CybersicherheitSicherheitslücke in SPS von Siemens
Quelle:
Team 82
Mit einem aufwendigen Angriff könnte der fest kodierten Kryptoschlüssel der Siemens-SPS in die Hände von Cyberkriminellen fallen. Damit würden sie die vollständige Kontrolle über jede SPS der entsprechenden Produktlinie erlangen.
Neben der SPS ist auch das TIA-Portal von Siemens betroffen.
(Bild: WhataWin - stock.adobe.com)
Sicherheitsforscher haben eine Sicherheitslücke in der Siemens-SPS SIMATIC S7-1200 und S7-1500 entdeckt. Laut einer Mitteilung könnten Angreifer den hartkodierten kryptografischen Schlüssel extrahieren. Damit seien Attacken auf die gesamte Produktlinie möglich. Siemens hat bereits mit einem Update für die SPS reagiert und empfiehlt allen Anwendern eine sofortige Aktualisierung.
Mithilfe des Schlüssels können Cyberkriminelle laut Team 82 einen eigenen Client für die SPS entwickeln und damit eigene Up- und Downloads durchführen. Auch der Netzwerkverkehr könnte damit eingesehen und sogar verändert werden.
Hintergrund ist die veraltete Sicherheitstechnik rund um hartkodierte kryptografische Schlüssel. Siemens habe diese vor knapp zehn Jahren eingeführt. Seitdem haben jedoch Fortschritte in der Technologie, der Sicherheitsforschung und eine sich rasch verändernde Bedrohungslandschaft solche fest kodierten Kryptoschlüssel zu einem inakzeptablen Risiko gemacht, so die Sicherheitsforscher. Dieser Meinung schließt sich Siemens an. Das Unternehmen hat angekündigt, mehr Ressourcen und Zeit in die Einführung einer dynamischen Public-Key-Infrastruktur zu investieren, die in den aktuellen Updates schon verfügbar ist. Dies mache die Verwendung von hartkodierten Schlüsseln überflüssig.
Dieser Artikel stammt von unserem Partnerportal MaschinenMarkt.
(ID:48661158)
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/8d/eb8de8b6eacbb2f327e0c0a0f464e367/0107848271.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2022. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/40/22/4022ae599e7342948df8e75a6717775a/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/a8/79a897e6a2b1371bc92e9152a13ad7d3/0114285277.jpeg "Die Ergebnisse des Projekts sollen anhand von Demonstratoren aus dem Bereich der Gebäudetechnik veranschaulicht werden. Blick in die mit intelligenten, vernetzten Technologien ausgestattete Wohnumgebung im Bremen Ambient Assisted Living Lab (BAALL) des DFKI-Forschungsbereichs Cyber-Physical Systems. (Bild: Annemarie Popp - DFKI)")
:quality(80)/p7i.vogel.de/wcms/67/df/67dfa540f84cb08d5f3f4b4ce273b9d7/0114194906.jpeg "Das Motto der Teradata-Konferenz lautete „Fuel the Future“. (Bild: © Josh Caius Photographer https://www.joshcaiusphotography.com/)")
:quality(80)/p7i.vogel.de/wcms/94/5f/945f050c43431520ca5fbdf548cde25b/0114213051.jpeg "Zwei richtig nette Milliardäre: Satya Nadella (links), Chairman und CEO von Microsoft, und Larry Ellison, Chairman und CTO von Oracle. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/cd/56/cd5615931e927fa3ed7d04ff36903047/0112857924.jpeg "Der Autor: Christopher Keller ist Director Big Data Analytics & IoT bei IT-Novum (Bild: IT-Novum)")
:quality(80)/p7i.vogel.de/wcms/d3/a5/d3a52c6bcaf08b7b1fe1c503ccbd0baf/0113966083.jpeg "Ordnung ist das halbe Leben – dieser Grundsatz gilt auch beim Datenmanagement. (Bild: © – Marco Martins – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/6c/1a6c2273aa71a82babd1fad8f2a44462/0113940781.jpeg "Paul Codding, Executive Vice President of Product Management von Cloudera (Bild: Cloudera)")
:quality(80)/p7i.vogel.de/wcms/84/21/8421958f12c21fd54f3f4d42206565aa/0113953229.jpeg "Obwohl viele Geräte, Anlagen und Maschinen schon ab Werk mit Sensoren ausgestattet sind, die Zustands-, Nutzungs- und Funktionsdaten erfassen, dürfen oder können sie oft nicht in das Unternehmensnetzwerk des Herstellers oder Anwenders eingebunden werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9f/39/9f39a3fdc327a4666968706cc7d5134e/0113892497.jpeg "Qliks DPM-Dashboard liiefert den WHO-Mitgliedsländern Informationen zu ihrer Krisenfestigkeit. (Bild: Qlik)")
:quality(80)/p7i.vogel.de/wcms/95/07/9507ac07f8caab380cd877baf234db08/0112787398.jpeg "Der Autor: Christian Steiger ist Geschäftsführer von Lexware & Gründer von Lexoffice (Bild: Lexware)")
:quality(80)/p7i.vogel.de/wcms/85/85/8585c461cf1932d7360dddcea6978060/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/c8/a2/c8a2ebaafd42f2ebbdd7290aa32b117e/0113113482.jpeg "Feifei Li ist President of Database Products Business bei Alibaba Cloud Intelligence. (Bild: Alibaba Cloud)")
:quality(80)/p7i.vogel.de/wcms/07/5a/075a208a63907f0b442dcc700e09d010/0114285596.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/d7/aa/d7aa000da6197fb08b0cda53919e6874/0112797046.jpeg "Neo4j bietet gemeinsam mit O'Reilly einen Leitfaden zu Knowledge Graphen als kostenloses E-Book an. (Bild: O'Reilly)")
:quality(80)/p7i.vogel.de/wcms/bf/0c/bf0cff653a5037f45a297ec0fa76edca/0112465984.jpeg "Der Autor: Dr. Michael Zimmer ist Chief Data Officer der Zurich Gruppe Deutschland (Bild: Zurich Gruppe Deutschland)")
:quality(80)/p7i.vogel.de/wcms/a9/7b/a97b8e0b28387c7a423ea44bff36d627/0112724937.jpeg "Oracle hat ein kostenloses Schulungs- und Zertifizierungsprogramm gestartet. (Bild: frei lizenziert © PublicDomainPictures / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/5d/855dde5f0f6d58ea36fe1a3c7eb2dbad/0114345250.jpeg "PAC hat Siemens außerdem als „Best-in-Class“-Plattformanbieter in den Kategorien „Industrielle Cloud-Anwendungen“ und „Industrial-Edge-Management“ sowie als „Leading Edge“ für Nachhaltigkeitsplattformen ausgezeichnet. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/45/3345970c919f431e4d1e54f82516678b/0114243832.jpeg "Mithilfe von Nvidia Omniverse und KI entwickelt Mercedes-Benz einen vernetzten, digitalen Ansatz zur Optimierung seiner Fertigungsprozesse, um die Konstruktionszeit und die Produktionskosten zu reduzieren. (Bild: Mercedes-Benz)")
:quality(80)/p7i.vogel.de/wcms/6c/5a/6c5ab0b866efc2e63d9ce8806c6059f1/0113185034.jpeg "Der Autor: Frank Föge ist Head of Sales bei Nitrobox (Bild: Nitrobox)")
:quality(80)/p7i.vogel.de/wcms/a0/50/a050c02fd6e1f614e651f287b9662783/0113774593.jpeg "Neue Sensorplattform für IoT-Anwendungen soll Netzwerke sicherer machen! Blick in die mit „intelligenten“, vernetzten Systemen ausgestattete Wohnumgebung im Bremen Ambient Assisted Living Lab (BAALL) des DFKI-Forschungsbereichs Cyber-Physical Systems. (Bild: DFKI / A. Popp)")
:quality(80)/p7i.vogel.de/wcms/48/c6/48c664ec54992042dae44ff3d6ac7bc6/0113831365.jpeg "In der Europäischen Union gelten kontinuierlich lernende KI-Systeme nicht als Medizinprodukt. Das sei Innovationshemmend, sagt die Deutsche Gesellschaft für Biomedizinische Technik im VDE. (Bild: Vicki Hamilton)")
:quality(80)/p7i.vogel.de/wcms/69/eb/69eb3097d3b076d2485935a1d8b25c61/0113831356.jpeg "KI spiegelt Vorurteile und fehlerhafte oder unvoollständige Trainingsdaten wider und sollte deshalb stetig getestet werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/69/c7/69c79b6e08c387a55f1671b14d533477/0114346770.jpeg "Eine Koordinatendarstellung der Herzkammer. Mit Methoden des maschinellen Lernens lässt sich der Ursprungsort eines sogenannten Herzstolperns lokalisieren. (Bild: Dr. Axel Loewe, KIT)")
:quality(80)/p7i.vogel.de/wcms/49/fa/49fa0955e56fcfbdc67ef0d8237d1dc3/0113924409.jpeg "Der Autor: Ryan Chaves ist Data Science & ML Engineering Manager bei Mollie, einem Finanzdienstleister für B2C- und B2B-Unternehmen in Europa. (Bild: Mollie)")
:quality(80)/p7i.vogel.de/wcms/a7/ae/a7aee2a930aefdc6889e94e8139e9984/0113977910.jpeg "Der Druck zum Einsatz generativer KI ist deutlich spürbar. (Bild: Teradata)")
:quality(80)/p7i.vogel.de/wcms/e4/8f/e48fab778d734c3ea7b6a9bed562abc4/0113989265.jpeg "Der Einsatz von KI spart kleinen und mittleren Unternehmen Arbeitszeit ein, vor allem im Marketing. Das fand eine Umfrage von Constant Contact heraus. (Bild: DailyAI.com)")
:quality(80)/p7i.vogel.de/wcms/32/a9/32a9fe6fb0019c400b3193b792b18b6d/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/bd/8dbdac43fa5fecd7b4cbc962c3e9ea9d/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/57/87573e67b278e90c00928403cbdf9300/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/d8/c7d80f1f73d72c9ae6413b3f2e71860c/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/32/5c321de25a26db069b8fbd10933f89ad/0110997829.jpeg "Cedrik Neike, Mitglied des Vorstands der Siemens AG und CEO Digital Industries (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/0e/d5/0ed570e411db9b1388213545f1b5dcb1/0108279073.jpeg "Auf der SPS 2022 zeigt Siemens, wie das Unternehmen die Integration von IT und OT voranbringen möchte. (Bild: Siemens)")