Infrastuktur-Gefahr

Experten warnen: Siemens-Systeme leicht zu hacken

(Bild: APA/BARBARA GINDL)

Eine amerikanische IT-Firma warnt vor Sicherheitslücken in Steuerungssystemen von Siemens. Der Softwarefehler erlaube es Hackern, die Kontrolle über Elektrogeneratoren und andere Infrastruktur wie die Wasserversorgung zu übernehmen, teilte die Firma NSS Labs in der Nacht zum Dienstag mit. Siemens widerspricht den Vorwürfen.

Die Manipulation der randständigen, programmierbaren Steuerung sei nur in einer künstlichen Laborsituation möglich, sagte ein Siemens-Sprecher. Lediglich wenn die IT-Sicherheitsschranken überwunden seien, könne die Software so attackiert werden, dass sie in einen Sicherheitsmodus fahre und sich abschalte.

"In der Praxis sind beim Einsatz von normaler IT-Sicherheit die Schwachstellen ohne Belang." Die automatische Abschaltung sei Teil der Funktion des Systems und kein Fehler. "Es besteht keine Gefahr für die Anlage, es besteht keine Gefahr für Leib und Leben."

Angeblich gravierendes Problem
Nach Darstellung von NSS-Experte Dillon Beresford handelt es sich bei der jüngsten von ihm diagnostizierten Sicherheitslücke um ein gravierendes Problem. Jede Industrienation sei davon betroffen. Siemens informiere die Kunden nicht über das erhöhte Risiko, kritisierte er.

Industrie könnte betroffen sein
Die Steuerungssoftware wird in Teilbereichen vor allem von Industrieprozessen eingesetzt. Sie erfasst und regelt etwa Außenparameter wie Temperatur, Druck oder Drehzahlen von Motoren. Mit dem Industrievirus Stuxnet, der vor einigen Monaten um die Welt zog, hat die angebliche Schwachstelle Siemens zufolge nichts zu tun. Das hochkomplexe Schadprogramm war unvermittelt aufgetaucht und nutzte eine Sicherheitslücke in der Industrieversion von Microsofts Windows-Betriebssystem, um Siemens-Steuerungen manipulieren zu können.

Die Anlagenkonstellation, auf die der Virus abzielte, war den Siemens-Experten zufolge allerdings so speziell, dass er kaum nachweisbaren Schaden anrichtete. Allerdings wurde eine Attacke auf das iranische Atomprogramm von Experten Stuxnet zugeschrieben. Es folgte eine große Debatte um gezielte Hackerangriffe auf Unternehmen und Staaten unter dem Schlagwort Cyberwar (siehe Infobox).

Sicherheitslücken als lukratives Geschäftsfeld
Das Aufdecken von tatsächlichen oder vermeintlichen Sicherheitslücken hat sich vor allem in den USA zu einem florierenden Geschäftszweig für kleinere und mittlere Firmen entwickelt. NSS Labs verdient einen Teil seines Geldes mit Beratungsleistungen für Firmen im Zusammenhang mit IT-Sicherheit. In seiner jüngsten Mitteilung mahnt Beresford Siemens zur Eile. "Die Uhr tickt und es kommt nun auf Schnelligkeit an."