150 Anbieter weltweit betroffen 33 Sicherheitslücken gefährden das Internet der Dinge
»Amnesia:33«: Auch Smarthome-Technik ist betroffen
Foto: Soeren Stache/ dpaUS-Sicherheitsforscher haben eine Serie von gravierenden Sicherheitslücken in vernetzten Industrie-Steueranlagen, Medizingeräten und zahlreichen anderen Geräten entdeckt. Von den Schwachstellen, die unter dem Namen »Amnesia:33« zusammengefasst werden, seien Organisationen und Unternehmen auf der ganzen Welt betroffen, teilte das kalifornische Sicherheitsunternehmen Forescout am Dienstag mit . Vier der 33 gefundenen Sicherheitslücken betrachten die Forscher als kritisch: Sie ermöglichen mitunter die Ausführung von Schadcode aus der Ferne, Überlastungsangriffe und die Preisgabe sensibler Informationen.
»Amnesia:33« beschreibt fehlerhafte Umsetzungen des Internet-Protokolls TCP/IP in vernetzten Geräten vor allem im industriellen Umfeld. Nach Angaben von Forescout (hier der ausführliche Bericht der Firma) stecken die Fehler in den Produkten von mindestens 150 Anbietern weltweit.
Betroffen sind demnach vernetzte Kameras, Umgebungssensoren etwa für Temperatur und Luftfeuchtigkeit, Anlagen für die intelligente Beleuchtung, smarte Stecker, Strichcodelesegeräte, vernetzte Spezialdrucker, Audiosysteme für den Einzelhandel oder auch mit dem Internet verbundene Geräte in Krankenhäusern. Zu den betroffenen Anbietern oder den konkreten Geräten veröffentlichte Forescout keine konkreten Angaben, um potenziellen Angreifern nicht in die Hände zu spielen. Die Hersteller wurden allerdings schon vor vier Monaten auf die Lücken hingewiesen.
Nicht alle Unternehmen haben auf die Warnung reagiert
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kontaktierte nach eigenen Angaben 31 europäische Unternehmen, davon 14 in Deutschland. »All jene Unternehmen, die sich auf unseren Hinweis zurückgemeldet haben, haben wir bei der Schließung der problematischen Schwachstellen helfen können. Dennoch gibt es eine Anzahl von Unternehmen, die nicht reagiert haben.«
Die technische Umsetzung des Internet-Protokolls, der sogenannte TCP/IP-Stack, gilt als verwundbarste Stelle von Netzwerkgeräten. Dabei kann eine Sicherheitslücke in einem einzigen vernetzten Gerät die Sicherheit des gesamten Netzwerks untergraben. So wurde vor rund vier Jahren die eigentlich gut abgesicherte Finanzabteilung eines Casinos in Las Vegas dadurch gehackt, dass sich im lokalen Netzwerk des Hauses auch ein Aquarium mit einem Internetanschluss befand. Das System, mit dem die Fütterung der Fische und der Zustand des Wassers über das Internet kontrolliert werden konnten, enthielt eine Sicherheitslücke und bohrte in die digitale Abwehrmauer des Casinos ein Loch.
Nach Angaben von Forescout sind nun auch Gebäudeautomationssysteme gefährdet, die den Zugang zu einem Gebäude kontrollieren oder als Feuer- und Rauchmelder dienen. Die Sicherheitslücken wurden aber auch in vernetzten Stromzählern, Batterien, Heizungs- und Klimaanlagen sowie in bestimmten industriellen Steuerungssystemen entdeckt. Weiterhin sind Netzwerkgeräte wie Router, Switches oder WLAN-Hotspots offensichtlich massenhaft davon betroffen, vor allem aber Geräte, die in industriellen Anlagen verwendet werden.
Manche Anbieter verteilen keine Updates
Forescout riet den Verantwortlichen dazu, falls möglich, Sicherheitsupdates für die vernetzten Geräte zu installieren. Allerdings gebe es etliche Hersteller, die gar keine Updates anbieten. Außerdem gebe es Szenarien, bei denen die Patches nicht ohne Weiteres im laufenden Betrieb auf unternehmenskritische Systeme angewendet werden könnten. »Wenn dies der Fall ist, sollten Organisationen eine gründliche Risikobewertung ihrer Netzwerke durchführen, um den erforderlichen Grad der Eindämmung zu bestimmen.«
Weiterhin gaben die Experten den IT-Abteilungen eine Reihe von technischen Empfehlungen, um das Risiko zu minimieren. Hilfreich sei beispielsweise, den Netzverkehr mit dem neuen Internet-Protokoll IPv6 zu blockieren oder zu deaktivieren, wenn er im Netzwerk nicht benötigt wird. Mehrere Schwachstellen in »Amnesia:33« hingen mit IPv6-Komponenten zusammen.
Das BSI wies zudem darauf hin, dass insbesondere industrielle Komponenten nicht direkt aus dem Internet ansprechbar sein dürfen. Netze innerhalb von Unternehmen sollten entsprechend segmentiert werden, um die Angriffsfläche zu verringern und eine Ausbreitung zu erschweren.
