Industrie-Systeme strotzen vor Sicherheitslücken

Drohende Angriffe auf kritische Infrastrukturen werden immer wieder als Horrorszenario eingesetzt - doch angesichts des Zustands entsprechender Systeme ist eher die Frage, warum nicht viel mehr passiert.
Fabrik, Industrie, Steuerung, SCADA
Green Mamba (CC BY-ND 2.0)
Denn die Kontroll- und Regeltechnologien stecken voller Sicherheitslücken. Das ist das Ergebnis einer eingehenden Untersuchung dieser so genannten SCADA-Systeme, die in einer großen Bandbreite von Anlagen von der Haustechnik bis hin zu kritischen nationalen Infrastrukturen zu finden sind.

Die russischen Sicherheitsexperten Sergey Gordeychik und Gleb Gritsai haben beispielsweise die WinCC-Software von Siemens unter die Lupe genommen. Diese kam beispielsweise auch in den iranischen Atom-Anlagen zum Einsatz, die vor einiger Zeit erfolgreich mit der Stuxnet-Malware angegriffen wurden. Aber auch in vielen anderen Bereichen ist das Produkt zu finden.

"Wir haben keine großen Erfahrungen mit der Atom-Industrie, aber während unseres Projektes konnten wir den Verantwortlichen aus Sektoren wie der Energieversorgung, Öl, Gas, Chemie und Logistik demonstrieren, wie wir die volle Kontrolle über die Industrielle Infrastruktur übernehmen konnten - inklusive aller damit verbundenen Risiken", erklärte Gordeychik gegenüber dem SC Magazine.

Dabei gibt es gleich eine ganze Reihe möglicher Angriffsvektoren. Unter anderem fanden die Sicherheitsforscher beispielsweise Schwachstellen in der Speicherung von Passwörtern, wodurch ein einfacher Zugang zu den Systemen möglich wurde. Weiterhin war es möglich, über einfache Installationen zur Demonstration von Features auch auf andere Systeme beim gleichen Unternehmen zuzugreifen.

Insgesamt konnten die Experten rund 150 Zero-Day-Lücken bei verschiedenen SCADA-Systemen und artverwandten Technologien ausfindig machen. Häufig resultierten diese daraus, dass die Entwickler die einfachsten Sicherheits-Regeln nicht beachteten. So konnte fast ein Drittel der Schwachstellen über simple Cross Site Scripting-Attacken ausgenutzt werden.

Doch die zahlreichen Sicherheitsprobleme in den Systemen selbst, sind nach Ansicht von Gordeychik und Gritsai nicht allein für das bestehende Risiko verantwortlich. Hinzu komme, dass die Umgebungen, in denen diese betrieben werden, nicht über zusätzliche Schutzmechanismen verfügen, die in den meisten IT-Infrastrukturen eigentlich Standard sind.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!