Sicherheitsleck bei Siemens-Tochter beunruhigt US-Heimatschutz

Die US-Regierung überprüft die Behauptung eines Sicherheitsforschers, der Sicherheitslücken in der Software der Siemens-Tochter Ruggedcom entdeckt haben will. Die Sorge gilt vor allem Industrieanlagen – das erinnert an den Fall des Super-Schädlings Stuxnet. Das Heimatschutzministerium hat dazu ein Advisory (PDF) veröffentlicht.

Laut einem Bericht der Nachrichtenagentur Reuters hat der Sicherheitsexperte Justin W. Clarke bei einer Konferenz in Los Angeles auf Schwachstellen in der Software hingewiesen. Nach eigenen Angaben fand er einen Weg, wie der Datenverkehr, der durch die Netzwerkausrüstung der Siemens-Tochter fließt, ausspioniert werden kann. Hacker könnten so Kraftwerke und andere kritische Systeme angreifen.

Das US-Heimatschutzministerium forderte Ruggedcom anschließend auf, Clarkes Aussagen zu prüfen und mögliche Sicherheitslücken zu schließen. Aus der kanadischen Siemens-Tochter heißt es, man überprüfe derzeit die Aussagen des Sicherheitsexperten. Ansonsten wollte das Unternehmen keine Stellung zu den Vorwürfen nehmen. Ruggedcom ist auf Produkte für Regionen mit extremen Witterungsbedingungen spezialisiert.

Nach den Worten von Clarke ist seine Entdeckung vor allem deshalb beunruhigend, weil die Sicherheitslücke Hackern ermöglicht, die Kommunikation von Infrastrukturbetreibern auszuspionieren. Dies könne ihnen die Türen zu kritischen Computersystemen öffnen, so der 30-jährige, der lange für Energieversorger gearbeitet hat. Diese gelten in einem möglichen Cyberkrieg als besonders gefährdet.

“Wenn du ins System kommst, gibt es meist keine Authentifizierung, es gibt meist keine Prüfungen und Abgleiche, um dich zu stoppen”, sagt Clarke. Es ist bereits die zweite Lücke, die er in Ruggedcom-Software gefunden hat. Nach der ersten Entdeckung hatte die Siemens-Tochter im Mai ein Update ihrer Systemsoftware veröffentlicht. Die Produkte des kanadischen Unternehmens sind weit verbreitet, Energieversorger nutzen sie vor allem, um entlegene Gebiete abzudecken.

Schwachstellen in Softwareprodukten für Industrieanlagen sind besonders kritisch, gelten sie doch als Einfallstor, über das Hacker die Infrastruktur eines Landes und damit die Wirtschaft extrem schädigen können. Vor allem der Schädling Stuxnet hat hier Geschichte geschrieben. Lecks in den Siemens-Software-Produkten Simatic STEP7 und Simatic WinCC hatten damals den Super-Wurm ermöglicht, den US-Präsident George Bush in Auftrag gab. Sein demokratischer Nachfolger Barack Obama ließ die Angriffe aber noch einmal verschärfen.