Bekannte SCADA-Lösungen betroffen

Security-Lücken in Steuerungssoftware

Joachim Hackmann ist Principal Consultant bei Pierre Audin Consulting (PAC) in München. Vorher war er viele Jahre lang als leitender Redakteur und Chefreporter bei der COMPUTERWOCHE tätig.
Ein Security-Spezialist hat über 20 Schwachstellen in Softwarelösungen zur Steuerung von Industrieanlagen entdeckt.
Foto: fotolia.com/Gina Sanders

Die Gefährdung von Industrieanlagen durch Malware verschärft sich. Der Security-Experte Aaron Portnoy, Vice President beim Security-Startup Exodus Intelligence, hat eigenen Angaben zufolge insgesamt 23 Lecks in den SCADA-Lösungen (Supervisory Control and Data Acquisition) von Rockwell Automation, Schneider Electric, Indusoft, RealFlex und Eaton entdeckt. Mit SCADA-Software lassen sich Fertigungsprozesse in der Industrie steuern und überwachen.

Bereits vergangene Woche hatte die in Malta ansässige Sicherheitsfirma ReVuln publik gemacht, dass sie Schwachstellen in der SCADA-Software von General Electric, Schneider Electric, Kaskad, Rockwell Automation, Eaton und Siemens entdeckt hat, ohne jedoch Details zu nennen. Das Geschäftsmodell von ReVuln basiert auf einen kostenpflichtigen Abo-Dienst, der Information zu Security-Lecks bereitstellt.

"Ich habe mich dazu entschlossen, die SCADA-Software zu untersuchen, nachdem ich den Artikel über ReVuln gelesen hatte", schreibt Portney in einer E-Mail an die CW-Schwesterpublikation Computerworld. "Ich halte es für gefährlich, dass die Anbieter dazu gezwungen werden, für Informationen von ReVulns zu zahlen, um ihre kritischen Installationen zu schützen."

Portnoy hat seine Entdeckungen im firmeneigenen Blog veröffentlicht. Die Liste umfasst sieben Lücken, durch die sich Schad-Code einschleusen lassen, 14 Angriffspunkte für Denial-of-Service-Attacken und diverse Schwachstellen, die den Download, Upload und das Löschen von Daten erlauben. "Das Interessanteste an den Fehlern war, wie einfach sie sich aufspüren ließen", schreibt Portney in seinem Blog. "Für den ersten Exploit habe ich gerade mal sieben Minuten nach Installation der Software gebraucht." Der Security-Experte kündigte an, die Informationen der Organisation ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) zu übergeben, die sich insbesondere um die Sicherheit in Industrieanlagen kümmert. Sie wird das weitere Vorgehen mit den Herstellern der SCADA-Software abstimmen. Inwiefern die von Portney gefundenen Lücken deckungsgleich mit den von ReVuln entdeckten sind, ist nicht bekannt.

Das Geschäftsmodell, Hinweise auf Sicherheitslücken zu verkaufen, gibt es schon seit längerem. Neu ist, dass die Firmen mit ihren Angeboten werben. Der französische Anbieter Vupen wurde kürzlich von Datenschutzanwälten kritisiert, als öffentlich wurde, dass er Exploits an die Nato verkauft, ohne die betroffenen Hersteller zu informieren.

Auch Exodus Intelligence lässt sich für Hinweise auf Security-Lücken bezahlen. Eigenen Angaben zufolge richten sich die Services an Anwenderfirmen, damit diese sich vor Eindringlichen schützen, solange die Hersteller die Lücken noch nicht geschlossen haben. Die Erkenntnisse werden zudem den betroffenen Softwareanbieter zur Verfügung gestellt, betont Exodus Intelligence.