Industrie-Software: Siemens stoppt Hack-Präsentation

Das Thema war dann wohl doch zu brisant: Auf der Sicherheitskonferenz Takedown haben zwei Forscher in letzter Minuten einen Vortrag abgesagt, mit dem sie präsentierten wollten, wie sich kritische Infrastrukturen angreifen lassen. Doch Siemens und die US-Behörden schritten ein.

“Wir wurden sehr freundlich gebeten, davon abzusehen, die Informationen zu diesem Zeitpunkt preiszugeben”, sagte Dillon Beresford, Sicherheitsanalyst bei NSS Labs, gegenüber unserer US-Schwesterpublikation CNET. “Ich habe selbst entschieden, dass dies im Interesse der Sicherheit ist.”
Beresford wollte gemeinsam mit seinem Kollegen Brian Meixell einen Angriff demonstrieren. Die Präsentationsunterlagen sollten anschließend zusammen mit anderen Informationen an Siemens, das ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) und das Idaho National Lab gehen.

Grundlage des Angriffs wäre eine ernsten Schwachstelle gewesen, in einer Software die weltweit in der Öl-, Gas-, Wasser- und Energiewirtschaft zum Einsatz kommt. Auch Fertigungsanlagen sollen nach Angaben des ICS-CERT betroffen sein. Die Sicherheitslücke steckt in der Scada-Software Genesis32 sowie BizViz von Iconics. Scada steht für “Supervisory Control And Data Acquisition”. Über die Lücke lässt sich Schadcode einschleusen und ausführen. Angreifer können so die Kontrolle über ein System übernehmen.

“Die Kombination aus traditionellen Exploits und Industriekontrollsystemen erlaubt es Angreifern, Schadcode als Waffe einzusetzen – wie das Beispiel Stuxnet gezeigt hat”, hatten Beresford und Meixell in einer Ankündigung zu ihrem Vortrag geschrieben. “Wir werden zeigen, wie motivierte Angreifer auch ohne staatliche Unterstützung sogar in die am besten gesicherten Einrichtungen der Welt eindringen können. Wir werden auch demonstrieren, wie man Malware für Industrieanlagen schreibt, ohne Zugriff auf die Zielsysteme zu haben.”