Abo
  • Services:

Die Sicherheit ist noch schlechter als der Datenschutz

Noch gravierender als die Mängel im Bereich Datenschutz sind allerdings jene im Bereich Sicherheit. Dass die Applikation überhaupt simpel von außen auffindbar ist, zeigt, dass die Verantwortlichen bei der Einrichtung des Systems ihre Pflichten nicht besonders ernst genommen haben. Applikationen, die kritische Infrastrukturen kontrollieren (Parkhäuser sind zumindest ein wichtiger Teil der Infrastruktur) sollten, wenn überhaupt, nur über eine verschlüsselte VPN-Verbindung aus der Ferne erreichbar sein. Die Webapplikation ist primär für interne Netzwerke ausgelegt. Über sie lässt sich die gesamte Steuerung der Parkdecks vornehmen, also beispielsweise auch über Schranken, Parkhauslichter oder die Parkplatzreservierung. Zudem gibt es einen Ereignisplan, auf dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen.

  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
  • Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
Screenshot der Prime-Tower Webbaplikation (Screenshot: Golem.de)
Stellenmarkt
  1. Home Shopping Europe GmbH, Ismaning Raum München
  2. Fresenius Netcare GmbH, Bad Homburg

Die Funktionen sind sichtbar, bedürfen teilweise allerdings eines Logins. Dieses könnte über eine sogenannte Brute-Force-Attacke, also das Ausprobieren von Passwörtern, ermittelt werden. Es könnte auch gelingen, Standard-Passwörter des Herstellers zu nutzen, um die Kontrolle zu übernehmen. Ein noch aggressiveres Vorgehen wäre die Überforderung der betreffenden Dienste, etwa mittels DoS- oder DDoS-Angriff. Im schlimmsten Fall wäre dann das gesamte Parkhaus funktionsunfähig.

Parkhaus und Cert reagieren nicht

Die Betreiber des Parkhauses und das Schweizer Cert wurden vor rund drei Monaten auf die Problematik aufmerksam gemacht. Bislang haben sich die Betreiber allerdings trotz mehrfacher Hinweise durch Golem.de nicht zu dem Fund geäußert. Die Webapplikation ist weiterhin zugänglich.

Am 7. April veranstaltet die Gesellschaft der Informatik im Rahmen der Fachtagung Sicherheit 2016 einen Workshop zu dem Thema Smart Building Security. Wie das Beispiel des Prime Tower zeigt, handelt es sich um ein sehr dringliches Thema, um langfristig die Sicherheit und den Datenschutz im öffentlichen Raum zu gewährleisten.

Nachtrag vom 22. Januar 2016, 17:04 Uhr

Die Webapplikation ist seit heute 16:00 nicht mehr über eine öffentliche IP-Adresse erreichbar. Der Betreiber des Prime Tower hat folgendes Statement abgegeben: "Das Problem bezüglich des externen Zugriffs auf die Webapplikation wurde vom Betreiber erkannt. Der Zugriff hat sich auf die Daten der öffentlich zugänglichen Tiefgarage auf einen 'read-only' Modus beschränkt. Somit waren Steuerungsmöglichkeiten von extern unmöglich. Der externe Zugriff auf die Webapplikation wurde blockiert."

 Smart City: Schweizer Prime Tower gibt massenhaft Daten preis
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (u. a. 3 Blu-rays für 20€, Boxsets im Angebot, Serien zum Sonderpreis)
  3. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...
  4. 4,99€

Tuxianer 27. Jan 2016

Es gibt mehr als einen Film und mehr als einen SF-Roman, in dem die Idee der Kontrolle...

ManMashine 23. Jan 2016

Präzise auf den Punkt gebracht. Sehr gut.

JTR 23. Jan 2016

Es geht hier darum, dass es immer dieselben Fahrer sind und damit für Diebe Rückschlüsse...

JTR 23. Jan 2016

Evt. ist das ein kleines KMU die nicht die teuersten Software Ingenieure hat und sonst...

lyom 23. Jan 2016

Dazu gehören drei Punkte: - Applikation über das Web steuerbar, programmiert wird nur das...


Folgen Sie uns
       


Dell XPS 13 (9370) - Fazit

Dells neues XPS 13 ist noch dünner als der Vorgänger. Der Nachteil: Es muss auf USB-A und einen SD-Kartenleser verzichtet werden. Auch das spiegelnde Display nervt uns im Test. Gut ist das Notebook trotzdem.

Dell XPS 13 (9370) - Fazit Video aufrufen
Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern
  2. Vor Anhörungen Zuckerberg nimmt alle Schuld auf sich
  3. Facebook Verschärfte Regeln für Politwerbung und beliebte Seiten

    •  /