Sicherheitsanalyst Dillon Beresford von NSS Labs nutzte dafür eine Schwachstelle in speicherprogrammierbaren Steuerungen (PLC) von Siemens aus, mit denen Energieversorger und Kraftwerke mechanische Geräte automatisieren. Über die gezeigte Schwachstelle ist es für Angreifer möglichen, über das Internet die Kontrolle über ein System zu übernehmen.
Beresford ist es nach eigenen Angaben gelungen, das in der Hardware hinterlegte Passwort zu entschlüsseln. Er zeigte, dass es möglich ist, Daten aus dem PLC-Speicher auszulesen oder darin einzuschleusen, auch wenn ein Passwortschutz aktiviert ist. Zudem ließen sich sensible Informationen ausspähen, Passwörter abfangen und beliebige Befehle ausführen. Ein Angreifer könne darüber hinaus auch Passwörter ändern, den Betreiber eines Systems vollständig aussperren oder eine Steuerung komplett deaktivieren.
Die North American Electric Reliability Corporation (NERC) sprach aufgrund von Beresfords Vortrag eine Sicherheitswarnung aus. “Das betrifft nicht nur die USA, sondern die ganze Welt”, so NERC-Director Tim Roxey. Allerdings hat die Warnung die niedrigste Stufe.
Im Mai hatte Beresford eine für die Sicherheitskonferenz TakeDown geplante Präsentation mit dem Titel “Chain Reactions – Hacking Scada” auf Bitten von Siemens und US-Behörden abgesagt. Diesmal unternahm der Münchener Konzern nichts, um den Vortrag zu verhindern. “Es gibt einen Punkt, an dem man akzeptieren muss, dass es Anfälligkeiten in den eigenen Produkten gibt”, sagte Thomas Brandstetter, CERT Program Manager bei Siemens. “Das zu akzeptieren, ist der erste Schritt hin zu einem professionellen Umgang.” Brandstetter stand beim Vortrag von Beresford mit auf der Bühne.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.