Siemens hielt SCADA-Sicherheits-Lücke zurück

15. Juni 2011, 10:27
  • security
  • sicherheit
image

Statt Sicherheitslücken für Industrie-Systeme proaktiv zu stopfen, unterdrücken Hersteller Informationen zu den Lücken. Dass die Schweizer Industrie bisher verschont blieb, ist reines Glück.

Statt Sicherheitslücken für Industrie-Systeme proaktiv zu stopfen, unterdrücken Hersteller Informationen zu den Lücken. Dass die Schweizer Industrie bisher verschont blieb, ist reines Glück.
Der deutsche Elektronikgigant Siemens hat ein Update der Firmware für seinen Industrierechner Simatic S7-1200 veröffentlicht, das mindestens zwei Sicherheitslücken schliessen soll.
Spätestens seit der Trojaner Stuxnet in einem komplexen Angriff dieses System übernahm und möglicherweise Zentrifugen in iranischen Nuklearfabriken zerstörte, ist die Gefährdung von SCADA-Systemen ins Bewusstsein einer breiteren Öffentlichkeit gelangt. SCADA steht für "Supervisory Control and Data Acquisition" und bezeichnet Industriekontrollsysteme.
Information unterdrückt
Die neuen Lücken entdeckt hatte der Sicherheitsforscher Dillon Beresford, der eine Präsentation der neuen Schwachstellen an der TakeDownCon-Konferenz im texanischen Dallas im März in letzter Minute absagte. Gegenüber dem US-Magazin 'Wired' betonte Beresford, dass er sich freiwillig dazu entschieden habe. Allerdings hatten Siemens als auch das "Department for Homeland Security" ihn telefonisch und an der Konferenz dazu aufgefordert.
Ganz ähnlich wie Siemens versuchte vor einigen Jahren Cisco die Präsentation von Lücken in seiner proprietären Router-Software IOS zu unterdrücken.
Problem verschwiegen
In Sicherheitskreisen holen sich die Hersteller damit keine Lorbeeren, denn die Gefährdung ist schon lange bekannt, aber agiert wird nur auf Druck, so der Tenor. Die grundsätzliche Schwachstelle von SCADA-Systemen ist eigentlich ein Legacy-Problem aus der Zeit, wo speicherprogrammierbare Steuerungen noch nicht mit dem Internet verbunden waren und somit nicht von aussen auf sie zugegriffen werden konnten.
"Viele der Industrie-Systeme wurden entwickelt, bevor es Cyberwar gab", sagte beispielsweise der IT-Sicherheitsexperte Markus Martinides kürzlich an einer Security-Veranstaltung in Zürich. "Die Hersteller sagen immer, es gebe kein Problem, sie hätten alles im Griff", umreisst er die Standardreaktion der Produzenten.
Schweiz verschont
Auch hierzulande wird vielerorts auf die SCADA-Lösungen von Siemens gesetzt. "Die Schweizer Industrie war bisher noch nie das Ziel einer grossen Cyberattacke, aber sie könnte es jederzeit werden", warnte Righard Zwienberg, Chief Research Officer von Norman Security.
Dass IT-Sicherheit allgemein hierzulande höhere Priorität hat als anderswo, darf bezweifelt werden. Sicherheitsexperte Martinides erklärt, dass das Thema in der Industrie ebenso wie in Betrieben der öffentlichen Hand massiv unterschätzt werde. "Man denkt, das könne im Iran passieren oder beim Nachbarn, aber sicher nicht bei mir."
Untermauern kann er diese Aussage mit haarsträubenden Anekdoten aus den Penetrationstests, die er im Auftrag von Unternehmen durchführt. So würde beispielsweise jeder einem Unternehmen unkommentiert per Post zugestellte USB-Stick eingestöpselt - und damit ein Spionageprogramm ausführen. "Nach wenigen Sekunden haben wir den Computer unter Kontrolle, wie eine Marionette." (Philippe Kropf)
Bildlegende: SCADA-Systeme stammen aus der Zeit vor dem Internet. Wie die Action-Figuren von Mattel. Damals war der Kampf von Gut gegen Böse angeblich noch einfach. (Bild: Mattel, Montage inside-it.ch)

Loading

Mehr zum Thema

image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Ren Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022