Sicherheitslücke Siemens bestätigt Schwachstellen in Industrie-Software

Es geht um Kraftwerke, Fabriken, Stahlhütten: US-Forscher haben Sicherheitslücken in Siemens-Steuersoftware für Industrieanlagen entdeckt. Der Konzern beschwichtigt, hält erfolgreiche Angriffe auf die Anlagen für sehr unwahrscheinlich - arbeitet aber noch an einer Lösung des Problems.

Siemens-Konzenzentrale: Sicherheitslücken in Steuersoftware für Industrieanlagen
ddp

Siemens-Konzenzentrale: Sicherheitslücken in Steuersoftware für Industrieanlagen


Rick Moy wählte große Worte: "Angriffe auf Industrie-Steueranlagen können zerstörerische Folgen in der realen Welt haben - Menschen können sterben, die Umwelt kann verschmutzt werden." Moy ist Geschäftsführer der US-Sicherheitsfirma NSS Labs. Im Unternehmensblog prahlte er mit einer brisanten Entdeckung: Es gibt Sicherheitslücken in Siemens-Steuersoftware für Industrieanlagen. Solche Steueranlagen werden in Kraftwerken eingesetzt, in Fabriken, in fast jeder Art von Industrieanlage. Einer von Moys Angestellten, Dillon Beresford, sollte eigentlich am Mittwoch bei der Hacker-Konferenz Takedown in Dallas einen Vortrag über die Sicherheitslücken halten - doch der wurde aus Sicherheitsgründen abgesagt.

Beresford begründet die Absage in letzter Minute damit, dass Siemens die Lücken in den Systemen nicht rechtzeitig vor Veröffentlichung habe schließen können. Beresford stellt den Vorgang im US-Magazin " Wired" so dar: Er habe die beim Heimatschutzministerium angesiedelte US-Organisation für Computersicherheit in Industrieanlagen ICS-CERT informiert, ICS-CERT habe Siemens kontaktiert.

Siemens: "Wir arbeiten an der Behebung"

Ein erster Patch von Siemens für die entdeckte Lücke habe sich als ungenügend herausgestellt. Die Siemens-Sicherheitslösung beschreibt Beresford so: "Es war ein Schalter in ihrem Produkt, der die Nutzer auffordert 'Schütze mich mehr'. Dies ist der einzige Sicherheitsmechanismus in dem Produkt, und er ist fehlerhaft."

Siemens bestätigt auf Anfrage von SPIEGEL ONLINE, dass das Unternehmen Hinweise auf die von Beresford entdeckten Schwachstellen in einer Software namens S7 erhalten hat. Firmensprecher Wieland Simon sagt: "Wir arbeiten an der Behebung, die Patches werden derzeit in einem Anlagenumfeld getestet."

S7-Steuertechnik ist in Anlagen wie Hüttenwerken, Papierfabriken, Kraftwerken und einem deutschen Zwischenlager für abgebrannte Brennelemente im Einsatz.

Wie groß das Risiko eines Angriffs über die entdeckten Schwachstellen ist, lässt sich nicht pauschal beantworten. Theoretisch können Angreifer über diese Sicherheitslücken die sogenannten Scada-Anlagen (eine Abkürzung für supervisory control and data aquisition, also Steuer- und Kontrollanlagen) sabotieren, ausspionieren, vielleicht auch manipulieren. Allerdings müssen sie dazu erst einmal an die Steueranlagen herankommen.

Angreifer müssen in Anlagen eindringen, um die Lücken auszunutzen

Siemens-Sprecher Simon sagt: "Man muss direkten Zugang zu S7 haben, um diese Schwachstellen für Angriffe ausnutzen zu können. Solange die Systeme unter normalen Bedingungen in einem gesicherten Umfeld laufen, ist das für Angreifer von außen nicht möglich."

Angreifer müssen also ihre Schadprogramme irgendwie in die Anlagen und in die Netzwerke schleusen, auf denen die Steuersoftware läuft. Ob das möglich ist, hängt von dem Sicherheitsniveau der Betriebe ab - hängen die Steuercomputer in einem Netzwerk, an dem auch Rechner mit Internetzugang angeschlossen sind? Können Mitarbeiter USB-Sticks an die Computer in dem Netzwerk anschließen? Solche Szenarien, erinnern an den Stuxnet-Wurm, der 2010 in iranische Atomanlagen gelangte. Mutmaßlich über verseuchte USB-Sticks. Vermutlich zerstörte der Stuxnet-Virus Uranzentrifugen in der Anlage Natans, indem die dort eingesetzten Scada-Einheiten dazu gebracht wurden, die Rotationsfrequenzen der Zentrifugen über die Toleranzschwelle hinaus zu verändern.

Beresford bestätigt gegenüber "Wired", dass ein Zugriff auf das Netzwerk der Steueranlagen die Voraussetzung für einen Angriff ist. Allerdings muss ein Angreifer laut Beresford nicht die Hardware besitzen, für die er Schadsoftware schreibt. In der Ankündigung zu seinem abgesagten Vortrag schreibt er: "Wir werden vorführen, wie man Schadcode für Industrieanlagen schreibt, ohne direkten Zugriff auf die Hardware der Zielanlagen zu haben."

Diese Vorführung hat Beresford auf unbestimmte Zeit verschoben.

insgesamt 13 Beiträge
Alle Kommentare öffnen
Seite 1
Kurt aus Kienitz, 19.05.2011
1. Soviel zu dem Thema ...
Zitat von sysopKraftwerke, Fabriken, Stahlhütten: US-Forscher haben Sicherheitlücken in Siemens-Steuersoftware für Industrieanlagen entdeckt. Der Konzern arbeitet an einer Lösung des Problems. Siemens beschwichtigt:*Angreifer können die Schwachstellen nur mit Zugriff auf die Systeme ausnutzen. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,763529,00.html
... "unsere Kraftwerke sind Sicher"!
JensDD 19.05.2011
2. ...
Zitat von sysopKraftwerke, Fabriken, Stahlhütten: US-Forscher haben Sicherheitlücken in Siemens-Steuersoftware für Industrieanlagen entdeckt. Der Konzern arbeitet an einer Lösung des Problems. Siemens beschwichtigt:*Angreifer können die Schwachstellen nur mit Zugriff auf die Systeme ausnutzen. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,763529,00.html
Man beachte - US-Forscher und Siemens-Software. Ja auch die Toyotas in den USA sind sowas von unsicher. Nur die US-amerikanische Technik hält was sie verspricht.
Arthur Zahn 19.05.2011
3. Geiz ist geil...
Zitat von Kurt aus Kienitz... "unsere Kraftwerke sind Sicher"!
Solange aus Kostengründen in den Firmen alle Daten über das selbe Netzwerk laufen und dieses mit dem Internet verbunden ist, solange man nicht ein separates Netzwerk aufbaut, solange besteht auch die Gefahr. Egal, ob Siemens, Intellution (ähm sorry, GM Fanuc) oder Wonderware...
de.nada 19.05.2011
4. Mir wird ganz anders......
Ankündigungen auf eine Vorführung, aus einer nicht gehaltenen Rede, die auf unbestimmte Zeit verschoben wird.........(?)
Cordelia 19.05.2011
5. Siemens feige ?
Wo bleibt die Anzeige von Siemens gegen die "unbekannten Virologen" ? Immerhin wurde (und wird) das Geschäft von Siemens in hohem Masse gefärdet - ebenso wie Systeme und Menschen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.