Original-URL des Artikels: https://www.golem.de/1108/85451.html    Veröffentlicht: 03.08.2011 14:38    Kurz-URL: https://glm.io/85451

Ohne Passwortschutz

Experten warnen vor unsicheren Scada-Systemen

Steuerungssysteme, die über das Internet erreichbar und noch nicht einmal mit einem Passwort geschützt sind: US-Sicherheitsexperten haben auf der Black-Hat-Konferenz auf gravierende Sicherheitsmängel bei kritischen Infrastrukturen hingewiesen.

Viele technische Anlagen, auch kritische Infrastrukturen, werden mit Computersystemen gesteuert. Auf der Sicherheitskonferenz Black Hat haben Experten auf schwere Sicherheitsmängel bei diesen sogenannten Scada-Systemen (Supervisory Control and Data Acquisition) hingewiesen, berichtet der US-Branchendienst Cnet.

Scada-Systeme bei Google

Tom Parker, Technikchef beim Beratungs- und Sicherheitsunternehmen FusionX, kritisierte in seiner Präsentation auf der Black Hat, dass viele Scada-Systeme nicht nur über das Internet erreichbar seien, sie seien auch über die Suchmaschine Google auffindbar. Parker führte eine Google-Suche mit entsprechenden Stichworten vor. In den Ergebnissen war der Status für eine ferngesteuerte Pumpe zu sehen - inklusive Passwort.

Die meisten Scada-Protokolle nutzten jedoch noch nicht einmal Verschlüsselung oder Authentifizierung, sagte Jonathan Pollet, Gründer des Sicherheitsunternehmens Red Tiger Security. Wenn ein solches System, etwa eine speicherprogrammierbare Steuerung (Programmable Logic Controller, PLC) ans Internet angeschlossen ist, könne jeder, der deren IP-Adresse herausfindet, darauf zugreifen. Handele es es sich beispielsweise um einen PLC in einem Umspannwerk, könne mal eben der Strom für ein ganzes Stadtviertel abgeschaltet werden.

Energieversorger online

Dieses Szenario ist nicht aus der Luft gegriffen: Pollet berichtete auf der Konferenz, er habe dieses Jahr ein Steuersystem für eine solche Station eines britischen Energieversorgers gefunden. Diese sei über das Internet und ohne Passwortschutz zugänglich gewesen.

Zwar habe der Energieversorger zumindest ein Passwort eingerichtet. Das System sei aber immer noch über das Internet erreichbar, kritisierte Pollet. Solche Systeme gehörten einfach nicht ins Internet, resümierte er.

Die Black Hat Konferenz findet noch bis bis zum 4. August 2011 in Las Vegas statt.  (wp)


Verwandte Artikel:
Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten   
(11.09.2017, https://glm.io/129868 )
Spionage: FBI legt US-Unternehmen Kaspersky-Verzicht nahe   
(21.08.2017, https://glm.io/129593 )
Black Energy: Wieder Malware-Angriff auf Stromnetz in der Ukraine   
(12.01.2017, https://glm.io/125535 )
Dallas: Sirenenhack um Mitternacht   
(09.04.2017, https://glm.io/127218 )
Sicherheitsmängel an US-Flughäfen aufgedeckt   
(18.08.2008, https://glm.io/61796 )

© 1997–2021 Golem.de, https://www.golem.de/