bedeckt München

Lücken in Open-Source-Software:Internet der unsicheren Dinge

Überwachungskamera in München, 2019

Überwachungskameras sollen für Sicherheit sorgen, sind aber selbst manchmal angreifbar.

(Foto: Robert Haas)

Eine US-Firma entdeckt mehr als 30 Sicherheitslücken in vielgenutzter IoT-Software. Das BSI warnt daraufhin so viele betroffene Hersteller wie möglich. Doch nicht alle reagieren. Der Fall zeigt ein generelles Problem mit dem Internet der Dinge.

Von Max Muth

Experten der US-IT-Sicherheitsfirma Forescout haben 33 Sicherheitslücken in vernetzten Industrie-Steueranlagen, Medizingeräten und anderen vernetzten Geräten entdeckt. Die Lücken befinden sich dem Unternehmen zufolge in Open-Source-Software, die viele Hersteller nutzen, um Internetverkehr in ihren Geräten zu verarbeiten, sogenannten TCP/IP-Stacks. Die betroffenen Open-Source-Softwarekomponenten sind für die Hersteller kostenlos nutzbar und deshalb weit verbreitet. Dem Report zufolge sind deshalb über 150 Organisationen und Unternehmen auf der ganzen Welt von den Schwachstellen betroffen, mindestens 14 davon auch in Deutschland. Die Forscher nennen ihren Bericht "Amnesia:33".

Betroffen sind demnach Millionen Geräte wie vernetzte Kameras, Umgebungssensoren für Temperatur und Luftfeuchtigkeit, smarte Stecker, Strichcode-Lesegeräte, Audiosysteme für den Einzelhandel oder auch mit dem Internet verbundene Geräte in Krankenhäusern. Zwar sind auch Heimrouter und WLAN-Hotspots gefährdet, die Forscher gehen aber davon aus, dass vor allem Geräte betroffen sind, die in industriellen Anlagen verwendet werden.

Eine Liste, wer welche Software einsetzt, gibt es nicht

Der Präsident des Bundesamt für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm, sagte, dass von Amnesia:33 Betreiber kritischer Infrastrukturen genauso betroffen sein können, wie Privatanwenderinnen. Seine Behörde habe zahlreiche Hersteller wegen der Sicherheitslücken kontaktiert und ähnliche Bemühungen in ganz Europa koordiniert. "All jene Unternehmen, die sich auf unseren Hinweis zurückgemeldet haben, haben wir bei der Schließung der problematischen Schwachstellen helfen können", sagte Schönbohm.

Die Behörden konnten aber nicht einfach eine Reihe von Herstellern anschreiben, betroffene Unternehmen mussten in mühevoller Detailarbeit recherchiert werden. Eine Liste, wer für welche Produkte welche Open-Source-Komponenten einsetzt, gibt es nicht. Das BSI kann sich deshalb kaum sicher sein, alle Betroffenen erreicht zu haben. Dazu kommt, dass selbst von den kontaktierten Herstellern nicht alle auf die Hinweise des BSI reagierten.

Vier der Sicherheitslücken werden sowohl von den Forschern als auch vom BSI als kritisch eingestuft. Das heißt, mit ihrer Hilfe könnten Angreifer Daten stehlen, die Kontrolle über die Geräte übernehmen oder sie dazu bringen, den Dienst zu verweigern. Die technische Umsetzung des Internet-Protokolls, der so genannte TCP/IP-Stack, gilt als verwundbarste Stelle von Netzwerkgeräten.

Dabei kann eine Sicherheitslücke in einem einzigen vernetzten Gerät die Sicherheit des gesamten Netzwerks untergraben. In einem Beispielszenario der Studien-Macher dringen die Angreifer über einen unsicheren Router im Heimnetzwerk eines Mitarbeiters in ein Unternehmen ein, um dort die Produktion zu manipulieren. In einem anderen wird ein unsicherer, mit dem Internet verbundener Thermostat gekapert, um Kassensysteme lahmzulegen.

Ein vernetztes Aquarium machte ein Spielcasino angreifbar

Ganz aus der Luft gegriffen sind solche Szenarien nicht. Vor rund vier Jahren wurde die eigentlich gut abgesicherte Finanzabteilung eines Casinos in Las Vegas gehackt, weil sich im lokalen Netzwerk des Hauses auch ein Aquarium mit einem Internet-Anschluss befand. Das System, mit dem die Fütterung der Fische und der Zustand des Wassers über das Internet kontrolliert wurden, enthielt eine Sicherheitslücke und machte die digitale Abwehrmauer des Casinos dadurch löchrig.

Forescout selbst machte zu den betroffenen Anbietern oder den konkreten Geräten keine weitere konkreten Angaben öffentlich, um potenziellen Angreifern nicht in die Hände zu spielen. Die nationalen Cybersicherheitsbehörden und viele Hersteller wurden allerdings schon vor vier Monaten über die Lücken informiert.

Forescout riet den Verantwortlichen dazu, Sicherheitsupdates für die vernetzten Geräte zu installieren. Allerdings gebe es etliche Hersteller, die gar keine Updates anbieten und die Lücken offen lassen. Außerdem gebe es Szenarien, bei denen Updates nicht ohne weiteres im laufenden Betrieb auf unternehmenskritische Systeme aufgespielt werden könnten.

Weiterhin gaben die Experten den IT-Abteilungen eine Reihe von Empfehlungen, um das Risiko zu minimieren. Hilfreich sei beispielsweise, den Netzverkehr mit dem neuen Internet-Protokoll IPv6 zu blockieren oder zu deaktivieren, wenn er nicht benötigt wird. Mehrere Schwachstellen in "Amnesia:33" hingen mit IPv6-Komponenten zusammen.

Das BSI wies zudem darauf hin, dass industrielle Komponenten nicht direkt aus dem Internet ansprechbar sein dürfen. Netze innerhalb von Unternehmen sollten segmentiert werden, um die Angriffsfläche zu verringern und eine Ausbreitung zu erschweren.

© SZ/dpa/ma
Zur SZ-Startseite
Israel und Iran auf Konfrontationskurs

SZ PlusZehn Jahre Stuxnet
:Der Hack, der die Welt aufschreckte

Vor etwas mehr als zehn Jahren wurde eine iranische Atomanlage gehackt, mit der bis dato gefährlichsten Cyberwaffe der Welt. Der Hack gilt als geheimdienstliches Meisterwerk - und ist bis heute nicht völlig aufgeklärt.

Von Max Muth

Lesen Sie mehr zum Thema