Sicherheitslücken bei Versorgungseinrichtungen
Das Bostoner Unternehmen Core Security Technologies hat die Sicherheitslücke entdeckt und gegenüber Associated Press erläutert; gleichzeitig wurde eine Warnung herausgegeben.
Bei dem betroffenen Programm handelt es sich um ein Produkt namens CitectSCADA. Seit letzter Woche gibt es einen Patch, fünf Monate, nachdem Core Security den Hersteller Citect über das Problem informiert hatte.
Dafür, dass irgendjemand die Lücke in der Zwischenzeit genutzt hätte, gibt es keine Anzeichen; es ist allerdings nicht klar, ob alle Citec-Kunden den Patch bereits installiert haben. Betroffen sind unter anderem eine große pharmazeutische Produktionsanlage in Deutschland, Erdgas-Pipelines in Chile, Kupfer- und Diamantenminen in Australien und Botswana und Wasser-Kläranlagen in den USA.
Ein erfolgreicher Angriff auf das so genannte Supervisory Control and Data Acquisition (SCADA)-System setzt zwar voraus, dass es über eine Internet-Verbindung verfügt, was zwar den Regeln widerspricht, aber trotzdem vorkommen kann, wenn Rechner zur Kontrolle des Systems und solche mit Internet-Zugang am selben Router hängen. [gk]