Smart City: Kaspersky Lab warnt vor Schwachstellen bei Verkehrssensoren

Die Sicherheitsexperten von Kaspersky Lab haben im Rahmen der Initiative Securing Smart Cities die Sicherheit von Verkehrsüberwachungssystemen untersucht. Bei einem Feldversuch in Moskau stellten sie fest, dass sich Verkehrssensoren leicht manipulieren lassen.

An neuralgischen Verkehrspunkten angebrachte Kameras und in die Straße eingelassene Sensoren sollen dazu dienen, das aktuelle Verkehrsaufkommen zu überwachen und mittels intelligenten Leitsystemen besser zu steuern. Sie erfassen etwa Art und Anzahl der Fahrzeuge sowie deren Geschwindigkeit. Zusätzlich liefern sie Stadtplanern wichtige Daten für den weiteren Ausbau des Straßennetzes.

Da damit hohe Investitionen verbunden sind, können falsche Daten Kaspersky zufolge zu teuren Fehlentscheidungen führen. „Städte sind auf valide Daten über den Verkehrsfluss für dessen aktuelle Steuerung und die zukünftige Planung angewiesen“, erklärt Denis Legezo, Sicherheitsexperte bei Kaspersky Lab. „Wir haben herausgefunden, dass Verkehrssensoren viel zu leicht manipuliert werden können. Ein Problem, das sofort behoben werden muss, damit die Planung und Umsetzung zukünftiger städtischer Infrastrukturmaßnahmen nicht beeinträchtigt wird.“

Sollten Kriminelle Zugang zur Verkehrsinfrastruktur einer Smart City erlangen, könnten sie gemäß der Kaspersky-Studie beispielsweise Daten modifizieren, verfälschen oder sogar löschen. Auch Sabotage oder Zerstörung der Ausrüstung schließen die Sicherheitsexperten nicht aus.

Ein gängiges Problem aktueller Systeme sei beispielsweise, dass die Herstellerfirma leicht am Gehäuse ablesbar ist. Dieser Hinweis ermöglichte es den Experten von Kaspersky Lab, Informationen des Herstellers zur Steuerungssoftware sowie die technische Dokumentation für die Sensoren online zu finden. Zur Übernahme der Steuerung genügte ihnen zufolge eine einfache Bluetooth-Verbindung, da kein zuverlässiger Authentifizierungsprozess implementiert war und das Passwort per Brute-Force-Angriff geknackt werden konnte. Die technische Dokumentation des Herstellers lieferte außerdem genug Informationen, um die Geräte so zu manipulieren, dass in der Folge alle erfassten Daten zu Art und Geschwindigkeit der Fahrzeuge verfälscht hätten werden können.

Als Sicherheitsvorkehrungen empfiehlt Kaspersky Lab daher, die Kennzeichnung der Hersteller von den Geräten zu entfernen, den Standardnamen der Systeme abzuändern und die MAC-Adressen der Hersteller nach Möglichkeit zu verdecken. Für die Bluetooth-Verbindung sollten eine zweistufige Authentifizierung und starke Passwörter verwendet werden.

Eugene Kaspersky (Bild: Kaspersky)In einem Interview mit ZDNet.com wies Kaspersky-Chef Eugene Kaspersky kürzlich darauf hin, dass kritische Infrastrukturen allgemein zu schlecht geschützt seien. Um den Schutz von Kraftwerken oder Wasservorräten zu verbessern, müssten Regierungen ungeachtet politischer Spannungen zusammenarbeiten. „Bei kritischen Infrastrukturen geht es um nationale Sicherheit und um globale Sicherheit in einer Weltwirtschaft. Regierungen müssen hier die Führungsrolle übernehmen, weil sie für die nationale Sicherheit und Ökonomie verantwortlich sind.“ Sie müssten eine Cyberstrategie zum Schutz der Infrastruktur ausarbeiten, um sie immun zu machen.

In diesem Zusammenhang wies Kaspersky darauf hin, dass es für die physische Absicherung von Gebäuden bestimmte Vorschriften zu befolgen gebe. Hinsichtlich Cybersicherheit existiere bisher aber kein vergleichbares Regelwerk, nicht einmal für kritische Infrastrukturen. „Wenn Unternehmen Cybersysteme entwerfen, tun sie das, wie sie wollen, weil es keinerlei Vorschriften gibt.“

Ideal wäre aus seiner Sicht ein Schutzniveau, bei dem es sich für Hacker nicht lohnt, Zeit und Ressourcen für einen Angriff zu investieren, so Kaspersky weiter. „Das ist mein Traum von perfekter Sicherheit, wenn ein Angriff mehr kostet, als er einbringt, wenn Angreifer einen negativen Return on Investment erhalten. Mein Traum ist es, dieses Schutzniveau zu erreichen.“

[mit Material von Danny Palmer, ZDNet.com]