Schwachstellen in Industriesoftware weit verbreitet

Erinnern Sie sich noch an Stuxnet? Das war ein Computerwurm der 2010 entdeckt wurde. Das Schadprogramm wurde gezielt zum Angriff auf ein System zur Überwachung und Steuerung des Herstellers Siemens entwickelt. Die Programmierer und Auftraggeber des Wurms sind unbekannt. Da aber der Iran den größten Anteil der infizierten Computer besaß, mutmaßt man, dass hochversierte US-amerikanische und israelische Programmierergruppen hinter dessen Entwicklung stecken. Das 50 Millionen Dollar teuren Sabotageprogramms führte zu außergewöhnlichen Störungen im iranischen Atomprogramm.

Kernschmelze mit kritischen IKS-Sicherheitslücken

Die Schwachstellen in der Software für die industrielle Steuerung, die sich perfekt für Würmer der nächsten Generation im Stuxnet-Stil eignen, sind anscheinend nach wie vor weit verbreitet. Laut Tenable Network Security, eine US-amerikanische IT-Sicherheitsfirma, gibt es eine Reihe von CVE-gelisteten Sicherheitslücken in den Produkten von vier der größten Hersteller von industriellen Kontrollsystemen (IKS) aufgezeigt, darunter Siemens, dessen Controller in iranischen Anlagen für Urananreicherung das Hauptziel von Stuxnet waren. Damals nutzte Stuxnet drei Lücken in Microsoft Windows und eine in der Windows-basierten SIMATIC-Software von Siemens, um Ausrüstung für das iranische Nuklearprogramm zu befehligen. befürchtet, dass zukünftige Stämme von Stuxnet-ähnlichen Gemeinheiten, die durch eine kompetente Hacking-Operation entwickelt wurden, potenziell ähnliche Fehler in Systemen, die wichtige Maschinen steuern, auffangen und eher unangenehme Schäden verursachen könnten.

Zugriff aus der Ferne auf Anlagen ohne Authentifizierung möglich

Ein Tenable-Ingenieur sagte, er und sein Team hätten vier Produkte von ICS-Anbietern über einen Zeitraum von neun Monaten untersucht und insgesamt 17 Sicherheitslücken festgestellt, von denen alle bis auf drei als kritisch eingestuft wurden. Die untersuchten Geräte werden zur Überwachung und Steuerung aller Arten von wichtigen Geräten verwendet, wie zum Beispiel Kraftwerkssysteme, Fertigungsstraßen und andere Infrastrukturkomponenten. Es ist die Art von Dingen, die niemand unerwartet von Angreifern aus der Ferne umprogrammiert oder manipuliert haben möchten. Unter diesen entdeckten Lücken befand sich ein kritischer Fehler im TIA-Portal von Siemens. Dieses bewirbt Siemens mit den Worten: “Das Totally Integrated Automation Portal (TIA Portal) ermöglicht Ihnen den vollständigen Zugriff auf die gesamte digitalisierte Automatisierung von der digitalen Planung über integriertes Engineering bis zum transparenten Betrieb.” Es ermöglicht also Administratoren, Befehle aus der Ferne an installierte Industrieregler zu senden. Ein Angreifer im Netzwerk kann die Authentifizierungsprüfungen vollständig umgehen und beliebige Befehle abgeben, um Geräte zu übernehmen, ohne dass ein Kennwort erforderlich ist.

Betrieb von Industrieanlagen voller Risiken

Der Siemens-Fehler war keineswegs der einzige kritische Fehler, den die Tenable-Forscher entdeckt hatten. Es wurde auch festgestellt, dass industrielle Steuerungsgeräte von Fuji Electric, Schneider Electric und Rockwell Automation Mängel von mittlerer bis kritischer Schwere aufweisen. Insgesamt liefert die Untersuchung ein wenig ermutigendes Bild der Fortschritte, die das IKS und die Sicherheitsgemeinschaften in den über neun Jahren seit dem ersten Scheitern von Stuxnet und seinen Erfolgen bei der Sabotage der iranischen Uranzentrifugen erzielt haben. Unbeantwortet bleibt eine Frage: Weshalb werden Industrieanlagen eigentlich über Webbrowser gesteuert? Es sollte zudem darüber nachgedacht werden, ob die unter dem Begriff Industrie 4.0 und IoT angestrebte umfassenden Digitalisierung der industriellen Produktion, bei der diese mittels moderner Informations- und Kommunikationstechnik verzahnt werden soll. Dadurch soll eine weitestgehend selbstorganisierte Produktion möglich werden: Menschen, Maschinen, Anlagen, Logistik und Produkte kommunizieren und kooperieren in der Industrie 4.0 direkt miteinander. Das hört sich angesichts der gegenwärtigen Probleme nicht vernünftig an.

Resch Datenschutz – Experten für DSGVO/Expertise im Datenschutz

Wenn Sie Fragen zur DSGVO oder allgemein zum Datenschutz haben, rufen Sie an unter 030 885 9770, oder füllen Sie den Fragebogen aus. Sie erhalten dann eine kostenlose erste Einschätzung Ihres Falles.