Close

Login

Wenn Sie sich hier zum ersten Mal seit dem 09.02.2024 anmelden wollen, nutzen Sie bitte die "Passwort vergessen"-Funktion.

Noch kein Abonnent? Hier geht es zu unseren Angeboten.
Close

Unser Kennenlernangebot

Mit Ihrer Registrierung erhalten Sie 4 Wochen kostenlosen Zugang zu allen Abonnenteninhalten.

Oder entscheiden Sie sich gleich für ein kostenpflichtiges Abonnement, um dauerhaft auf alle Inhalte des Sicherheits-Berater zugreifen zu können.

Close

Passwort vergessen

Editorial

Angriff durch die Hintertür

Ausgabe 22/2019
  |  
  |  
Ausgabe 22/2019
  |  

Liebe Leserinnen und Leser,

Ein Alptraum jedes RZ-Verantwortlichen: ein Angreifer überwindet den Zaun, gelangt an das RZ, schafft es auf das Dach zu steigen, kann den Schaltschrank für die Chiller (Rückkühler) dort oben öffnen und schaltet die Kaltwassersätze ab. Wenn das zu einer ungünstigen Zeit passiert und niemand schnell genug eingreift, dann wird der IT enorm warm und sie schaltet ab. Ob sie das in sinnvoller Reihenfolge tut, darf stark bezweifelt werden – es droht ein langwieriger Ausfall von unternehmenskritischen IT-Services.

Was auch immer die Produktverantwortlichen von Rittal geprüft oder gedacht haben, als sie die Chiller Modelle des Typs SK-3232 freigaben, ist dem Sicherheits-Berater nicht bekannt. Auf alle Fälle haben sie die vielen Wenns und Abers des oben skizzierten Alptraums wegoptimiert. Wie das US CERT jüngst veröffentlichte (https://www.us-cert.gov/ics/advisories/icsa-19-297-01), fehlten dem via Webbrowser steuerbaren Produkt essenzielle Sicherheitsfunktionen zum Schutz der Bedienoberfläche. Das bedeutet, dass jeder, der Zugriff auf ein Netz bekommt, in dem solche Kaltwassersätze mit ihrer Fernsteuerung stehen, die Geräte per Browser manipulieren oder auch abschalten kann.

Das könnte der Fall sein, wenn in diesem Netz irgendjemand z. B. einen schlecht gesicherten Wartungszugang betreibt, ein gar nicht so unwahrscheinliches Szenario im Angesicht des ebenso beliebten wie fehlerträchtigen Windows-Remote-Desktops. Etwas mehr Nähe des Angreifers wäre nötig, wenn ein schlecht gesichertes WLAN Teil des Netzes für Haustechnik samt Rückkühlung wäre. Dann könnte sich der Angreifer zwar nicht vom Sofa aus, aber immerhin von jenseits des Zaunes aus zu schaffen machen. In beiden Fällen spart er sich einiges an Kletterei, Auseinandersetzungen mit Wachhunden oder Wachpersonal und vermutlich auch eine Strafverfolgung. Ob auf der anderen Seite schnell genug reagiert werden kann und ein Berechtigter die Kälte rechtzeitig wieder einschaltet, ist ein Test für die Notfallprozeduren. Wird der Ausfall überhaupt rechtzeitig bemerkt? Wird das an den Richtigen gemeldet? Kann der dann schnell genug eingreifen? Wenn sein Zugriff per Browser z. B. an ein bestimmtes Gerät, etwa das dienstliche Notebook, gebunden ist, dann kann schon der Wochenendeinkauf alle zeitlichen Chancen nehmen.

Es ist zu hoffen, dass die Netze, in denen Rittal-Kunden diese Geräte betreiben, gut gesichert waren und sind und dass Rittal bei seinen Kunden schnell nachgebessert hat. Die gar nicht so neue Erkenntnis aus diesem und vergleichbaren Fällen ist, dass Gebäudetechnik und ebenso die Sicherheitstechnik von IT durchdrungen sind. Dadurch haben sie mit den typischen IT-Problemen zu kämpfen: zu komplexe Software und ehrgeizige Produktzyklen reißen immer wieder gravierende Sicherheitslücken in allen möglichen Produkten auf, denen durch IT ein Mehrwert spendiert werden soll. Diese Probleme können – wie im geschilderten Fall – alle konventionellen Sicherheitsmaßnahmen aushebeln. Der dringende Rat des Sicherheits-Berater: „Cyber-Sicherheit“ von Gebäuden muss in die Überlegungen und Prüfungen aller Verantwortlichen einbezogen werden.

Schwerpunkte:

Ausgabe 22/2019

Meist gelesen