Contact
QR code for the current URL

Story Box-ID: 905406

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Ms Felicitas Kraus +49 30 3030808914
Company logo of 8com GmbH & Co. KG

Innsbrucker Gondelbahn mit gravierenden Sicherheitslücken

(PresseBox) (Neustadt an der Weinstraße, )
Sicherheitsforscher haben im Netz ein Lehrstück entdeckt, wie man es besser nicht macht. Statt Best Practice in Punkto IT-Sicherheit hat die Betreibergesellschaft einer Seilbahn in der Nähe von Innsbruck nämlich ein wahres Worst-Practice-Beispiel abgeliefert. Und dabei war die hochmoderne Gondelbahn gerade erst Ende 2017 eröffnet worden. Pro Stunde soll sie 2.000 Besucher zum Gipfel transportieren. Offensichtlich wurde allerdings die neue Fernwartungsanlage nicht auf Herz und Nieren überprüft. Bei einem routinemäßigen Scan des Internets nach verwundbaren Anlagen, ist den beiden White-Hat-Hackern Sebastian Neef und Tim Philipp Schäfers vom Projekt Internetwache.org die Patscherkofeler Bahn aufgefallen.

Nicht nur war die Steuerungsanlage der neuen Gondelbahn auf den Patscherkofel ohne Sicherheitsmaßnahmen im Netz zu finden, wodurch ein Hacker sie wohl ohne Weiteres hätte übernehmen können, sondern auch die Steuerkommandos wurden unverschlüsselt gesendet. Die Innsbrucker Kommunalbetriebe als Betreiber sollen auf eine alte Steuer-Software namens Connect des Gondelbauers Doppelmayr vertraut haben. Der Geschäftsführer der Patscherkofelbahn, Martin Baltes, bestätigte, dass man „kurzfristig die Daten einsehen konnte“. Dies sei aber nicht eine Sache des Betreibers, sondern der Herstellerfirma, also der Firma Doppelmayr. Kurz nach Bekanntwerden der Sicherheitslücke versuchte sich das Unternehmen noch in Schadensbegrenzung. Ein Sprecher von Doppelmayr äußerte sich gegenüber golem.de wie folgt: "Es hat nie in Sicherheitsproblem gegeben, die Steuerung der Bahn war auf diesem Weg nicht möglich."

Die beiden Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers, die das Sicherheitsleck entdeckten, sehen das allerdings völlig anders. Der Zugang zu Bedienelementen wie Fahrtrichtung oder Sicherheitsabstand stand ihnen anscheinend offen. Auch die Steuerung der Notbremse sei einsehbar gewesen. Ausprobiert haben das die zwei Computerexperten allerdings nicht, da die Gondelbahn zum Zeitpunkt der Entdeckung der Sicherheitslücke in Betrieb war. Die beiden Hacker teilten den Fund der Sicherheitslücke gleich am 16. März 2018 dem zuständigen CERT mit. Das eigentliche Problem war aber, dass die Steuerkommandos völlig unverschlüsselt, also ohne den Einsatz von TSL gesendet wurden. Offensichtlich war eine Authentifizierung in dem System nicht vorgesehen, außerdem ist die Webapplikation anscheinend für Cross-Site-Scripting (XSS) anfällig. Die Schwachstelle ist wohl schon länger bekannt. Bereits 2016 hatten Neef und Schäfer den Systemintegrator Certec über die Schwachstelle informiert. Geschehen ist aber offensichtlich nichts. Laut Neef und Schäfer kommt es nicht selten vor, dass Betreiber von unzureichend konfigurierten IoT-Geräten versuchen, die Bedeutung von Sicherheitslücken herunterzuspielen. Oftmals wird scheinbar ein Schaden billigend in Kauf genommen.

Einen Tag nach der Entdeckung soll die Lücke von den Verantwortlichen geschlossen worden sein. Bevor die Anlage im Sommer wieder in Betrieb geht, wollen die Innsbrucker Kommunalbetriebe ein Sicherheitskonzept vorlegen.

Website Promotion

Website Promotion
Götz Schartner IT-Security-Blog

8com GmbH & Co. KG

Mit ihrem Cyber Security Center schützt die 8com die digitalen Infrastrukturen ihrer Kunden effektiv vor Cyber-Angriffen. Es beinhaltet nicht nur ein Security Information and Event Management (SIEM), ein Vulnerability Management sowie professionelle Penetrationstests, sondern auch den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management gehören ebenfalls zum Angebot.

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 14 Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.