Schwachstellen in Kontrollsoftware von Kraftwerken und Raffinerien
Siemens und Schneider Electric haben eine Reihe von Lücken in SCADA-Systemen geschlossen. Zum Teil kommt die betroffene Software auch in deutschen Kraftwerken zum Einsatz.
(Bild: Horia Varlan, CC-BY 2.0)
- Fabian A. Scherschel
Sicherheitsforscher warnen seit Jahren davor, dass Industrie-Kontrollsysteme (ICS) viel zu verwundbar für Angriffe von außen sind. Jetzt hat ein Hacker der Sicherheitsfirma Positive Technologies erneut eine ganze Reihe von Sicherheitslücken in Software offengelegt, die wichtige Aufgabe in Raffinerien, Fabriken und Kraftwerken erfüllt. Bei einem Produkt können Passwörter lokal im Klartext ausgelesen werden, in einem anderen Fall können Angreifer Passwort-Hashes abfangen und die Kontrolle über Systeme von außen übernehmen.
Die Hersteller haben die Lücken vor der Veröffentlichung gestopft. Schneider Electric empfiehlt Kunden der Produkte InTouch Machine Edition und InduSoft Web Studio schnellstmöglich Updates einzuspielen, um das Auslesen von Klartext-Passwörtern im lokalen Netz zu verhindern (CVE-2015-1009). Siemens stopfte die Löcher bereits im April (CVE-2015-1601, CVE-2015-2822, CVE-2015-2823), weist nun aber noch einmal auf die entsprechenden Updates für mehrere SIMATIC-Produkte hin.
Darunter sind auch WinCC-Systeme, die unter anderem in deutschen Atomkraftwerken zum Einsatz kommen. Bereits im Januar hatte Siemens ähnlich gelagerte Lücken in Industrieanlagen in einer anderen WinCC-App geschlossen. (fab)
