Studie: US-Gefängnisse mit erheblichen Sicherheitslücken

Sicherheitsexperten haben auf der Hacker Haltet-Konferenz in Miami dargelegt, wie Angreifer die Kontrolle über Steuer- und Schließsysteme in US-Gefängnissen erlangen könnten. John Strauchs (IT-Berater von mehr als 114 Justizeinrichtungen in den USA), Tiffany Rad (IT-Forscherin und Professorin) und Teague Newman (Cybercrime-Experte) stellen ihre Ergebnisse in der Forschungsarbeit "SCADA & PLC Vulnerabilities in Correctional Facilities" vor.

Dem Bericht zufolge baute Strauchs‘ Team die auf gängigen Industriestandards beruhende Gefängnis-Steuertechnik nach und benötigte dafür lediglich ein Budget von umgerechnet etwa 1800 Euro. Sie spielten unter anderem Szenarien durch, wie sich die IT-Systeme über bekannte Security-Lecks aushebeln lassen, die beispielsweise auch vom Stuxnet-Wurm genutzt werden. Darüber könnten Angreifer etwa Zellentüren öffnen und Alarme abschalten, heißt es. Genutzt würden meist SPS-Computersysteme, wie sie auch zur Steuerung und Überwachung von Industrieanlagen eingesetzt werden. In Gefängnissen lassen sich damit unter anderem Türen, Video- und Alarmsysteme sowie Beleuchtungen bedienen.

Ein wesentliches Element bei den Angriffsszenarien sei, dass die Steuerungscomputer in den Gefängnissen in der Regel mit dem Internet verbunden seien und dass Mitarbeiter diese auch für private Zwecke (etwa zum Surfen oder E-Mail-Verkehr) nutzten, halten die Experten fest. Ganz unterbinden lasse sich die Internetanbindung der Vollzugsanstalten aber nicht, da darüber auch Updates eingespielt werden müssten. Die Experten mahnen aber an, dass die meist überalterten Systeme dringend modernisiert, auf den aktuellen Stand der IT-Sicherheit gebracht und nur für die eigentlich vorgesehenen Zwecke genutzt werden sollten.

In einem Interview sprechen die drei Experten ausführlich über ihre Arbeit. (dta)