Experten der US-IT-Sicherheitsfirma Forescout haben 33 Sicherheitslücken in vernetzten Industrie-Steueranlagen, Medizingeräten und anderen vernetzten Geräten entdeckt. Die Lücken befinden sich dem Unternehmen zufolge in Open-Source-Software, die viele Hersteller nutzen, um Internetverkehr in ihren Geräten zu verarbeiten, sogenannten TCP/IP-Stacks. Die betroffenen Open-Source-Softwarekomponenten sind für die Hersteller kostenlos nutzbar und deshalb weit verbreitet. Dem Report zufolge sind deshalb über 150 Organisationen und Unternehmen auf der ganzen Welt von den Schwachstellen betroffen, mindestens 14 davon auch in Deutschland. Die Forscher nennen ihren Bericht "Amnesia:33".
Betroffen sind demnach Millionen Geräte wie vernetzte Kameras, Umgebungssensoren für Temperatur und Luftfeuchtigkeit, smarte Stecker, Strichcode-Lesegeräte, Audiosysteme für den Einzelhandel oder auch mit dem Internet verbundene Geräte in Krankenhäusern. Zwar sind auch Heimrouter und WLAN-Hotspots gefährdet, die Forscher gehen aber davon aus, dass vor allem Geräte betroffen sind, die in industriellen Anlagen verwendet werden.
Eine Liste, wer welche Software einsetzt, gibt es nicht
Der Präsident des Bundesamt für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm, sagte, dass von Amnesia:33 Betreiber kritischer Infrastrukturen genauso betroffen sein können, wie Privatanwenderinnen. Seine Behörde habe zahlreiche Hersteller wegen der Sicherheitslücken kontaktiert und ähnliche Bemühungen in ganz Europa koordiniert. "All jene Unternehmen, die sich auf unseren Hinweis zurückgemeldet haben, haben wir bei der Schließung der problematischen Schwachstellen helfen können", sagte Schönbohm.
Die Behörden konnten aber nicht einfach eine Reihe von Herstellern anschreiben, betroffene Unternehmen mussten in mühevoller Detailarbeit recherchiert werden. Eine Liste, wer für welche Produkte welche Open-Source-Komponenten einsetzt, gibt es nicht. Das BSI kann sich deshalb kaum sicher sein, alle Betroffenen erreicht zu haben. Dazu kommt, dass selbst von den kontaktierten Herstellern nicht alle auf die Hinweise des BSI reagierten.
Vier der Sicherheitslücken werden sowohl von den Forschern als auch vom BSI als kritisch eingestuft. Das heißt, mit ihrer Hilfe könnten Angreifer Daten stehlen, die Kontrolle über die Geräte übernehmen oder sie dazu bringen, den Dienst zu verweigern. Die technische Umsetzung des Internet-Protokolls, der so genannte TCP/IP-Stack, gilt als verwundbarste Stelle von Netzwerkgeräten.
Dabei kann eine Sicherheitslücke in einem einzigen vernetzten Gerät die Sicherheit des gesamten Netzwerks untergraben. In einem Beispielszenario der Studien-Macher dringen die Angreifer über einen unsicheren Router im Heimnetzwerk eines Mitarbeiters in ein Unternehmen ein, um dort die Produktion zu manipulieren. In einem anderen wird ein unsicherer, mit dem Internet verbundener Thermostat gekapert, um Kassensysteme lahmzulegen.
Ein vernetztes Aquarium machte ein Spielcasino angreifbar
Ganz aus der Luft gegriffen sind solche Szenarien nicht. Vor rund vier Jahren wurde die eigentlich gut abgesicherte Finanzabteilung eines Casinos in Las Vegas gehackt, weil sich im lokalen Netzwerk des Hauses auch ein Aquarium mit einem Internet-Anschluss befand. Das System, mit dem die Fütterung der Fische und der Zustand des Wassers über das Internet kontrolliert wurden, enthielt eine Sicherheitslücke und machte die digitale Abwehrmauer des Casinos dadurch löchrig.
Forescout selbst machte zu den betroffenen Anbietern oder den konkreten Geräten keine weitere konkreten Angaben öffentlich, um potenziellen Angreifern nicht in die Hände zu spielen. Die nationalen Cybersicherheitsbehörden und viele Hersteller wurden allerdings schon vor vier Monaten über die Lücken informiert.
Forescout riet den Verantwortlichen dazu, Sicherheitsupdates für die vernetzten Geräte zu installieren. Allerdings gebe es etliche Hersteller, die gar keine Updates anbieten und die Lücken offen lassen. Außerdem gebe es Szenarien, bei denen Updates nicht ohne weiteres im laufenden Betrieb auf unternehmenskritische Systeme aufgespielt werden könnten.
Weiterhin gaben die Experten den IT-Abteilungen eine Reihe von Empfehlungen, um das Risiko zu minimieren. Hilfreich sei beispielsweise, den Netzverkehr mit dem neuen Internet-Protokoll IPv6 zu blockieren oder zu deaktivieren, wenn er nicht benötigt wird. Mehrere Schwachstellen in "Amnesia:33" hingen mit IPv6-Komponenten zusammen.
Das BSI wies zudem darauf hin, dass industrielle Komponenten nicht direkt aus dem Internet ansprechbar sein dürfen. Netze innerhalb von Unternehmen sollten segmentiert werden, um die Angriffsfläche zu verringern und eine Ausbreitung zu erschweren.
