Abo
  • Services:
Anzeige
Der Prime-Tower in Zürich gibt viele Daten preis.
Der Prime-Tower in Zürich gibt viele Daten preis. (Bild: Roland ch/CC-BY-SA 3.0)

Die Sicherheit ist noch schlechter als der Datenschutz

Noch gravierender als die Mängel im Bereich Datenschutz sind allerdings jene im Bereich Sicherheit. Dass die Applikation überhaupt simpel von außen auffindbar ist, zeigt, dass die Verantwortlichen bei der Einrichtung des Systems ihre Pflichten nicht besonders ernst genommen haben. Applikationen, die kritische Infrastrukturen kontrollieren (Parkhäuser sind zumindest ein wichtiger Teil der Infrastruktur) sollten, wenn überhaupt, nur über eine verschlüsselte VPN-Verbindung aus der Ferne erreichbar sein. Die Webapplikation ist primär für interne Netzwerke ausgelegt. Über sie lässt sich die gesamte Steuerung der Parkdecks vornehmen, also beispielsweise auch über Schranken, Parkhauslichter oder die Parkplatzreservierung. Zudem gibt es einen Ereignisplan, auf dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen.

Anzeige
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)

Die Funktionen sind sichtbar, bedürfen teilweise allerdings eines Logins. Dieses könnte über eine sogenannte Brute-Force-Attacke, also das Ausprobieren von Passwörtern, ermittelt werden. Es könnte auch gelingen, Standard-Passwörter des Herstellers zu nutzen, um die Kontrolle zu übernehmen. Ein noch aggressiveres Vorgehen wäre die Überforderung der betreffenden Dienste, etwa mittels DoS- oder DDoS-Angriff. Im schlimmsten Fall wäre dann das gesamte Parkhaus funktionsunfähig.

Parkhaus und Cert reagieren nicht

Die Betreiber des Parkhauses und das Schweizer Cert wurden vor rund drei Monaten auf die Problematik aufmerksam gemacht. Bislang haben sich die Betreiber allerdings trotz mehrfacher Hinweise durch Golem.de nicht zu dem Fund geäußert. Die Webapplikation ist weiterhin zugänglich.

Am 7. April veranstaltet die Gesellschaft der Informatik im Rahmen der Fachtagung Sicherheit 2016 einen Workshop zu dem Thema Smart Building Security. Wie das Beispiel des Prime Tower zeigt, handelt es sich um ein sehr dringliches Thema, um langfristig die Sicherheit und den Datenschutz im öffentlichen Raum zu gewährleisten.

Nachtrag vom 22. Januar 2016, 17:04 Uhr

Die Webapplikation ist seit heute 16:00 nicht mehr über eine öffentliche IP-Adresse erreichbar. Der Betreiber des Prime Tower hat folgendes Statement abgegeben: "Das Problem bezüglich des externen Zugriffs auf die Webapplikation wurde vom Betreiber erkannt. Der Zugriff hat sich auf die Daten der öffentlich zugänglichen Tiefgarage auf einen 'read-only' Modus beschränkt. Somit waren Steuerungsmöglichkeiten von extern unmöglich. Der externe Zugriff auf die Webapplikation wurde blockiert."

 Smart City: Schweizer Prime Tower gibt massenhaft Daten preis

eye home zur Startseite
Tuxianer 27. Jan 2016

Es gibt mehr als einen Film und mehr als einen SF-Roman, in dem die Idee der Kontrolle...

ManMashine 23. Jan 2016

Präzise auf den Punkt gebracht. Sehr gut.

JTR 23. Jan 2016

Es geht hier darum, dass es immer dieselben Fahrer sind und damit für Diebe Rückschlüsse...

JTR 23. Jan 2016

Evt. ist das ein kleines KMU die nicht die teuersten Software Ingenieure hat und sonst...

lyom 23. Jan 2016

Dazu gehören drei Punkte: - Applikation über das Web steuerbar, programmiert wird nur das...



Anzeige

Stellenmarkt
  1. Helvetia Schweizerische Versicherungsgesellschaft AG, Frankfurt am Main
  2. Dirk Rossmann GmbH, Burgwedel
  3. TDM Systems GmbH, Tübingen
  4. über Ratbacher GmbH, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. (u. a. Space Jam 11,97€, Ex Machina 9,97€, Game of Thrones 3. Staffel 24,97€)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 6,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Surge 1

    Xiaomis erstes Smartphone-SoC ist ein Mittelklasse-Chip

  2. TC-7680

    Kabelmodem für Gigabit-Datenraten vorgestellt

  3. Störerhaftung

    Regierung will Netzsperren statt Abmahnkosten

  4. Voice ID

    Alexa soll Nutzer an der Stimme erkennen können

  5. Chrome

    Bluecoat bremst Einführung von besserem TLS-Protokoll

  6. HTC D4

    Cog Systems will das sicherste Smartphone der Welt zeigen

  7. Raspberry Pi Zero W

    Zero bekommt WLAN und Bluetooth

  8. Gebäudesteuerung

    Luxusklinik vergaß IT im Netz

  9. Internet.org

    Facebook plant neue Flüge für Solardrohne Aquila

  10. Toughbook CF-33

    Panasonics Detachable blendet mit 1.200 Candela/qm



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Motion Control: Kamerafahrten für die perfekte Illusion
Motion Control
Kamerafahrten für die perfekte Illusion
  1. Konzeptfahrzeug Peugeot Instinct - autonom fahren oder manuell steuern
  2. Später Lesen Mozilla übernimmt Hersteller von Pocket
  3. Senkrechtstarter Solardrohne fliegt wie ein Harrier

Nintendo Switch eingeschaltet: Zerstückelte Konsole und gigantisches Handheld
Nintendo Switch eingeschaltet
Zerstückelte Konsole und gigantisches Handheld
  1. Nintendo Interner Speicher von Switch offenbar schon jetzt zu klein
  2. Hybridkonsole Leak zeigt Menüs der Nintendo Switch
  3. Hybridkonsole Hardware-Details von Nintendo Switch geleakt

Blackberry Key One im Hands on: Android-Smartphone mit toller Hardware-Tastatur
Blackberry Key One im Hands on
Android-Smartphone mit toller Hardware-Tastatur
  1. Lenovo Moto Mod macht Moto Z zum Spiele-Handheld
  2. Alternatives Betriebssystem Jolla will Sailfish OS auf Sony-Smartphones bringen
  3. Digitale Assistenten Google und Amazon kämpfen um Vorherrschaft

  1. Re: Mehrere Betriebssysteme...

    Phantom | 15:50

  2. Re: Festnetzersatz in dicht besiedelten...

    Reci | 15:50

  3. Aufbrechen der Kanalgrenzen durch DOCSIS 3.1

    M.P. | 15:49

  4. Re: Bei mir ist das schon Modifikation, wenn ....

    Moe479 | 15:48

  5. Re: Alternativen?

    Phantom | 15:46


  1. 15:23

  2. 14:57

  3. 14:40

  4. 14:28

  5. 13:44

  6. 12:47

  7. 12:21

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel