Categories: M2MNetzwerke

Mobile Apps für Industriesteuerungen und IoT leiden an schweren Sicherheitslecks

Immer häufiger bieten Steuerungssysteme (SCADA oder ICS) von industriellen Anlagen und Kraftwerken die Möglichkeit, diese auch über mobil Anwendungen auf einem Handy zu steuern. Solche Apps könnnen natürlich die Effizienz der Mitarbeiter erheblich steigern, wenn sie dadurch bestimmte Prozesse verfolgen, überwachen oder auch steuern können. Doch genau diese Anwendungen leiden teilweise an schwerwiegenden Sicherheitslecks.

Die Sicherherheitsforscher Alexander Bolshev von IOActive und Ivan Yushkevich von Embedi haben rund ein Jahr lang 34 Apps von Herstellern wie Siemens oder Schneider Electric untersucht. Diese wurden nach dem Zufallsprinzip aus dem Appstore Google Play ausgewählt. Das Ergebnis sind 147 Sicherheitslecks. Und in lediglich zwei dieser 34 Anwendungen konnten die beiden Sicherheitsforscher überhauptkeine Lecks finden.

Die Kombination aus mobilen Apps und industriellen Anwendungen nennt Bolshev einen „sehr gefährlichen und verwundbaren Cocktail“. Denn neben herstellenden Unternehmen sind auch Anlagen wie Kraftwerke oder Raffinerien über solche Apps zu erreichen.

Verschiedene Mobile Apps die industrielle Systeme remote Steuern können, lassen sich meist auf eine der drei Arten angreifen
(Bild: IOActive).

Die beiden Forscher teilen nicht mit, welche Apps betroffen sind, von welchen Herstellern diese stammen oder auch welche besonders schwere Lecks aufweisen. Doch über die Apps könnten Hacker auch auf Systeme zugreifen und so beispielsweise eine Maschine zerstören. Im Extremfall wäre es wohl auch möglich, eine gesamte Fabrikanlage über Manipulierungen völlig zu zerstören.

So erlauben es einige Anwendungen beispielsweise, dass die Daten zwischen Anwendung und den Anlagen abgefangen und manipuliert werden. Dadurch könnte ein Ingenieur über den Zustand einer Maschine getäuscht werden. Andere Lecks erlaubten das Aufspielen von bösartigen Codes auf dem Mobilgerät oder dem Zielserver. So können Hacker ebenfalls Befehle an verwaltete System schicken. Es ist auch möglich, dass eine App physischen oder virtuellen Zugriff auf die Daten des Gerätes erlaubt.

Mit einem gewissen Verständnis über die Systeme ist es für einen Angreifer damit ein leichtes, für erhebliche Schäden oder Ausfälle zu sorgen. Allerdings sind natürlich nicht alle Lecks gleichermaßen riskant. Denn einige Hersteller haben verschiedene Schutzmechanismen eingebaut und Anwender sorgen mit anderen Mitteln für Ausfallsicherheit, über die sich die Risiken minimieren lassen. Darüber hinaus sind die Informationen in den Apps natürlich nicht die einzigen Datenquellen für die Steuerung von Systemen.

Ungeprüft sei jedoch, ob die Lecks bereits ausgenutzt werden. Auch hätten die Forscher im Vorfeld ihrer Veröffentlichung verschiedene Entwickler der Apps bereits kontaktiert und in einigen Fällen wurden die Lecks bereits behoben. Einige der Anbieter aber hätten bislang nicht reagiert, so die beiden Forscher in einer Mitteilung. Diese Untersuchungen starteten die beiden Forscher schon 2015. Damals wurden 20 mobile Anwendungen untersucht, die mit industriellen Steuerungen und Hardware zusammenarbeiteten.

Seit der ersten Untersuchung habe sich in der Branche viel getan. Immer mehr IoT-Systeme stehen zur Verfügung, auch die Cloud als Möglichkeit, eine industrielle Anwendung zu steuern sei heute kein Tabu mehr. Und natürlich ist die Zahl der entsprechenden Anwendungen seitdem stark angestiegen.

Die mobilen Anwendungen verbinden sich über Internet, VPN, oder private Netzwerke mit den Systemen. „Typischerweise erlauben solche mobilen Anwendungen nur das Überwachen eines industriellen Prozesses. Aber einige Anwendungen ermöglichen es auch, Prozesse zu kontrollieren oder zu überwachen, darunter remote SCADA- oder MES-Clients sowie Anwendungen für Benachrichtigungen“, teilen die Forscher in einem Blog zu ihren Entdeckungen mit. Das sei eben auch gefährlich, weil die Geräte, anders als die eigentlichen Steuerungssysteme, nicht in einer isolierten Umgebung vorgehalten werden, sondern sehr leicht über das Internet oder auf andere Weise angegriffen werden könnten.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Martin Schindler

Recent Posts

Sicherheitslücken im Linux-Kernel entdeckt

Russische Forscher haben Sicherheitslücken im Linux-Kernel entdeckt und bereits behoben. Linux-Admins sollten schleunigst den Patch…

18 Stunden ago

Microsoft Exchange Server von chinesischen Hackern bedroht

Eine chinesische Hackergruppe namens Hafnium nutzt Sicherheitslücken im Microsoft Exchange planmäßig aus. Microsoft rät Kunden…

21 Stunden ago

Microsoft kündigt Windows Server 2022 an

Microsoft hat auf der Konferenz Ignite am 2. März 2021 neue Funktionen für den Windows…

2 Tagen ago

Cyber-Versicherung: Munich Re kooperiert mit Google Cloud und Allianz

Die neue Kooperation von Munich Re mit Google Cloud und Allianz Global Corporate & Specialty…

2 Tagen ago

Zero Trust – Jenseits der Mythen

Zero Trust, also niemandem und keinem Netzwerk oder Gerät vertrauen, klingt zunächst geheimnisvoll. Aber in…

3 Tagen ago

Rechtslage in Sachen Datenschutz mit UK unübersichtlich

Der Austritt Großbritanniens aus der EU hat den Handelsverkehr auf beiden Seiten massiv beeinträchtigt. Unklar…

3 Tagen ago