IT-Sicherheit: Gefährlicher Cocktail
Zwei Sicherheitsexperten haben sich mit Smartphone-Apps zur Steuerung von industriellen Anlagen und Prozessen beschäftigt – und offensichtlich viele neue Einfallstore für Hacker gefunden.
- Jim Giles
Viele Unternehmen lassen ihre Mitarbeiter Maschinen – und manchmal ganze industrielle Prozesse – mit Hilfe mobiler Apps kontrollieren und steuern. Die Apps versprechen Effizienzvorteile, bringen aber auch neue Ziele für Cyberangriffe. Im schlimmsten Fall könnten Hacker die Lücken nutzen, um Maschinen zu zerstören – und vielleicht sogar ganze Fabriken.
Nur zwei Apps waren fehlerfrei
Die beiden Sicherheitsforscher Alexander Bolshev von IOActive und Ivan Yushkevich von Embedi haben im vergangenen Jahr 34 Apps von Anbietern wie Siemens und Schneider Electric untersucht. Insgesamt fanden sie 147 Sicherheitslücken in den Apps, die sie nach dem Zufallsprinzip aus dem Google Play Store ausgewählt hatten. Bei welchen Unternehmen die größten Lücken zu finden waren oder welche Schwächen konkrete Apps haben, will Bolshev nicht verraten. Nur 2 der 34 Apps seien fehlerfrei gewesen, sagt er lediglich.
Einige der von den Forschern entdeckten Lücken könnten Hackern die Möglichkeit geben, sich in den Datenfluss zwischen einer App und der dazugehörigen Anlage einzuschalten. Somit könnte einem Techniker der Eindruck vermittelt werden, eine Maschine laufe bei einer sicheren Temperatur, obwohl sie in Wirklichkeit überhitzt. Mit einer anderen Lücke könnten Angreifer Schadcode auf ein mobiles Gerät schmuggeln, so dass es gefährliche Anweisungen an Server schickt, die mehrere Maschinen kontrollieren. Welche Folgen das für Fertigungsstraße oder eine Öl-Raffinerie haben könnte, kann man sich leicht vorstellen.
Stufen der Absicherung
Laut Bolshev ist die Kombination aus Apps und industriellen Steuerungssystemen ein „sehr gefährlicher und anfälliger Cocktail“. Allerdings betont er, dass die Risiken sehr unterschiedlich sein können. Manche Unternehmen haben Systeme mit mehreren Stufen der Absicherung, die den potenziellen Schaden begrenzen. Zum Teil bestehen sie außerdem darauf, dass Techniker mehr als nur eine Datenquelle für Maschinen nutzen statt einer einzigen App.
Eine echte Entwarnung ist das jedoch nicht. Denn es gibt Anzeichen dafür, dass es Hackern bereits gelungen ist, noch umfangreichere Sicherheitsvorkehrungen um Produktionsanlagen herum zu überwinden. Und die Risiken beziehen sich auch auf andere Bereiche – auch Kraftwerke und Transportsysteme werden inzwischen mit dem Internet verbunden, und auch hier könnten sich mobile Apps als Schwachstellen erweisen.
Werden die Lücken schon ausgenutzt?
Ob eine der Lücken bereits tatsächlich ausgenutzt wurde, haben die Forscher nach eigenen Angaben nicht untersucht. Vor der Veröffentlichung ihrer Ergebnisse haben sie die Unternehmen kontaktiert, deren Apps Schwächen aufwiesen. Einige Lücken wurden dadurch bereits geschlossen, bei anderen warten Bolshev und Yushkevich noch auf eine Reaktion.
Beau Woods, Fellow für Cybersicherheit-Innovation beim Atlantic Council, sieht die Unternehmen hier in einem Dilemma. „Das Letzte, was man bei einem Notfall will“, erklärt er, „ist dass der Bediener aus einem kritischen System ausgesperrt wird, also sind sie auf mehrere Zugriffswege hin ausgelegt“, zu denen auch mobile Apps gehören können. „Doch diese zusätzliche Konnektivität bringt eben auch Möglichkeiten für die bösen Jungs.“
(sma)
