Original-URL des Artikels: https://www.golem.de/news/smart-city-schweizer-prime-tower-gibt-massenhaft-daten-preis-1601-118552.html    Veröffentlicht: 22.01.2016 09:14    Kurz-URL: https://glm.io/118552

Smart City

Schweizer Prime Tower gibt massenhaft Daten preis

Eine Webapplikation des Zürcher Prime Tower hat massive Sicherheitslücken. Sie gibt detaillierte Auskunft darüber, welche Parkplätze wann wie lange belegt werden. Auch Schranken können aus der Ferne gesteuert werden. Einbrecher dürfen sich eingeladen fühlen.

Die vernetzte Stadt gilt als Stadt der Zukunft: Sie soll Energie sparen und gleichzeitig einer Vielzahl von Bedürfnissen und Entwicklungen gerecht werden - eben eine Smart City sein. Einige Städte scheinen darum zu wetteifern, wer am schnellsten "smart" wird, darunter die Schweizer Stadt Zürich. Ihr Prime Tower ist nicht nur eines der teuersten Bauprojekte der Schweiz und zu einem Wahrzeichen der Stadt geworden. Er ist ein sogenanntes Smart Building, also ein weitgehend vernetztes und intelligentes Gebäude. Genau das wird nun zur Gefahr, denn anders als in einem Entwurf der Stadt zum Thema Smart City vorgesehen, wird dem Punkt "Datenschutz und Sicherheit" offensichtlich nicht genug Wert beigemessen.

Jedem ist es möglich, über das Internet eine Webapplikation aufzurufen, die als Administration für die Parkdecks des Prime Tower dient. Über die Applikation lässt sich auf den Stellplatz genau ermitteln, wann und wie lange dieser belegt ist oder war - rückblickend über mehrere Monate. Die Parkplätze gehören zum überwiegenden Teil Firmen, die meisten Stellplätze scheinen immer von den gleichen Fahrzeugen oder zumindest Personen genutzt zu werden, darauf deuten die Muster in Parkzeiten hin. Eventuell sind die Parkplätze sogar tatsächlich eindeutig zugewiesen. Von Golem.de angefertigte Stichproben aus den Parkdaten von mehreren Monaten ergaben, dass sich durch Daten der Vergangenheit recht genau ermitteln lässt, wann ein Parkplatz vermutlich verlassen und wieder belegt sein wird - Big Data im Kleinen.

Die Daten müssen noch bereinigt werden

Für eine Analyse der Daten ist es sinnvoll, diese zunächst von Ausreißern (beispielsweise Wochenendtagen) zu bereinigen und anschließend die Median-Werte zu bilden. Dadurch erhält man eine recht exakte Prognose, die bei uns bis auf 10 Minuten genau war. Das sind wertvolle Daten, die auch für Einbrecher interessant sein dürften.

Durch die Erfassung und öffentliche Abrufbarkeit der Daten werden die Parkenden gläsern. Guter Datenschutz ist das gewiss nicht. Die Funktion zur Verwaltung und für das Anlegen von Reservierungen verschärft die Lage in dem Bereich noch, da bei den Reservierungen Namen hinterlegt werden. Somit ist es möglich, einen Parkplatz exakt zu zuordnen.

Die Sicherheit ist noch schlechter als der Datenschutz

Noch gravierender als die Mängel im Bereich Datenschutz sind allerdings jene im Bereich Sicherheit. Dass die Applikation überhaupt simpel von außen auffindbar ist, zeigt, dass die Verantwortlichen bei der Einrichtung des Systems ihre Pflichten nicht besonders ernst genommen haben. Applikationen, die kritische Infrastrukturen kontrollieren (Parkhäuser sind zumindest ein wichtiger Teil der Infrastruktur) sollten, wenn überhaupt, nur über eine verschlüsselte VPN-Verbindung aus der Ferne erreichbar sein. Die Webapplikation ist primär für interne Netzwerke ausgelegt. Über sie lässt sich die gesamte Steuerung der Parkdecks vornehmen, also beispielsweise auch über Schranken, Parkhauslichter oder die Parkplatzreservierung. Zudem gibt es einen Ereignisplan, auf dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen. Die Funktionen sind sichtbar, bedürfen teilweise allerdings eines Logins. Dieses könnte über eine sogenannte Brute-Force-Attacke, also das Ausprobieren von Passwörtern, ermittelt werden. Es könnte auch gelingen, Standard-Passwörter des Herstellers zu nutzen, um die Kontrolle zu übernehmen. Ein noch aggressiveres Vorgehen wäre die Überforderung der betreffenden Dienste, etwa mittels DoS- oder DDoS-Angriff. Im schlimmsten Fall wäre dann das gesamte Parkhaus funktionsunfähig.

Parkhaus und Cert reagieren nicht

Die Betreiber des Parkhauses und das Schweizer Cert wurden vor rund drei Monaten auf die Problematik aufmerksam gemacht. Bislang haben sich die Betreiber allerdings trotz mehrfacher Hinweise durch Golem.de nicht zu dem Fund geäußert. Die Webapplikation ist weiterhin zugänglich.

Am 7. April veranstaltet die Gesellschaft der Informatik im Rahmen der Fachtagung Sicherheit 2016 einen Workshop zu dem Thema Smart Building Security. Wie das Beispiel des Prime Tower zeigt, handelt es sich um ein sehr dringliches Thema, um langfristig die Sicherheit und den Datenschutz im öffentlichen Raum zu gewährleisten.

Nachtrag vom 22. Januar 2016, 17:04 Uhr

Die Webapplikation ist seit heute 16:00 nicht mehr über eine öffentliche IP-Adresse erreichbar. Der Betreiber des Prime Tower hat folgendes Statement abgegeben: "Das Problem bezüglich des externen Zugriffs auf die Webapplikation wurde vom Betreiber erkannt. Der Zugriff hat sich auf die Daten der öffentlich zugänglichen Tiefgarage auf einen 'read-only' Modus beschränkt. Somit waren Steuerungsmöglichkeiten von extern unmöglich. Der externe Zugriff auf die Webapplikation wurde blockiert."  (tps-iw)


Verwandte Artikel:
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten   
(19.09.2017, https://glm.io/130047 )
Connected Hotel Room: Hilton-Gäste sollen ihre Zimmer per App steuern   
(11.12.2017, https://glm.io/131586 )
Hilton Digital Key im Kurztest: Wenn das iPhone die Hoteltür öffnet   
(18.08.2017, https://glm.io/129507 )
Community based Parking: Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche   
(02.08.2017, https://glm.io/129274 )
Smart City: Intelligente Fahrradlampe erkennt Straßenschäden   
(16.06.2017, https://glm.io/128419 )

© 1997–2019 Golem.de, https://www.golem.de/