Siemens schließt Lücken in Produkten für Schutztechnik
Die Schwachstellen mit der Kennung CVE-2016-4784 und CVE-2016-4785 stecken in Produkten der Reihe SIPROTEC 4 und SIPROTECT Compact. Die kommen bei Energieversorgern zum Einsatz, um Stromnetze vor Kurzschlüssen oder Überlast zu schützen.
Siemens hat eine Sicherheitslücke in Produkten seiner Reihen SIPROTEC 4 und SIPROTEC Compact geschlossen (PDF). Diese Produkte nutzen Energieversorger, um ihre Netze vor Kurzschlüssen oder Überlast abzusichern. Die Lücke mit der Kennung CVE-2016-4784 fand Aleksandr Bersenev vom HackerDom-Team, die Lücke CVE-2016-4785 Experten der Kaspersky Security Intelligence Services im Rahmen eines Security Assessments.
Die Sicherheitslücken im Ethernet-Modul der Siemens-Produkte ermöglichen es Angreifern, Speicherinformationen auszulesen. Informationen dazu wurden an Siemens weitergegeben von dem Unternehmen umgehend geschlossen. Dazu hat der Konzern das Firmware-Update V4.27 bereitgestellt.
Außerdem empfiehlt er, den Zugang zum Netzwerk mit “geeigneten Maßnahmen”, also etwa Firewalls, Segmentierung oder VPNs, so zu konfigurieren, dass die SIPROTECT-Produkte in einer sicheren Umgebung laufen. Wer das schon bisher getan hat, hat durch die beiden Lücken wenig zu befürchten: Sie lassen sich nur ausnutzen, wenn ein Angreifer Netzwerkzugriff auf die Geräte hat.
Zu den möglichen, missbräuchlichen Aktionen, machen die beteiligten Parteien kaum Angaben. Offenbar konnten bestimmte Speicherinformationen ausgelesen werden. Ein Eingriff in die Steuerung scheint nicht unmittelbar möglich gewesen zu sein.
Dennoch wirft der Vorfall ein weiteres Mal ein Schlaglicht auf die möglichen Gefahren der Vernetzung sogenannter “kritischer Infrastrukturen”, zu denen auch die Einrichtungen von Energie- und Wasserversorgern gehören. Im Zuge der Analyse des Angriffs auf das Stromnetz der Ukraine und einen Vorfall in Polen im Dezember 2015 hatte Robert Lipovsky, Senior Malware Researcher bei ESET, im Januar festgestellt: “Es ist üblich, dass spezielle Software, die verwendet wird, um Software für Industrieanlagen zu programmieren und zu kontrollieren, auf PCs mit Betriebssystemen wie Windows oder Linux läuft. Die können mit ähnlicher oder sogar derselben Malware angegriffen werden, die sich auch gegen normale Internetnutzer richtet. Und natürlich können auch alle anderen gängigen Angriffswege gewählt werden, darunter auch die Ausnutzung menschlicher Fehler und Social Engineering.”
Ein Beispiel für letzteres ist der Angriff auf ein Stahlwerk in Deutschland, über den das BSI in seinem “Lagebericht 2014” informeirt hat (PDF, Seite 31) . Die unbekannten Angreifer drangen zunächst Mittels Spear-Phishing und “ausgefeiltem Social Engineering” in das Büronetzwerk des Stahlwerks ein. Von dort verschafften sie sich dann Zugriff auf das Produktionsnetz. Ihre Aktivitäten führten zu gehäuften Ausfällen mehrerer Steuerungskomponenten und sogar ganzer Anlagen. In der Folge konnte ein Hochofen nicht mehr geregelt heruntergefahren werden und wurde dadurch erheblich beschädigt.
In Deutschland wurde versucht, mit dem IT-Sicherheitsgesetz, das seit nun fast einem Jahr in Kraft ist, das Schutzniveau zu erhöhen. Dazu beschreibt es unter anderem Mindeststandards für die IT-Sicherheit. Zudem müssen Betreiber sogenannter “kritischer Infrastrukturen” wie Banken, Krankenhäuser oder Energieunternehmen, müssen dem Gesetz zufolge Sicherheitsvorfälle – etwa Cyberangriffe auf ihre Systeme – an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Als “Betreiber kritischer Infrastrukturen”, umschreibt das Gesetz Einrichtungen, “die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind.” Neben dem Energie- und Gesundheitssektor, der Wasserversorgung und der Telekommunikation gehört dazu auch das Finanz- und Versicherungswesen.
Insgesamt werden dadurch rund 2000 Unternehmen dazu verpflichtet, Cyberangriffe anonym zu melden. Bei Verstößen drohen Bußgelder in Höhe von bis zu 100.000 Euro. Die übermittelten Informationen wertet das BSI aus und erstellt ein Lagebild. Bei Bedarf erhalten andere Unternehmen eine Warnung.
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.