Categories: M2MNetzwerke

Mobile Apps für Industriesteuerungen und IoT leiden an schweren Sicherheitslecks

Immer häufiger bieten Steuerungssysteme (SCADA oder ICS) von industriellen Anlagen und Kraftwerken die Möglichkeit, diese auch über mobil Anwendungen auf einem Handy zu steuern. Solche Apps könnnen natürlich die Effizienz der Mitarbeiter erheblich steigern, wenn sie dadurch bestimmte Prozesse verfolgen, überwachen oder auch steuern können. Doch genau diese Anwendungen leiden teilweise an schwerwiegenden Sicherheitslecks.

Die Sicherherheitsforscher Alexander Bolshev von IOActive und Ivan Yushkevich von Embedi haben rund ein Jahr lang 34 Apps von Herstellern wie Siemens oder Schneider Electric untersucht. Diese wurden nach dem Zufallsprinzip aus dem Appstore Google Play ausgewählt. Das Ergebnis sind 147 Sicherheitslecks. Und in lediglich zwei dieser 34 Anwendungen konnten die beiden Sicherheitsforscher überhauptkeine Lecks finden.

Die Kombination aus mobilen Apps und industriellen Anwendungen nennt Bolshev einen „sehr gefährlichen und verwundbaren Cocktail“. Denn neben herstellenden Unternehmen sind auch Anlagen wie Kraftwerke oder Raffinerien über solche Apps zu erreichen.

Verschiedene Mobile Apps die industrielle Systeme remote Steuern können, lassen sich meist auf eine der drei Arten angreifen
(Bild: IOActive).

Die beiden Forscher teilen nicht mit, welche Apps betroffen sind, von welchen Herstellern diese stammen oder auch welche besonders schwere Lecks aufweisen. Doch über die Apps könnten Hacker auch auf Systeme zugreifen und so beispielsweise eine Maschine zerstören. Im Extremfall wäre es wohl auch möglich, eine gesamte Fabrikanlage über Manipulierungen völlig zu zerstören.

So erlauben es einige Anwendungen beispielsweise, dass die Daten zwischen Anwendung und den Anlagen abgefangen und manipuliert werden. Dadurch könnte ein Ingenieur über den Zustand einer Maschine getäuscht werden. Andere Lecks erlaubten das Aufspielen von bösartigen Codes auf dem Mobilgerät oder dem Zielserver. So können Hacker ebenfalls Befehle an verwaltete System schicken. Es ist auch möglich, dass eine App physischen oder virtuellen Zugriff auf die Daten des Gerätes erlaubt.

Mit einem gewissen Verständnis über die Systeme ist es für einen Angreifer damit ein leichtes, für erhebliche Schäden oder Ausfälle zu sorgen. Allerdings sind natürlich nicht alle Lecks gleichermaßen riskant. Denn einige Hersteller haben verschiedene Schutzmechanismen eingebaut und Anwender sorgen mit anderen Mitteln für Ausfallsicherheit, über die sich die Risiken minimieren lassen. Darüber hinaus sind die Informationen in den Apps natürlich nicht die einzigen Datenquellen für die Steuerung von Systemen.

Ungeprüft sei jedoch, ob die Lecks bereits ausgenutzt werden. Auch hätten die Forscher im Vorfeld ihrer Veröffentlichung verschiedene Entwickler der Apps bereits kontaktiert und in einigen Fällen wurden die Lecks bereits behoben. Einige der Anbieter aber hätten bislang nicht reagiert, so die beiden Forscher in einer Mitteilung. Diese Untersuchungen starteten die beiden Forscher schon 2015. Damals wurden 20 mobile Anwendungen untersucht, die mit industriellen Steuerungen und Hardware zusammenarbeiteten.

Seit der ersten Untersuchung habe sich in der Branche viel getan. Immer mehr IoT-Systeme stehen zur Verfügung, auch die Cloud als Möglichkeit, eine industrielle Anwendung zu steuern sei heute kein Tabu mehr. Und natürlich ist die Zahl der entsprechenden Anwendungen seitdem stark angestiegen.

Die mobilen Anwendungen verbinden sich über Internet, VPN, oder private Netzwerke mit den Systemen. „Typischerweise erlauben solche mobilen Anwendungen nur das Überwachen eines industriellen Prozesses. Aber einige Anwendungen ermöglichen es auch, Prozesse zu kontrollieren oder zu überwachen, darunter remote SCADA- oder MES-Clients sowie Anwendungen für Benachrichtigungen“, teilen die Forscher in einem Blog zu ihren Entdeckungen mit. Das sei eben auch gefährlich, weil die Geräte, anders als die eigentlichen Steuerungssysteme, nicht in einer isolierten Umgebung vorgehalten werden, sondern sehr leicht über das Internet oder auf andere Weise angegriffen werden könnten.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Martin Schindler

Recent Posts

it-sa 2021: „Die richtigen Leute waren da“

Auch wenn die it-sa 2021 gegenüber der letzten Präsenzveranstaltung deutlich geschrumpft ist, zeigten sich die…

12 Stunden ago

Das sind die Hardware Top-Seller

Trotz des Chipmangels ist die Nachfrage nach Hardware ungebrochen, es gibt aber Befürchtungen, dass es…

13 Stunden ago

Datenstrategie mangelhaft

Der Weg von der Datenanarchie zur Datenstrategie ist lang und die deutschsprachigen Unternehmen haben noch…

1 Tag ago

Europas Zukunft ist digital

Einen wirtschaftspolitischen Appell richtet Yann Lechelle, CEO von Scaleway, an die Europäische Union. Die EU…

1 Tag ago

HP Presence: HP stellt Kollaborations- und Konferenzsysteme vor

Das Programm umfasst PCs, Audio- und Videobars sowie Raumsteuerungen. Ausgerichtet ist es auf große Meetingräume.…

1 Tag ago

Facebook legt Streit um Benachteiligung von US-Arbeitern bei

Inhaber von befristeten Visas erhielten Vorzug vor US-Arbeitskräften. Facebook zahlt unter anderem Entschädigungen und Geldstrafen…

1 Tag ago