Exklusiver Online-Beitrag: Software als Sicherheitsrisiko - Ein aktueller Fall

Google per Gebäudesteuerung physikalisch angreifbar

Google Australien hat die Software zur Steuerung der Klimaanlage und der Wasserversorgung in „Wharf 7 office“, seinem Hauptquartier in Australien, vom Internet abgehängt. Zuvor wiesen Billy Rios, und Terry McCorkle vom US-Sicherheitsunternehmen Cylance den Suchriesen darauf hin, dass es jedem Internetnutzer mit ein paar Handgriffen nicht nur die Anmeldedaten der Benutzer des Systems und den Grundriss des Gebäudes unter den Nagel hätte reißen können, sondern auch noch die Steuerung der Gebäudetechnik vollständig in seine Gewalt bekommen könnte.

Die Cylance-Mitarbeiter hatten jedoch Hemmungen, einen Knopf „AfterHoursButton“ zu nutzen, neben dem noch dazu ein Hammer abgebildet war: „Wir wissen nicht, was der macht und wir hatten Angst, es auszuprobieren.“

Der Grund für die physische Angreifbarkeit liegt in der Verwendung einer Gebäudemanagementsoftware namens „Niagara“ des Konzerns Tridium. Google verwendet diese Software, obwohl die US-Bundespolizei (FBI) bereits vor einem Jahr eine „CyberWarnung“ dazu veröffentlicht hat. Darüber hinaus wurde auf einer Sicherheitskonferenz im Februar 2013 demonstriert , wie die Lücke ausgenutzt werden kann. Tridium weist darauf hin, dass es noch im April einen Ratgeber dazu aktualisiert hat. Offenbar hat Google seine löchrigen Systeme nicht mit diesen Flicken gestopft. Das könnte auch damit zusammen hängen, dass Google eine externe Firma mit der Implementierung des Systems beauftragt haben soll. Oliver Sucker, EDV-Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, weist allerdings auch darauf hin: „Leider enthält das Advisory des ICSCERT bis heute nicht einmal die genau betroffenen Versionen. Den Anwendern wird damit die Diagnose unnötig erschwert."

In Deutschland lassen sich mit Hilfe der speziellen Suchmaschine „Shodan“ 319 Anwender der Niagara Software aufspüren. Von diesen 319 Systemen werden – wenn man der Suchmaschine Glauben schenken kann – 175 Systeme von den Kunden der EWE Tel GmbH in Oldenburg und 133 Systeme von denen der Deutschen Telekom AG betrieben. Oliver Sucker hält 90 % der gefundenen Systeme für verwundbar: "Alle Systeme vor Version 3.5.36 und auch ältere 3.6.x-Versionen sind sehr wahrscheinlich verwundbar, es sei denn der Besitzer hat besondere Einstellungen vorgenommen. Es ist jedoch davon auszugehen, dass den Besitzern das Problem nicht bekannt ist, sonst hätten diese stattdessen wohl gleich das mittlerweile lang verfügbare Update eingespielt." Solche veraltete Software läuft auch auf den Systemen von Telekom- und EWE Tel-Kunden.

Die tab hat durch den Autor des Beitrags die beiden größten Dienstleister und das Bundesamt für die Sicherheit in der Informationstechnik vorab über die Veröffentlichung informiert und ihnen Zeit gegeben, ihre Systeme vom Netz zu nehmen. Billy Rios und Terry McCorkle dürften sich mit ihrer Warnung insbesondere an diese Unternehmen wenden: „Wenn Sie ein Firmengelände oder sonst ein modernes Gebäude irgendeiner Art betreiben – betreiben Sie höchstwahrscheinlich auch ein ähnliches Steuerungssystem in Ihrem Netz. Wir haben jetzt über fünfundzwanzig tausend dieser Systeme gefunden, die da am Netz hängen. Eines davon ist jetzt abgehängt. Bleiben noch vierundzwanzig tausend neunhundert neunundneunzig übrig. Wenn Google einem Angriff zum Opfer fallen kann, kann das Allen passieren.“


Joachim Jakobs

Weitere Details zu diesem Thema finden sich in der tab 7-8/2013 unter dem Titel „Software als Sicherheitsrisiko“.


Thematisch passende Artikel:

Ausgabe 7-8/2013

GLT „weniger sicher als iTunes“?

Software als Sicherheitrisiko in der TGA

Im Juli 2012 warnte das US-Heimatschutzministerium die Anwender des „Niagara Framework“, dass ihre Software anfällig für kriminelle Angriffe sein könnte. Das System wird genutzt, um medizinische...

mehr
Ausgabe 12/2015

Sicherheit braucht Schutz

Blitz- und Überspannungsschutz in der Videoüberwachung

Sicherheit, Stabilität und Ordnung gehören zu unseren Grundbedürfnissen. In einer Welt mit immer komplexer werdenden Prozessen bedarf es auch komplexer technischer Hilfsmittel, um unser...

mehr

Sicherheit ohne Kompromisse

Hochverfügbarkeit für Gebäudesicherheit und -automation
Durch eine st?rkere Vernetzung und Automatisierung entsteht ein Bedarf nach dauerhafter, unterbrechungsfreier Verf?gbarkeit von Daten.

Unabhängig davon, ob Unternehmen oder Organisationen bereits auf Industrie 4.0-Ansätze vertrauen oder nicht, gilt: Fallen Systeme aus, sind Daten nicht mehr verfügbar und Unternehmen hohen Gefahren...

mehr

Webinar zur Cyber-Sicherheit für Brandmelde- und Sicherungstechnik

Online-Seminar zu den Richtlinien VdS 3836

Die Vernetzung von softwarebasierten Komponenten schreitet auch in der Brandschutz- und Sicherungstechnik rapide voran. Neben der Funktions- und Betriebssicherheit nimmt die Cyber-Sicherheit daher...

mehr
Ausgabe 11/2012 Security Essen 2012

Sicherheit wird mobil

Sicherheit ist ein gefragtes Gut und ein wachsender Markt. Das spiegelte sich auf der diesjährigen Security wider, die 39?000 Fachbesucher aus 115 Ländern zählte. Wichtige Themen in diesem Jahr...

mehr