Kommentar: Security-Fails mit Ansage
c't hatte zwei trivial ausnutzbare Sicherheitslücken aufgedeckt, die in Packstationen und vernetzten Alarmanlagen klafften. So weit hätte es nicht kommen müssen - und auch nicht dürfen, kommentiert Ronald Eikenberg.
- Ronald Eikenberg
Was haben vernetzte Alarmanlagen und Packstationen gemeinsam? Sie waren oder sind leicht angreifbar, wie c't aufgedeckt hatte. In beiden Fällen waren die Schwachstellen so offensichtlich, dass man sich fragen muss, wie ernst es die verantwortlichen Unternehmen mit der Sicherheit ihrer Kunden meinen.
Zum Thema:
- DHL-Packstation: Hintergründe des Packstation-Hacks
- DHL Packstation: Sicherheitslücke in App macht 3000 Paketautomaten angreifbar
- Sicherheitsleck in vernetzten Alarmsystemen
Schuld beim Kunden?
Man muss kein Security-Forscher sein, um festzustellen, dass es keine gute Idee ist, vernetzte Geräte wie Alarmanlagen mit einem Standardpasswort auszuliefern und dann auch noch im Handbuch zu erklären, wie man das System aus dem Internet erreichbar macht. Dass es unverzichtbar ist, vorgegebene Zugangsdaten wie admin/admin1234 zu ändern, verschweigt die Anleitung. Die Anlagen sind damit für jedermann über das Internet steuerbar; vom Einbrecher bis hin zum neugierigen Skript-Kiddie.
Der Alarmanlagen-GAU war also vorprogrammiert. Kann man den Kunden wirklich ankreiden, dass sie das Passwort nicht geändert haben, wenn es selbst der Hersteller nicht für wichtig genug hält, um es in der Anleitung zu erwähnen? Solche Systeme sorgen nicht nur dafür, dass sich der Nutzer in falscher Sicherheit wiegt, sie lassen sich auch vom Täter als Einbruchshilfe missbrauchen.
War was?
Auch die DHL hat sich einen vermeidbaren Fehler geleistet. Sie beschädigte ein funktionierendes Sicherheitskonzept – nämlich die per SMS zugestellte mTAN – durch eine mehr oder weniger nützliche Spielerei. Packstation-Nutzer konnten die mTAN seit Anfang Juni auch per App abrufen.
Allerdings kamen dadurch auch Online-Ganoven deutlich leichter dran. Während die Alarmanlagen-Hersteller sofort einsichtig waren, sah DHL in der offensichtlichen Schwachstelle zunächst "kein erhöhtes Sicherheitsrisiko". Das Unternehmen änderte seine Meinung erst, nachdem es feststellte, dass die Lücke bereits von der dunklen Seite der Macht missbraucht wird.
Vertrauen?
Es ist bedauerlich, dass es überhaupt so weit gekommen ist. Anscheinend haben die Unternehmen gescheut, die Meinung unabhängiger Sicherheitsexperten einzuholen. Denn dann hätten diese konzeptuellen Schwächen eigentlich auffallen müssen.
Es führt kein Weg daran vorbei, schon während der Entwicklung darüber nachzudenken, welche Angriffsszenarien realistisch sind und welche Maßnahmen davor schützen. Das ist natürlich teuer – doch wenn es so läuft, wie in diesen zwei Fällen, kostet es noch viel mehr: das Vertrauen der Kunden. (rei)
