungsbefehle sind laut der Studie immer identisch. Eine dynamisches Secret, das jeden Befehl einzigartig macht, wird nicht übertragen. Dadurch lassen sich einmal mitgeschnittene Befehle auch in Zukunft immer wieder ausspielen. Die Steuerungsbefehle wurden unverschlüsselt oder verschleiert übertragen. Beides stellte keinen Schutz dar. Veränderte Firmware ließ sich ebenfalls ohne Probleme auf die Steuerungen übertragen.

Hier sollten die Hersteller dringend mit Firmwareupdates nachsorgen, empfehlen die Macher der Studie. Die Funksteuerung in Industrieanlagen wird jedoch häufig einmal eingerichtet und anschließend verwendet, bis sie nicht mehr funktioniert - ob die geforderten Firmwareupdates die Steuerungsgeräte je erreichen, ist daher fraglich.



Anzeige
Spiele-Angebote
  1. (-60%) 23,99€
  2. 21,95€
  3. (-76%) 9,50€
  4. 4,31€

xMarwyc 16. Jan 2019

SIM Karte, Rasppi + den Sender und du platzierst das Teil in die Nähe. Mittels remote...


Folgen Sie uns
       


Google Game Builder ausprobiert

Mit dem Game Builder von Google können Anwender kleine, aber durchaus komplexe Spiele entwickeln. Der Editor richtet sich an neugierige Einsteiger, aber auch an professionelle Entwickler etwa für das Prototyping.

Google Game Builder ausprobiert Video aufrufen
Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Forensikerin Beweise sichern im Faradayschen Käfig
  2. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  3. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt

Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

    •  /