Categories: M2MNetzwerke

Mobile Apps für Industriesteuerungen und IoT leiden an schweren Sicherheitslecks

Immer häufiger bieten Steuerungssysteme (SCADA oder ICS) von industriellen Anlagen und Kraftwerken die Möglichkeit, diese auch über mobil Anwendungen auf einem Handy zu steuern. Solche Apps könnnen natürlich die Effizienz der Mitarbeiter erheblich steigern, wenn sie dadurch bestimmte Prozesse verfolgen, überwachen oder auch steuern können. Doch genau diese Anwendungen leiden teilweise an schwerwiegenden Sicherheitslecks.

Die Sicherherheitsforscher Alexander Bolshev von IOActive und Ivan Yushkevich von Embedi haben rund ein Jahr lang 34 Apps von Herstellern wie Siemens oder Schneider Electric untersucht. Diese wurden nach dem Zufallsprinzip aus dem Appstore Google Play ausgewählt. Das Ergebnis sind 147 Sicherheitslecks. Und in lediglich zwei dieser 34 Anwendungen konnten die beiden Sicherheitsforscher überhauptkeine Lecks finden.

Die Kombination aus mobilen Apps und industriellen Anwendungen nennt Bolshev einen „sehr gefährlichen und verwundbaren Cocktail“. Denn neben herstellenden Unternehmen sind auch Anlagen wie Kraftwerke oder Raffinerien über solche Apps zu erreichen.

Verschiedene Mobile Apps die industrielle Systeme remote Steuern können, lassen sich meist auf eine der drei Arten angreifen
(Bild: IOActive).

Die beiden Forscher teilen nicht mit, welche Apps betroffen sind, von welchen Herstellern diese stammen oder auch welche besonders schwere Lecks aufweisen. Doch über die Apps könnten Hacker auch auf Systeme zugreifen und so beispielsweise eine Maschine zerstören. Im Extremfall wäre es wohl auch möglich, eine gesamte Fabrikanlage über Manipulierungen völlig zu zerstören.

So erlauben es einige Anwendungen beispielsweise, dass die Daten zwischen Anwendung und den Anlagen abgefangen und manipuliert werden. Dadurch könnte ein Ingenieur über den Zustand einer Maschine getäuscht werden. Andere Lecks erlaubten das Aufspielen von bösartigen Codes auf dem Mobilgerät oder dem Zielserver. So können Hacker ebenfalls Befehle an verwaltete System schicken. Es ist auch möglich, dass eine App physischen oder virtuellen Zugriff auf die Daten des Gerätes erlaubt.

Mit einem gewissen Verständnis über die Systeme ist es für einen Angreifer damit ein leichtes, für erhebliche Schäden oder Ausfälle zu sorgen. Allerdings sind natürlich nicht alle Lecks gleichermaßen riskant. Denn einige Hersteller haben verschiedene Schutzmechanismen eingebaut und Anwender sorgen mit anderen Mitteln für Ausfallsicherheit, über die sich die Risiken minimieren lassen. Darüber hinaus sind die Informationen in den Apps natürlich nicht die einzigen Datenquellen für die Steuerung von Systemen.

Ungeprüft sei jedoch, ob die Lecks bereits ausgenutzt werden. Auch hätten die Forscher im Vorfeld ihrer Veröffentlichung verschiedene Entwickler der Apps bereits kontaktiert und in einigen Fällen wurden die Lecks bereits behoben. Einige der Anbieter aber hätten bislang nicht reagiert, so die beiden Forscher in einer Mitteilung. Diese Untersuchungen starteten die beiden Forscher schon 2015. Damals wurden 20 mobile Anwendungen untersucht, die mit industriellen Steuerungen und Hardware zusammenarbeiteten.

Seit der ersten Untersuchung habe sich in der Branche viel getan. Immer mehr IoT-Systeme stehen zur Verfügung, auch die Cloud als Möglichkeit, eine industrielle Anwendung zu steuern sei heute kein Tabu mehr. Und natürlich ist die Zahl der entsprechenden Anwendungen seitdem stark angestiegen.

Die mobilen Anwendungen verbinden sich über Internet, VPN, oder private Netzwerke mit den Systemen. „Typischerweise erlauben solche mobilen Anwendungen nur das Überwachen eines industriellen Prozesses. Aber einige Anwendungen ermöglichen es auch, Prozesse zu kontrollieren oder zu überwachen, darunter remote SCADA- oder MES-Clients sowie Anwendungen für Benachrichtigungen“, teilen die Forscher in einem Blog zu ihren Entdeckungen mit. Das sei eben auch gefährlich, weil die Geräte, anders als die eigentlichen Steuerungssysteme, nicht in einer isolierten Umgebung vorgehalten werden, sondern sehr leicht über das Internet oder auf andere Weise angegriffen werden könnten.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Martin Schindler

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Tag ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

2 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

2 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago