Sicherheitsexperten setzen Hersteller von Industriesteuerungen unter Druck

Eine Gruppe von Sicherheitsdienstleistern hat Exploits für Sicherheitslücken in Komponenten in Industriesteuerungen veröffentlicht, mit denen sich die Systeme kompromittieren oder stören lassen. Das berichtet das Online-Magazin Wired. Das brisante daran: Die Hersteller wurden vorab nicht informiert und hatten somit keine Zeit, Patches für ihre Kunden bereit zustellen.

Die Gruppe, zu der bekannte Sicherheitsforscher wie Dillon Beresford, Ruben Santamarta und Dale Peterson gehören, wollen nach eigenen Angaben den Betreibern kritischer Infrastrukturen zeigen, wie leicht sich ihre Systeme knacken lassen. Man wolle einen ähnlichen Schreckmoment erzeugen, wie bei der Veröffentlichung des Tools Firesheep vergangenes Jahr. Das Firefox-Add-on ist in der Lage, etwa in WLANs die Cookies anderer Anwender auszuspähen und für die Anmeldung auf Websites zu missbrauchen. Weil es sehr leicht zu bedienen ist und damit das Risiko einer breiten Verwendung gestiegen war, hatten diverse Portale daraufhin aus Sicherheitsgründen die HTTP-Kommunikation auf das verschlüsselte SSL umgestellt.

Bei den nun betroffenen Systemen handelt es sich um speicherprogrammierbare Steuerungen (SPS; englisch: Programmable Logic Controller, PLCs) der Hersteller General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics und Schweitzer Engineering. Zu den Lücken gehören nach Angaben der Gruppe Backdoors, hart-codierte Passwörter und fehlende Authentifizierungsfunktionen beim Laden von Programmcode. Teilweise werden die Modelle bereits seit 20 Jahren produziert, wie etwa das desHerstellers GE.

Man habe die Hersteller jedoch nicht vorab über die gefundenen Sicherheitslücken informiert, da man ähnliche Schwierigkeiten verhindern wollte, wie sie vergangenes Jahr Beresford mit Siemens erlebte. Der musste nach Interventionen des Herstellers seinen Vortrag zu Lücken in Siemens-Produkten absagen. Nach Angaben von Dale Peterson kannten die Hersteller viele der nun veröffentlichten Lücken ohnehin bereits, hatten sich jedoch dafür entschieden, "mit ihnen zu leben".

Die Gruppe musste allerdings für ihre Veröffentlichung Kritik einstecken. Der Leiter des Control Systems Security Programs des DHS sagte, man fördere zwar das Offenlegen von Lücken, aber erst, wenn eine Lösung für das Problem verfügbar sei. Der deutsche SCADA-Sicherheitsspezialist Ralph Langner erklärte gegenüber US-Medien, er hoffe zwar, das Experiment verlaufe positiv; er hätte die Exploits jedoch so nicht veröffentlicht. (dab)