Categories: M2MNetzwerke

Mobile Apps für Industriesteuerungen und IoT leiden an schweren Sicherheitslecks

Immer häufiger bieten Steuerungssysteme (SCADA oder ICS) von industriellen Anlagen und Kraftwerken die Möglichkeit, diese auch über mobil Anwendungen auf einem Handy zu steuern. Solche Apps könnnen natürlich die Effizienz der Mitarbeiter erheblich steigern, wenn sie dadurch bestimmte Prozesse verfolgen, überwachen oder auch steuern können. Doch genau diese Anwendungen leiden teilweise an schwerwiegenden Sicherheitslecks.

Die Sicherherheitsforscher Alexander Bolshev von IOActive und Ivan Yushkevich von Embedi haben rund ein Jahr lang 34 Apps von Herstellern wie Siemens oder Schneider Electric untersucht. Diese wurden nach dem Zufallsprinzip aus dem Appstore Google Play ausgewählt. Das Ergebnis sind 147 Sicherheitslecks. Und in lediglich zwei dieser 34 Anwendungen konnten die beiden Sicherheitsforscher überhauptkeine Lecks finden.

Die Kombination aus mobilen Apps und industriellen Anwendungen nennt Bolshev einen „sehr gefährlichen und verwundbaren Cocktail“. Denn neben herstellenden Unternehmen sind auch Anlagen wie Kraftwerke oder Raffinerien über solche Apps zu erreichen.

Verschiedene Mobile Apps die industrielle Systeme remote Steuern können, lassen sich meist auf eine der drei Arten angreifen
(Bild: IOActive).

Die beiden Forscher teilen nicht mit, welche Apps betroffen sind, von welchen Herstellern diese stammen oder auch welche besonders schwere Lecks aufweisen. Doch über die Apps könnten Hacker auch auf Systeme zugreifen und so beispielsweise eine Maschine zerstören. Im Extremfall wäre es wohl auch möglich, eine gesamte Fabrikanlage über Manipulierungen völlig zu zerstören.

So erlauben es einige Anwendungen beispielsweise, dass die Daten zwischen Anwendung und den Anlagen abgefangen und manipuliert werden. Dadurch könnte ein Ingenieur über den Zustand einer Maschine getäuscht werden. Andere Lecks erlaubten das Aufspielen von bösartigen Codes auf dem Mobilgerät oder dem Zielserver. So können Hacker ebenfalls Befehle an verwaltete System schicken. Es ist auch möglich, dass eine App physischen oder virtuellen Zugriff auf die Daten des Gerätes erlaubt.

Mit einem gewissen Verständnis über die Systeme ist es für einen Angreifer damit ein leichtes, für erhebliche Schäden oder Ausfälle zu sorgen. Allerdings sind natürlich nicht alle Lecks gleichermaßen riskant. Denn einige Hersteller haben verschiedene Schutzmechanismen eingebaut und Anwender sorgen mit anderen Mitteln für Ausfallsicherheit, über die sich die Risiken minimieren lassen. Darüber hinaus sind die Informationen in den Apps natürlich nicht die einzigen Datenquellen für die Steuerung von Systemen.

Ungeprüft sei jedoch, ob die Lecks bereits ausgenutzt werden. Auch hätten die Forscher im Vorfeld ihrer Veröffentlichung verschiedene Entwickler der Apps bereits kontaktiert und in einigen Fällen wurden die Lecks bereits behoben. Einige der Anbieter aber hätten bislang nicht reagiert, so die beiden Forscher in einer Mitteilung. Diese Untersuchungen starteten die beiden Forscher schon 2015. Damals wurden 20 mobile Anwendungen untersucht, die mit industriellen Steuerungen und Hardware zusammenarbeiteten.

Seit der ersten Untersuchung habe sich in der Branche viel getan. Immer mehr IoT-Systeme stehen zur Verfügung, auch die Cloud als Möglichkeit, eine industrielle Anwendung zu steuern sei heute kein Tabu mehr. Und natürlich ist die Zahl der entsprechenden Anwendungen seitdem stark angestiegen.

Die mobilen Anwendungen verbinden sich über Internet, VPN, oder private Netzwerke mit den Systemen. „Typischerweise erlauben solche mobilen Anwendungen nur das Überwachen eines industriellen Prozesses. Aber einige Anwendungen ermöglichen es auch, Prozesse zu kontrollieren oder zu überwachen, darunter remote SCADA- oder MES-Clients sowie Anwendungen für Benachrichtigungen“, teilen die Forscher in einem Blog zu ihren Entdeckungen mit. Das sei eben auch gefährlich, weil die Geräte, anders als die eigentlichen Steuerungssysteme, nicht in einer isolierten Umgebung vorgehalten werden, sondern sehr leicht über das Internet oder auf andere Weise angegriffen werden könnten.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Martin Schindler

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

14 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

15 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

15 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

17 Stunden ago