Stuxnet-Gefahr Sicherheitsexperte warnt vor Hacker-Attacken auf Gefängnisse

Der Gefängnisausbruch der Zukunft könnte ganz einfach sein: Sicherheitslücken, die schon dem Computerwurm Stuxnet halfen, könnten genutzt werden, um Türen per Mausklick zu öffnen, Alarmmeldungen zu unterdrücken.

Hände hinter Gittern: Ist ein Ausbruch mit Hackermethoden möglich?
DPA

Hände hinter Gittern: Ist ein Ausbruch mit Hackermethoden möglich?

Von


Gefängnisausbrüche nach bekanntem Hollywood-Muster könnten bald Geschichte sein. Moderne Häftlinge müssen weder Fluchttunnel buddeln, noch Gitterstäbe ansägen. Sie brauchen nur einen Komplizen, der sich mit Computern auskennt. Davor warnt John Strauchs, ein US-Sicherheitsberater mit CIA-Vergangenheit. Einem Grundlagenbericht (PDF) zufolge, den er kommende Woche auf einer Sicherheitskonferenz in Las Vegas präsentieren will, basieren die Sicherheitssysteme vieler Gefängnisse in den USA auf Chips, die denen ähnliche sind, die der Stuxnet-Wurm in Iran attackierte.

Stuxnet sorgte nach seiner Entdeckung Mitte 2010 für erhebliches Aufsehen, nachdem er bis in die Urananreicherungsanlagen Irans verfolgt werden konnte. Nach einhelliger Expertenmeinung ist der bekannte Computerschädling von staatlichen Organisationen zu genau diesem Zweck entwickelt worden: Er sollte unbemerkt in die iranischen Computer eindringen und dort die Steuerungschips der Zentrifugen manipulieren, in denen Uran angereichert wird. Da Iran etwa zum Zeitpunkt des Auftretens von Stuxnet Tausende Zentrifugen ersetzen musste, scheint dieser Plan aufgegangen zu sein.

Strauchs warnt nun, mit ähnlichen Methoden wie sie Stuxnet nutze, könnte man auch die elektronische Infrastruktur von US-Gefängnissen manipulieren. Der Sicherheitsexperte, dessen Beratungsfirma nach eigenen Angaben als Vorbild für den Film "Sneakers - Die Lautlosen" diente, kennt sich damit bestens aus: Für rund 100 Haftanstalten, Gerichtsgebäude und Polizeistationen hat er selbst die Systeme entwickelt oder war an deren Entwicklung beteiligt. Sie alle verwenden, Strauchs zufolge, Kontroll-Chips, wie Stuxnet sie zum Ziel hatte.

In den Gefängnissen regeln diese Chips, wann sich welche Türen öffnen und schließen, wo aus den Wasserhähnen heißes Wasser strömt, wo die Duschen benutzt werden können und welche Alarmsysteme scharfgeschaltet sind.

Fertig in drei Stunden

Gemeinsam mit seiner Tochter, die selbst eine Netzwerkfirma betreibt, dem freischaffenden Sicherheitsforscher Teague Newman und einem weiteren Experten, der anonym bleiben will, untersuchte Strauchs bestimmte Kontroll-Chips von Siemens. Gegenüber "Wired" erklärte er, das dafür nötige Equipment habe gerade mal 2500 Dollar gekostet, das Programmieren eines einfachen Programms, das die Sicherheitslücken in den Chips ausnutzt, habe nur drei Stunden gedauert.

Dass sich die PLC (Programmable Logic Controller) genannten Chips so leicht überlisten lassen, liegt vor allem daran, dass ihr Design veraltet ist und aus einer Zeit stammt, als Hackerangriffe noch eine Seltenheit waren. Habe ein Hacker seine Software per USB-Stick oder über eine fingierte E-Mail in das Netzwerk der Haftanstalt eingeschleust, laufe alles weitere problemlos, sagt Strauchs.

Google Mail auf dem Gefängniscomputer

Um zu verstehen, nach welchem Muster die Anlagen im Gefängnis arbeiten, könnte das Programm den Datenverkehr im Netzwerk belauschen und lernen, welches Kommando welche Tür steuert, welcher Befehl gegeben werden muss, um ein Alarmsignal zu unterdrücken. Mit dem so gewonnenen Wissen könnte der Eindringling dann bestimmten Häftlingen gezielt all jene Türen freischalten, die sie auf ihrem Weg ins Freie durchqueren müssen. Oder er könnte das gesamte System durch eine gezielte Überlastung lahmlegen. Etwa, indem er allen Türen gleichzeitig den Befehl zum Öffnen oder Schließen übermittelt, ein Hochlastfall, der im Alltag durch kaskadiertes Öffnen und Schließen per PC verhindert wird.

Um das zu verhindern, schlägt Strauchs verschiedene Maßnahmen vor. Unter anderem müssten PLCs und deren Steuerungscomputer mit den neusten Software-Updates versorgt werden. Außerdem sollte die Nutzung physikalischer Medien stark reglementiert werden. Stuxnet beispielsweise drang per USB-Stick in die iranischen Netze ein.

Vor allem aber müssten klare Regeln für die Nutzung der Computer in Gefängnissen eingeführt und deren Einhaltung kontrolliert werden. Weshalb Strauchs gerade so etwas fordert, ist leicht nachvollziehbar. Als er vor kurzem ein Gefängnis in den Rocky Mountains besuchte, sah er einen Mitarbeiter, der von einem Steuerungscomputer aus seine Google Mails abfragte.

Im Zweifel ist eben doch der Mensch das schwächste Glied bei der Computersicherheit. Für ihn gibt es keine Updates.

Mehr zum Thema


insgesamt 32 Beiträge
Alle Kommentare öffnen
Seite 1
roflem 31.07.2011
1. Schon wieder Stuss?
Man stelle sich vor Herr Kremp würde von Stussnet Hackern bis in die öffentlichen Toiletten verfolgt, wo die Spülung ja auch über Siemens Chips hackbar ist......ungeheurlich! Genauso ungeheuerlich wie diese schwachsinns Artikel! Demnächst in SPON: wie die Milchschäumer Mafia den Latte Macchiato kidnappte und warum der Mossad hilflos daneben stand....
myoto 31.07.2011
2. Selbst schuld!
Wer Gefägnisse, AKWs oder Urananreicherungsanlagen ans Internet hängt hat es nicht besser verdient und gehört bestraft. Solche (und auch andere) Einrichtungen gehören NICHT! an das öffentliche Netz!
zeitgeist_2011 31.07.2011
3. Nachtigall ich hör dir trappsen...
Und die "Sicherheitsexperte" werden nicht müde das Internet als Gefahrenquelle zu denunzieren, was unbedingt kontrolliert werden muss. Dabei ist das Internet die Quelle der Freiheit und einer der wenigen Lichtblicke am Horizont!! Wer versucht das Internet zu kontrollieren, versucht uns zu kontrollieren. Diese Sicherheitsexperten gefährden unsere Freiheit. HÄNDE WEG VOM INTERNET!!! ...wir sind viele
MoonofA 31.07.2011
4. ...
Zitat von sysopDer Gefängnisausbruch der Zukunft könnte ganz einfach sein: Sicherheitslücken, die schon dem Computerwurm Stuxnet halfen, könnten genutzt werden, um Türen per Mausklick zu öffnen, Alarmmeldungen zu unterdrücken. http://www.spiegel.de/netzwelt/web/0,1518,777517,00.html
Schwachsinnsartikel. Soll das Sponsoring für den "Sicherheitsexperten" sein. Also ich würde DEN nicht anheuern.
floydpink 31.07.2011
5. (*_*)
Zitat von myotoWer Gefägnisse, AKWs oder Urananreicherungsanlagen ans Internet hängt hat es nicht besser verdient und gehört bestraft. Solche (und auch andere) Einrichtungen gehören NICHT! an das öffentliche Netz!
Aber Ehrlich! Muss man denn jeden Scheiß vom Internet aus zugänglich machen?? So blöd kann man doch nicht sein?!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.