CISA warnt vor SicherheitslĂĽcken in 21 IoT-Industrie-Kontrollsystemen
Die US-IT-Sicherheitsbehörde CISA hat 21 Sicherheitsmeldungen zu industriellen Steuerungssystemen veröffentlicht. IT-Verantwortliche sollten sie prüfen.
(Bild: Color4260/Shutterstock.com)
Die oberste US-IT-Sicherheitsbehörde hat 21 Sicherheitsmeldungen zu Schwachstellen in industriellen Kontrollsystemen (ICS; IoT) veröffentlicht. Zahlreiche Produkte der Hersteller Delta Electronics, Schneider, Siemens und Rockwell Automation finden sich darunter.
Die CISA erläutert in ihrer Sicherheitsmitteilung, dass die einzelnen Security-Advisories Informationen zu Sicherheitsproblemen, Schwachstellen sowie Exploits "rund um ICS" (Industrial Control Systems) enthalten. Die einzelnen Sicherheitslücken betreffen in der Regel eine ganze Reihe von Geräten. Der Schweregrad variiert: Während einige Schwachstellen die Risikobewertung mittel erhalten, finden sich viele als hochriskant oder gar einige als kritisches Risiko eingestufte Sicherheitslecks in den IoT-Geräten.
Industriesteuerung: Workarounds
Etwa eine kritische Sicherheitslücke in Siemens Sentron 7KM PAC3200 soll keinen Sicherheitsfix erhalten, Administratoren sollen beispielsweise eine PIN als Schutz vor nicht autorisierten Operationen einrichten. Die Mitteilungen enthalten weitergehende Informationen, erörtern, ob Updates geplant oder vorhanden sind und gehen auf gegebenenfalls verfügbare Workarounds ein. Weiterreichende Hinweise der Hersteller stellt die CISA in den Advisories ebenfalls bereit.
Die Liste der Produkte mit SicherheitslĂĽcken ist recht lang:
- Siemens SIMATIC S7-1500 and S7-1200 CPUs
- Siemens Simcenter Nastran
- Siemens Teamcenter Visualization and JT2Go
- Siemens SENTRON PAC3200 Devices
- Siemens Questa and ModelSim
- Siemens SINEC Security Monitor
- Siemens JT2Go
- Siemens HiMed Cockpit
- Siemens PSS SINCAL
- Siemens SIMATIC S7-1500 CPUs
- Siemens RUGGEDCOM APE1808
- Siemens Sentron Powercenter 1000
- Siemens Tecnomatix Plant Simulation
- Schneider Electric Zelio Soft 2
- Rockwell Automation DataMosaix Private Cloud
- Rockwell Automation DataMosaix Private Cloud
- Rockwell Automation Verve Asset Manager
- Rockwell Automation Logix Controllers
- Rockwell Automation PowerFlex 6000T
- Rockwell Automation ControlLogix
- Delta Electronics CNCSoft-G2
Die CISA empfiehlt, dass Nutzerinnen und Nutzer sowie Admins die Sicherheitsmeldungen zu den industriellen Kontrollsystemen lesen und die technischen Details sowie GegenmaĂźnahmen prĂĽfen.
Verwundbare ICS-Systeme (auch als Internet of Things, IoT bekannt) können als Einfallstor oder zum Einnisten von bösartigen Akteuren dienen. Das kann ihnen Erpressung ermöglichen oder zum Ausspähen von Informationen dienen. Ende September hatte das FBI etwa ein riesiges Botnet aus Heim-Routern, Webcams und NAS-Geräten abgeschaltet. Aber auch andere IoT-Geräte als diese können etwa als Drohne im Botnet eingespannt werden.
(dmk)