Die Sicherheitsexperten von Kaspersky Lab haben im Rahmen der Initiative Securing Smart Cities die Sicherheit von Verkehrsüberwachungssystemen untersucht. Bei einem Feldversuch in Moskau stellten sie fest, dass sich Verkehrssensoren leicht manipulieren lassen.
Da damit hohe Investitionen verbunden sind, können falsche Daten Kaspersky zufolge zu teuren Fehlentscheidungen führen. „Städte sind auf valide Daten über den Verkehrsfluss für dessen aktuelle Steuerung und die zukünftige Planung angewiesen“, erklärt Denis Legezo, Sicherheitsexperte bei Kaspersky Lab. „Wir haben herausgefunden, dass Verkehrssensoren viel zu leicht manipuliert werden können. Ein Problem, das sofort behoben werden muss, damit die Planung und Umsetzung zukünftiger städtischer Infrastrukturmaßnahmen nicht beeinträchtigt wird.“
Sollten Kriminelle Zugang zur Verkehrsinfrastruktur einer Smart City erlangen, könnten sie gemäß der Kaspersky-Studie beispielsweise Daten modifizieren, verfälschen oder sogar löschen. Auch Sabotage oder Zerstörung der Ausrüstung schließen die Sicherheitsexperten nicht aus.
Ein gängiges Problem aktueller Systeme sei beispielsweise, dass die Herstellerfirma leicht am Gehäuse ablesbar ist. Dieser Hinweis ermöglichte es den Experten von Kaspersky Lab, Informationen des Herstellers zur Steuerungssoftware sowie die technische Dokumentation für die Sensoren online zu finden. Zur Übernahme der Steuerung genügte ihnen zufolge eine einfache Bluetooth-Verbindung, da kein zuverlässiger Authentifizierungsprozess implementiert war und das Passwort per Brute-Force-Angriff geknackt werden konnte. Die technische Dokumentation des Herstellers lieferte außerdem genug Informationen, um die Geräte so zu manipulieren, dass in der Folge alle erfassten Daten zu Art und Geschwindigkeit der Fahrzeuge verfälscht hätten werden können.
Als Sicherheitsvorkehrungen empfiehlt Kaspersky Lab daher, die Kennzeichnung der Hersteller von den Geräten zu entfernen, den Standardnamen der Systeme abzuändern und die MAC-Adressen der Hersteller nach Möglichkeit zu verdecken. Für die Bluetooth-Verbindung sollten eine zweistufige Authentifizierung und starke Passwörter verwendet werden.
Interview mit ZDNet.com wies Kaspersky-Chef Eugene Kaspersky kürzlich darauf hin, dass kritische Infrastrukturen allgemein zu schlecht geschützt seien. Um den Schutz von Kraftwerken oder Wasservorräten zu verbessern, müssten Regierungen ungeachtet politischer Spannungen zusammenarbeiten. „Bei kritischen Infrastrukturen geht es um nationale Sicherheit und um globale Sicherheit in einer Weltwirtschaft. Regierungen müssen hier die Führungsrolle übernehmen, weil sie für die nationale Sicherheit und Ökonomie verantwortlich sind.“ Sie müssten eine Cyberstrategie zum Schutz der Infrastruktur ausarbeiten, um sie immun zu machen.
In einemIn diesem Zusammenhang wies Kaspersky darauf hin, dass es für die physische Absicherung von Gebäuden bestimmte Vorschriften zu befolgen gebe. Hinsichtlich Cybersicherheit existiere bisher aber kein vergleichbares Regelwerk, nicht einmal für kritische Infrastrukturen. „Wenn Unternehmen Cybersysteme entwerfen, tun sie das, wie sie wollen, weil es keinerlei Vorschriften gibt.“
Ideal wäre aus seiner Sicht ein Schutzniveau, bei dem es sich für Hacker nicht lohnt, Zeit und Ressourcen für einen Angriff zu investieren, so Kaspersky weiter. „Das ist mein Traum von perfekter Sicherheit, wenn ein Angriff mehr kostet, als er einbringt, wenn Angreifer einen negativen Return on Investment erhalten. Mein Traum ist es, dieses Schutzniveau zu erreichen.“
[mit Material von Danny Palmer, ZDNet.com]
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…