Sicherheit

US-Regierung warnt vor Siemens-Sicherheitsleck

Die Betreiber von Wasserwerken, Stromversorger und andere Benutzer des Siemens-Steuerungssystems hätten bereits am vergangenen Donnerstag einen entsprechenden Hinweis erhalten, erklärte die IT-Sicherheitsstelle des US-Heimatschutzministeriums (ICS-CERT) am Mittwoch, Siemens widersprach den Vorwürfen. Die Steuerungssoftware, die nicht die zentralen Prozesse einer Industrieanlage, sondern lediglich Randbereiche betreffe, könne nur in einer künstlichen Laborsituation manipuliert werden, bekräftigte ein Sprecher.

Siemens: "Keine Gefahr"

Nur wenn die IT-Sicherheitsschranken überwunden seien, könne die Software so attackiert werden, dass sie in einen Sicherheitsmodus fahre und sich abschalte. „In der Praxis sind beim Einsatz von normaler IT-Sicherheit die Schwachstellen ohne Belang“, sagte der Siemens-Sprecher. „Es besteht keine Gefahr für die Anlage, es besteht keine Gefahr für Leib und Leben.“

Ein Sprecher der US-Behörde sagte, man habe mit den Siemens-Kunden Lösungsansätze besprochen, wie die Schwachstelle zumindest provisorisch behoben werden könne. Das Leck war von der amerikanischen IT-Firma NSS Lab ausgemacht worden. „ICS-CERT wird weiter mit Siemens und NSS Lab zusammenarbeiten, um eine dauerhafte Lösung für das Problem zu finden“, sagte der Sprecher. Siemens erklärte, innerhalb der nächsten Wochen Aktualisierungen des Systems zur Verfügung zu stellen, die die Lücke schließen sollen. In der Regel macht das ICS-CERT seine Warnungen nicht öffentlich, bevor IT-Schwachstellen repariert sind, um Angreifern keine Vorlage zu liefern.

Experte: "Sehr ernstes Problem"
Nach Darstellung von NSS-Experte Dillon Beresford handelt es sich bei der jüngsten von ihm diagnostizierten Sicherheitslücke um ein gravierendes Problem. Jede Industrienation sei davon betroffen. Siemens informiere die Kunden nicht über das erhöhte Risiko, kritisierte er. „Die Verwundbarkeiten sind weitreichend und können jede Industrienation der Welt betreffen. Das ist ein sehr ernstes Problem“, monierte Beresford.

Siemens: Kein Zusammenhang mit Stuxnet
Die Siemens-Steuerungssoftware wird in Teilbereichen vor allem von Industrieprozessen eingesetzt. Sie erfasst und regelt etwa Temperatur, Druck oder Drehzahlen von Motoren. Mit dem Industrievirus Stuxnet, der vor einigen Monaten um die Welt zog, hat die angebliche Schwachstelle Siemens zufolge nichts zu tun. Das hochkomplexe Schadprogramm war unvermittelt aufgetaucht und nutzte eine Sicherheitslücke in der Industrieversion von Microsofts Windows-Betriebssystem, um Siemens-Steuerungen manipulieren zu können. Dem Virus wurde eine Attacke auf das iranische Atomprogramm zugeschrieben. Es folgte eine große Debatte um gezielte Hackerangriffe auf Unternehmen und Staaten unter dem Schlagwort Cyberwar.

Das Aufdecken von tatsächlichen oder vermeintlichen Sicherheitslücken hat sich vor allem in den USA zu einem florierenden Geschäftszweig für kleinere und mittlere Firmen entwickelt. NSS Labs verdient einen Teil seines Geldes mit Beratungsleistungen für Firmen im Zusammenhang mit IT-Sicherheit.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare