Exklusiver Online-Beitrag: Software als Sicherheitsrisiko - Ein aktueller Fall
Google per Gebäudesteuerung physikalisch angreifbar
Google Australien hat die Software zur Steuerung der Klimaanlage und der Wasserversorgung in „Wharf 7 office“, seinem Hauptquartier in Australien, vom Internet abgehängt. Zuvor wiesen Billy Rios, und Terry McCorkle vom US-Sicherheitsunternehmen Cylance den Suchriesen darauf hin, dass es jedem Internetnutzer mit ein paar Handgriffen nicht nur die Anmeldedaten der Benutzer des Systems und den Grundriss des Gebäudes unter den Nagel hätte reißen können, sondern auch noch die Steuerung der Gebäudetechnik vollständig in seine Gewalt bekommen könnte.
Die Cylance-Mitarbeiter hatten jedoch Hemmungen, einen Knopf „AfterHoursButton“ zu nutzen, neben dem noch dazu ein Hammer abgebildet war: „Wir wissen nicht, was der macht und wir hatten Angst, es auszuprobieren.“
Der Grund für die physische Angreifbarkeit liegt in der Verwendung einer Gebäudemanagementsoftware namens „Niagara“ des Konzerns Tridium. Google verwendet diese Software, obwohl die US-Bundespolizei (FBI) bereits vor einem Jahr eine „CyberWarnung“ dazu veröffentlicht hat. Darüber hinaus wurde auf einer Sicherheitskonferenz im Februar 2013 demonstriert , wie die Lücke ausgenutzt werden kann. Tridium weist darauf hin, dass es noch im April einen Ratgeber dazu aktualisiert hat. Offenbar hat Google seine löchrigen Systeme nicht mit diesen Flicken gestopft. Das könnte auch damit zusammen hängen, dass Google eine externe Firma mit der Implementierung des Systems beauftragt haben soll. Oliver Sucker, EDV-Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, weist allerdings auch darauf hin: „Leider enthält das Advisory des ICSCERT bis heute nicht einmal die genau betroffenen Versionen. Den Anwendern wird damit die Diagnose unnötig erschwert."
In Deutschland lassen sich mit Hilfe der speziellen Suchmaschine „Shodan“ 319 Anwender der Niagara Software aufspüren. Von diesen 319 Systemen werden – wenn man der Suchmaschine Glauben schenken kann – 175 Systeme von den Kunden der EWE Tel GmbH in Oldenburg und 133 Systeme von denen der Deutschen Telekom AG betrieben. Oliver Sucker hält 90 % der gefundenen Systeme für verwundbar: "Alle Systeme vor Version 3.5.36 und auch ältere 3.6.x-Versionen sind sehr wahrscheinlich verwundbar, es sei denn der Besitzer hat besondere Einstellungen vorgenommen. Es ist jedoch davon auszugehen, dass den Besitzern das Problem nicht bekannt ist, sonst hätten diese stattdessen wohl gleich das mittlerweile lang verfügbare Update eingespielt." Solche veraltete Software läuft auch auf den Systemen von Telekom- und EWE Tel-Kunden.
Die tab hat durch den Autor des Beitrags die beiden größten Dienstleister und das Bundesamt für die Sicherheit in der Informationstechnik vorab über die Veröffentlichung informiert und ihnen Zeit gegeben, ihre Systeme vom Netz zu nehmen. Billy Rios und Terry McCorkle dürften sich mit ihrer Warnung insbesondere an diese Unternehmen wenden: „Wenn Sie ein Firmengelände oder sonst ein modernes Gebäude irgendeiner Art betreiben – betreiben Sie höchstwahrscheinlich auch ein ähnliches Steuerungssystem in Ihrem Netz. Wir haben jetzt über fünfundzwanzig tausend dieser Systeme gefunden, die da am Netz hängen. Eines davon ist jetzt abgehängt. Bleiben noch vierundzwanzig tausend neunhundert neunundneunzig übrig. Wenn Google einem Angriff zum Opfer fallen kann, kann das Allen passieren.“
Joachim Jakobs
Weitere Details zu diesem Thema finden sich in der tab 7-8/2013 unter dem Titel „Software als Sicherheitsrisiko“.
