Produktionsleiter.today Produktionsleiter.today
  • Top Themen
  • Fertigung
  • Industrie 4.0
  • Industrieservice
  • Whitepaper
  • Logistyx Content Hub
    On-Demand-Webinar: Wie Sie in Krisenzeiten die Risiken für die Supply Chain mindern

    On-Demand-Webinar: Wie Sie in Krisenzeiten die Risiken für die Supply Chain mindern

    Markenhersteller impfen ihre Lieferketten gegen das Coronavirus

    Markenhersteller impfen ihre Lieferketten gegen das Coronavirus

    Logistik Trends 2020 – die radikalen Veränderungen im Industriesektor

    Logistik Trends 2020 – die radikalen Veränderungen im Industriesektor

    Ist Ihr Omni-Channel-Fulfillment dem Weihnachtsgeschäft gewachsen?

    Ist Ihr Omni-Channel-Fulfillment dem Weihnachtsgeschäft gewachsen?

  • Veranstaltungen
Go to...

    GAI NetConsult zeigt aktuelle Schwachstellen in der ICS-Sicherheit auf

    Laura LangerLaura Langer
    September 16, 2015

    Der Sicherheits-Spezialist recherchiert als Service für Hersteller und Nutzer von Industrial Control Systems (ICS) aktuelle Schwachstellen und gibt Lösungshinweise.

    GAI NetConsult zeigt aktuelle Schwachstellen in der ICS-Sicherheit auf

    GAI NetConsult informiert über ICS-Schwachstellen.

    Berlin, 16.09.2015 – In der aktuellen Ausgabe ihres Security Journals zeigt die GAI NetConsult erneut Schwachstellen in der Absicherung von Steuerungs- und Automatisierungssystemen (Industrial Control Systems – ICS) auf. Aktuell wird auf Schwachstellen in Geräten und Komponenten von Siemens (SICAM MIC, RuggedCom und SIPROTEC), OSIsoft (PI Data Archive) und Schneider Electric (Modicom) hingewiesen.

    Die Informationen über Schwachstellen im ICS-Bereich sind nirgendwo zentral abzurufen, weshalb die Verantwortlichen vor enormen Problemen stehen und kaum den Überblick über alle bekannt gewordenen Schwachstellen behalten können. Als Spezialist für ICS-Sicherheit beobachtet und bewertet die GAI NetConsult deshalb seit einiger Zeit aktuelle Schwachstellen, Sicherheitsvorfälle und Nutzerhinweise der ICS-Hersteller. Hierzu werden regelmäßig unter Leitung des anerkannten ICS-Experten Dr. Stephan Beirer viele öffentlich zugängliche Quellen gesichtet und ausgewertet.

    In der dezidierten Kolumne „ICS Security News“ ihres Security Journals fasst die GAI NetConsult deshalb für Hersteller und Betreiber von Industrial Control Systems die aus ihrer Sicht wichtigsten Schwachstellen und Neuigkeiten aus dem ICS-Bereich zusammen. Dabei werden die Sicherheitsrisiken nicht nur detailliert beschrieben und erklärt, sondern auch – sofern vorhanden – konkrete Tipps zur Abhilfe angeboten. Den davon betroffenen Betreibern wird nahegelegt, auf diese Hinweise möglichst schnell zu reagieren.

    Im aktuellen Security Journal #80 werden folgende Schwachstellen beleuchtet:

    Authentisierungs-Schwachstelle in Siemens SICAM MIC
    Ein Angreifer mit physischem Zugang zum Netzwerk des Siemens MIC-Controllers (ehem. TM 1703 MIC) kann eine Authentisierung-Schwachstelle in der Webanwendung über Netzwerkport 80 ausnutzen und administrative Funktionen ohne Authentisierung ausführen.

    „TLS POODLE“-Schwachstelle in Siemens RuggedCom (ROS-/ROX- basiert)
    Trotz der Verwendung von TLS über Netzwerkport 443 sind die betroffenen Produkte anfällig für die POODLE-Schwachstelle, die grundsätzlich für die SSL-Version 3 existiert. Der Grund dafür ist, dass die TLS-Implementierung entgegen der TLS-Spezifikation Füll-Bytes nicht vollständig auf Korrektheit verifiziert und sich somit in diesem Punkt nicht von der SSL-Version 3 unterscheidet. Die Schwachstelle POODLE ermöglicht die teilweise Extraktion von sensiblen Daten einer SSL-Verbindung, z.B. von administrativen Zugangsdaten.

    Denial-of-Service-Schwachstelle in Siemens SIPROTEC
    Ein Angreifer kann durch speziell präparierte TCP-Netzwerkpakete auf Port 50000/UDP das System zum Stillstand bringen (Denial-of-Service-Angriff).

    Mehrere Schwachstellen in OSIsoft PI Data Archive
    Es wurden insgesamt 56 Schwachstellen identifiziert, darunter unter anderem: Unzureichende Validierung von Eingabedaten; die Software wird nicht mit minimalen Rechten ausgeführt; Preisgabe sensibler Informationen; Denial-of-Service Schwachstellen/ NULL Pointer Dereference; Schwachstellen im Session Management.

    Unbestätigte Schwachstellen in Schneider Electric Modicon M340 PLC Station P34 Modul
    Es existieren öffentliche Berichte zu mehreren Schwachstellen in den betroffenen Produkten, die allerdings vom Hersteller Schneider Electric noch nicht bestätigt wurden. Die folgenden Schwachstellen werden genannt: Hartkodierte Zugangsdaten in der Software, so dass ein Angreifer diese auslesen und zur Ausführung von beliebigem Programmcode auf dem betreffenden System nutzen kann; „Local file inclusion“-Schwachstelle, die es einem Angreifer erlaubt, ohne eine Authentisierung auf beliebige Dateien des Systems zuzugreifen (Directory Traversal) oder beliebige Dateien zu manipulieren; „Remote file inclusion“-Schwachstelle, die es einem Angreifer erlaubt, beliebigen Programmcode aus der Ferne auf dem System auszuführen oder das Gerät zum Absturz zu bringen.

    Zusammen mit Lösungsempfehlungen sind diese Schwachstellen im aktuellen Security Journal der GAI NetConsult detaillierter beschrieben. Gerne stehen die Experten auch für individuelle Rückfragen zur Verfügung. „Die ständige Beobachtung und Bewertung von Schwachstellen, Sicherheitsvorfällen und Nutzerhinweisen gehören zu unserer täglichen Arbeit“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Durch die wachsende Bedrohungslage wird auch mit Blick auf Industrie 4.0 eine schnelle Weitergabe dieser Informationen immer wichtiger. Aus diesem Grund haben wir die Rubrik ICS Security News in unserem kostenlosen Security-Journal ins Leben gerufen.“

    Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps zum Thema Informationssicherheit. In der regelmäßig erscheinenden Kolumne „ICS Security News“ werden wichtige Sicherheitsinformationen speziell aus dem Bereich der Steuerungs- und Automatisierungssysteme weitergegeben. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal

    Details zu den Beratungsangeboten der GAI NetConsult bei den Themen Informationssicherheit im Bereich Kritischer Infrastrukturen, sichere Prozessdatenverarbeitung und Industrie 4.0 mit Dienstleistungen wie Sicherheitsaudits, Umsetzung des bdew Whitepapers oder der ISO 27001 sowie ISMS-Einführungen finden Sie hier: https://www.gai-netconsult.de/index.php?id=12

    Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
    In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem BDEW Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der DIN ISO/IEC 27019 mit.
    Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
    Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

    Firmenkontakt
    GAI NetConsult GmbH
    Detlef Weidenhammer
    Am Borsigturm 58
    D-13507 Berlin
    +49 30 / 41 78 98 – 0
    info@gai-netconsult.de
    http://www.gai-netconsult.de

    Pressekontakt
    bloodsugarmagic GmbH & Co. KG
    Bernd Hoeck
    Gerberstr. 63
    78050 Villingen-Schwenningen
    0049 7721 9461 220
    GAINetConsult@bloodsugarmagic.com
    www.bloodsugarmagic.com

    Tags : BSI-Audit, ICS Security, ICS-Sicherheit, Industrial Control Systems, Informationssicherheitsmanagementsystem, ISMS, ISO 27001, ISO/IEC 27019, Leittechnik, Leittechnik Security, Sicherheitsaudit
    Laura Langer

    Laura Langer

    Laura ist als Junior Marketing Manager bei Business Today Network tätig. Zuletzt machte Sie Ihren Master-Abschluss in BWL mit Schwerpunkt Marketing.

    Industrie 4.0

    • Trends in der Produktion: Vorbereiten auf die IIoT-Datenexplosion
      Trends in der Produktion: Vorbereiten auf die IIoT-Datenexplosion
    • Auch E-Mobility braucht klare ERP-Strukturen und Prozesse
      Auch E-Mobility braucht klare ERP-Strukturen und Prozesse
    • Transparenz und übersichtliche Analyse-Dashboards ermöglichen Fokussierung nicht nur in turbulenten Zeiten
      Transparenz und übersichtliche Analyse-Dashboards ermöglichen Fokussierung nicht nur in turbulenten Zeiten
    • Robuste Computer in der Fertigungsindustrie – Mehr Produktivität und weniger Ausfallzeiten
      Robuste Computer in der Fertigungsindustrie – Mehr Produktivität und weniger Ausfallzeiten

    Fertigung

    • „Sicher gegen Corona“ – Toyota Material Handling erhält Qualitätssiegel des TÜV Hessen
      „Sicher gegen Corona“ – Toyota Material Handling erhält Qualitätssiegel des TÜV Hessen
    • Robuste Computer in der Fertigungsindustrie – Mehr Produktivität und weniger Ausfallzeiten
      Robuste Computer in der Fertigungsindustrie – Mehr Produktivität und weniger Ausfallzeiten
    • 70% Zeitersparnis durch den Einsatz von IBM Cognos Analytics
      70% Zeitersparnis durch den Einsatz von IBM Cognos Analytics
    • Trend Lager-Automatisierung: Die fünf wichtigsten Anforderungen in der Kontraktlogistik
      Trend Lager-Automatisierung: Die fünf wichtigsten Anforderungen in der Kontraktlogistik

    Industrieservice

    • „Sicher gegen Corona“ – Toyota Material Handling erhält Qualitätssiegel des TÜV Hessen
      „Sicher gegen Corona“ – Toyota Material Handling erhält Qualitätssiegel des TÜV Hessen
    • 70% Zeitersparnis durch den Einsatz von IBM Cognos Analytics
      70% Zeitersparnis durch den Einsatz von IBM Cognos Analytics
    • Zerspanungswerkzeuge bequem online bestellen
      Zerspanungswerkzeuge bequem online bestellen
    • Steigende Werkzeugpreise in der zweiten Jahreshälfte 2020
      Steigende Werkzeugpreise in der zweiten Jahreshälfte 2020

    Newsletter abonnieren

    • Alle wichtigen News aus der Businesswelt

    • Kompakt & aktuell

    • Völlig kostenfrei

    • Abmeldung ist jederzeit möglich.


    • Melden Sie sich jetzt an:

      Vielen Dank für Ihre Registrierung! Bitte prüfen Sie Ihren Posteingang oder Spam-Ordner, um das Abonnement zu bestätigen.

    Whitepaper Downloads

    • Robuste Computer in der Fertigungsindustrie – Mehr Produktivität und weniger Ausfallzeiten
      Robuste Computer in der Fertigungsindustrie – Mehr Produktivität und weniger Ausfallzeiten
    • Logistik Trends 2020 – die radikalen Veränderungen im Industriesektor
      Logistik Trends 2020 - die radikalen Veränderungen im Industriesektor
    • Besser heute als morgen – Tipps, Tricks & Checklisten zur Einführung von ERP-Systemen
      Besser heute als morgen – Tipps, Tricks & Checklisten zur Einführung von ERP-Systemen
    • Leitfaden 3D-Druck: Welche Technologie passt zu Ihrem Unternehmen?
      Leitfaden 3D-Druck: Welche Technologie passt zu Ihrem Unternehmen?

    Menü

    • Home
    • Fertigung
    • Industrie 4.0
    • Industrieservice
    • Whitepaper
    • Veranstaltungen

    Information

    • Mediadaten
    • Newsletter abonnieren
    • Newsletter abmelden
    • Impressum
    • Datenschutz
    • AGB

    Weitere BTN Portale

    • IT-Management.today
    • Marketingleiter.today
    • Personalleiter.today
    • Netzwerk.today

    Eine Marke von

    BTN Logo
    © 2020 Produktionsleiter.today | All Rights Reserved