Siemens-Bugfix «reine Alibi-Übung»

Vor Kurzem haben Forscher von NSS Labs bedenkliche Sicherheitslücken in den Scada-Steuerungssystemen (Supervisory Control and Data Acquisition) für Industrieanlagen von Siemens entdeckt und aus Rücksicht auf die Folgen einer Veröffentlichung auf eine Offenlegung verzichtet (Computerworld.ch berichtete). Inzwischen hat Siemens zwar angekündigt, die Löcher zu stopfen. Das geht den Sicherheitsforschern allerdings zu wenig weit. Sie werfen der Firma vielmehr vor, die Tragweite der gefundenen Lücken herunterzuspielen. «Die Löcher sind weitreichend und betreffen jede Industrienation auf der Welt», schreibt Dillon Beresford von NSS Labs im Diskussionsforum Scadasec. So behauptet Siemens, die Bugs könnten von «typischen Hackern» nicht ausgenutzt werden, weil sie von NSS Labs «unter Laborbedingungen und unter unbeschränktem Zugang zu den entsprechenden Protokollen» entdeckt wurden. Dies sei schlicht falsch, meint Beresford. Er sei den Bugs in seiner Wohnung auf die Schliche gekommen. «Die Schwächen sind sehr wohl von einem typischen Hacker ausnutzbar. Schliesslich konnte ich den Code knacken, in dem ich ihn in einige Hilfsmodule von Metasploit packte», schreibt der Sicherheitsexperte weiter. Zudem sei der von Siemens gebotene Fix ein Witz. «Ich konnte die Siemenslösung innerhalb von 45 Minuten umgehen», behauptet Beresford. Das Vorgehen von Siemens sei reine «Schadensbegrenzung» und eine Alibi-Übung: «Ich erwarte mehr von einer 80-Milliarden-Dollar-Firma und deren Kunden übrigens auch», moniert er. Es sei für ihn als Sicherheitsforscher sehr unbefriedigend, wenn ein Konzern wie Siemens auf seinen Hinweis hin so reagiere, schliesst er seine Klage.