Software-Sicherheitsleck bedroht Kraftwerke weltweit

Das Security-Unternehmen Rapid7 hat im Zuge der Überprüfung einer Software für den Betrieb von Ölbohrplattformen, Raffinerien und Kraftwerken einen gravierenden Sicherheitsmangel aufgedeckt. [...]

Wie die Forschungsabteilung der Firma berichtet, handelt es sich dabei um die Windows-Applikation „Centum CS 3000“ des japanischen Anbieters Yokogawa, die in rund 7.600 Anlagen rund um den Globus zum Einsatz kommt. Nach dem Bekanntwerden der Sicherheitslücke hat das Cyber Emergency Response Team (ICS-CERT) der US-Regierung nun alle betroffenen Kraftwerksbetreiber dazu aufgerufen, schleunigst eine Evaluierung des eigenen Gefahrenpotenzials durchzuführen.

„Wenn jemand in der Lage ist, die Schwachstelle auszunutzen, die wir identifiziert haben, kann er ganz leicht die Kontrolle über die Human-Interface-Stationen eines Kraftwerks übernehmen“, erklärt Rapid7-Sicherheitsforscher Julian Diaz gegenüber BBC News das Ausmaß der Bedrohung. An diesen Stationen sitze normalerweise ein speziell geschulter Mitarbeiter, um am Monitor die aktuellen Prozesse im Kraftwerk im Detail zu überwachen. „Sobald er die Kontrolle erlangt hat, kann der Angreifer im Prinzip alles steuern, was auch jemand mit entsprechendem Sicherheitsausweis direkt vor Ort erledigen kann“, schildert Diaz.

„Ein Kraftwerk-Hack kann enormen Schaden anrichten“, gibt Marton Sarkadi, IT-Spezialist bei Sicontact IT-Solutions, gegenüber der Nachrichtenagentur pressetext zu bedenken. Allein ein Stromausfall in einer Region könne große wirtschaftliche Schäden verursachen. „Wenn aber auch noch Module im Kraftwerk ausfallen, überhitzt oder gar zerstört werden, kann das sogar zu Katastrophen mit langfristigen Auswirkungen für Umwelt und Bevölkerung führen“, meint der Experte, der in diesem Zusammenhang von einer Art „Tschernobyl auf Bestellung“ warnt. Eine spezielle Sicherheitssoftware für Kraftwerke gebe es nicht. „Die verwendeten Programme sind großteils solche, die auf Windows-, Linux- oder Unix-Systeme laufen. Oft sind diese Systeme ziemlich veraltet“, schildert Sarkadi.

In Anbetracht des enormen Gefahrenpotenzials der aufgedeckten Sicherheitslücke ist es nicht verwunderlich, dass sich auch die zuständigen Regierungsbehörden in Sachen Cyber Defense sofort eingeschaltet haben. Allen voran das ICS-CERT-Expertenteam des US Department of Homeland Security, das allen Anlagenbetreibern mit entsprechender Software dringend zu einer Überprüfung der eigenen Systemanfälligkeit geraten hat. „Auch Hacker mit wenig Fachkenntnissen können diese Lücke missbrauchen“, betont die Behörde.

Gleichzeitig hat man offensichtlich auch bereits Kontakt zu Yokogawa aufgenommen, um schleunigst einen Patch zur Behebung der Schwachstellen bereitstellen zu können. „Nicht alle CS-3000-User müssen sofort diesen Patch installieren“, beruhigt der japanische Softwarekonzern. „Die Gefahrenlage hängt davon ab, wie viel der verwendeten Systeme mit externen Netzwerken verbunden sind und, welche Sicherheitsmaßnahmen eingesetzt werden“, heißt es in einem ersten Statement. (pte)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*