Sicherheitsforscher haben im Netz ein Lehrstück entdeckt, wie man es besser nicht macht. Statt Best Practice in Punkto IT-Sicherheit hat die Betreibergesellschaft einer Seilbahn in der Nähe von Innsbruck nämlich ein wahres Worst-Practice-Beispiel abgeliefert. Und dabei war die hochmoderne Gondelbahn gerade erst Ende 2017 eröffnet worden. Pro Stunde soll sie 2.000 Besucher zum Gipfel transportieren. Offensichtlich wurde allerdings die neue Fernwartungsanlage nicht auf Herz und Nieren überprüft. Bei einem routinemäßigen Scan des Internets nach verwundbaren Anlagen, ist den beiden White-Hat-Hackern Sebastian Neef und Tim Philipp Schäfers vom Projekt Internetwache.org die Patscherkofeler Bahn aufgefallen.
Nicht nur war die Steuerungsanlage der neuen Gondelbahn auf den Patscherkofel ohne Sicherheitsmaßnahmen im Netz zu finden, wodurch ein Hacker sie wohl ohne Weiteres hätte übernehmen können, sondern auch die Steuerkommandos wurden unverschlüsselt gesendet. Die Innsbrucker Kommunalbetriebe als Betreiber sollen auf eine alte Steuer-Software namens Connect des Gondelbauers Doppelmayr vertraut haben. Der Geschäftsführer der Patscherkofelbahn, Martin Baltes, bestätigte, dass man „kurzfristig die Daten einsehen konnte“. Dies sei aber nicht eine Sache des Betreibers, sondern der Herstellerfirma, also der Firma Doppelmayr. Kurz nach Bekanntwerden der Sicherheitslücke versuchte sich das Unternehmen noch in Schadensbegrenzung. Ein Sprecher von Doppelmayr äußerte sich gegenüber golem.de wie folgt: "Es hat nie in Sicherheitsproblem gegeben, die Steuerung der Bahn war auf diesem Weg nicht möglich."
Die beiden Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers, die das Sicherheitsleck entdeckten, sehen das allerdings völlig anders. Der Zugang zu Bedienelementen wie Fahrtrichtung oder Sicherheitsabstand stand ihnen anscheinend offen. Auch die Steuerung der Notbremse sei einsehbar gewesen. Ausprobiert haben das die zwei Computerexperten allerdings nicht, da die Gondelbahn zum Zeitpunkt der Entdeckung der Sicherheitslücke in Betrieb war. Die beiden Hacker teilten den Fund der Sicherheitslücke gleich am 16. März 2018 dem zuständigen CERT mit. Das eigentliche Problem war aber, dass die Steuerkommandos völlig unverschlüsselt, also ohne den Einsatz von TSL gesendet wurden. Offensichtlich war eine Authentifizierung in dem System nicht vorgesehen, außerdem ist die Webapplikation anscheinend für Cross-Site-Scripting (XSS) anfällig. Die Schwachstelle ist wohl schon länger bekannt. Bereits 2016 hatten Neef und Schäfer den Systemintegrator Certec über die Schwachstelle informiert. Geschehen ist aber offensichtlich nichts. Laut Neef und Schäfer kommt es nicht selten vor, dass Betreiber von unzureichend konfigurierten IoT-Geräten versuchen, die Bedeutung von Sicherheitslücken herunterzuspielen. Oftmals wird scheinbar ein Schaden billigend in Kauf genommen.
Einen Tag nach der Entdeckung soll die Lücke von den Verantwortlichen geschlossen worden sein. Bevor die Anlage im Sommer wieder in Betrieb geht, wollen die Innsbrucker Kommunalbetriebe ein Sicherheitskonzept vorlegen.
Nicht nur war die Steuerungsanlage der neuen Gondelbahn auf den Patscherkofel ohne Sicherheitsmaßnahmen im Netz zu finden, wodurch ein Hacker sie wohl ohne Weiteres hätte übernehmen können, sondern auch die Steuerkommandos wurden unverschlüsselt gesendet. Die Innsbrucker Kommunalbetriebe als Betreiber sollen auf eine alte Steuer-Software namens Connect des Gondelbauers Doppelmayr vertraut haben. Der Geschäftsführer der Patscherkofelbahn, Martin Baltes, bestätigte, dass man „kurzfristig die Daten einsehen konnte“. Dies sei aber nicht eine Sache des Betreibers, sondern der Herstellerfirma, also der Firma Doppelmayr. Kurz nach Bekanntwerden der Sicherheitslücke versuchte sich das Unternehmen noch in Schadensbegrenzung. Ein Sprecher von Doppelmayr äußerte sich gegenüber golem.de wie folgt: "Es hat nie in Sicherheitsproblem gegeben, die Steuerung der Bahn war auf diesem Weg nicht möglich."
Die beiden Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers, die das Sicherheitsleck entdeckten, sehen das allerdings völlig anders. Der Zugang zu Bedienelementen wie Fahrtrichtung oder Sicherheitsabstand stand ihnen anscheinend offen. Auch die Steuerung der Notbremse sei einsehbar gewesen. Ausprobiert haben das die zwei Computerexperten allerdings nicht, da die Gondelbahn zum Zeitpunkt der Entdeckung der Sicherheitslücke in Betrieb war. Die beiden Hacker teilten den Fund der Sicherheitslücke gleich am 16. März 2018 dem zuständigen CERT mit. Das eigentliche Problem war aber, dass die Steuerkommandos völlig unverschlüsselt, also ohne den Einsatz von TSL gesendet wurden. Offensichtlich war eine Authentifizierung in dem System nicht vorgesehen, außerdem ist die Webapplikation anscheinend für Cross-Site-Scripting (XSS) anfällig. Die Schwachstelle ist wohl schon länger bekannt. Bereits 2016 hatten Neef und Schäfer den Systemintegrator Certec über die Schwachstelle informiert. Geschehen ist aber offensichtlich nichts. Laut Neef und Schäfer kommt es nicht selten vor, dass Betreiber von unzureichend konfigurierten IoT-Geräten versuchen, die Bedeutung von Sicherheitslücken herunterzuspielen. Oftmals wird scheinbar ein Schaden billigend in Kauf genommen.
Einen Tag nach der Entdeckung soll die Lücke von den Verantwortlichen geschlossen worden sein. Bevor die Anlage im Sommer wieder in Betrieb geht, wollen die Innsbrucker Kommunalbetriebe ein Sicherheitskonzept vorlegen.
