Siegeware

Wenn Kriminelle Ihr smartes Gebäude übernehmen

| Autor / Redakteur: Stephen Cobb* / Ann-Marie Struck

Das muss nicht so sein. Es gibt viele Ratschläge für Unternehmen, die das Risiko von Siegeware eindämmen können. Ein guter Ausgangspunkt ist etwa „Intelligent Building Management Systems: Guidance for Protecting Organizations” auf den Webseiten der ecurity Industry Association. Tatsächlich gab es mehrere „Frühwarnsignale“, die das Aufkommen von Siegeware prophezeiten. Phil Zito, Gründer und CEO von „Building Automation Monthly“ veröffentlichte bereits im Juli 2013 How to Hack a Building Automation System. Außerdem gab es zur Black Hat Asia Konferenz 2014 die Präsentation „Owning a building“ von Billy Rios. Anfang 2016 wurde Smart Building Hacking in diesem CSO-Artikel mit dem Titel „IBM’s X-Force team hacks into smart building“ dokumentiert.

Also, wie geht es nun weiter? Offensichtlich ist jetzt ein guter Zeitpunkt, um den Zustand Ihrer Gebäudeautomatisierung zu bestimmen. Wie hoch ist der Automatisierungsgrad und wie gut ist der Zugriff geschützt?

Ein wichtiger Punkt, den es an dieser Stelle zu beachten gilt, ist die Beziehung zwischen Bauherren, Hausverwaltungen und Auftragnehmern. Meine Untersuchungen deuten darauf hin, dass es für einige Auftragnehmer sehr praktisch ist, ein webbasiertes Login zu implementieren, auf das sie dann jederzeit, leicht und einfach aus der Ferne zugreifen können – oft über Smartphones und Tablets. Es ist möglich, dass der Verwalter/Eigentümer von diesen Fernzugriffen gar nichts weiß, wenn er nicht ausdrücklich danach fragt.

Wenn Sie sich also um die Möglichkeit eines Angriffs durch Siegeware sorgen, fragen Sie nach, ob es einen Fernzugriff auf das BAS des Gebäudes gibt. Versuchen Sie dann, herauszufinden, wie gut der Zugriff geschützt ist. Befindet sich der Login hinter einer Firewall? Benötigt er eine VPN-Verbindung? Ist er durch eine 2-Faktor-Authentifizierung oder nur durch ein Passwort abgesichert? Ist letzteres der Fall, sollten Sie umgehend ein Meeting einberufen, in dem Geklärt wird, wie komplex das Passwort ist und ob als absolutes Minimum eine Beschränkung der fehlgeschlagenen Login-Versuche inklusiver Sperrung implementiert wurde.

Alles „unter“ den genannten Maßnahmen bedeutet, dass das Gebäude mehr oder weniger schutzlos den Angreifern ausgeliefert ist. Da 2FA und andere Schutztechnologien etabliert, preiswert und einfach zu bedienen sind, gelten sie als „Stand der Technik“. Wird dieser nicht eingehalten, stehen nach einem erfolgreichen Angriff durch Siegeware Klagen der betroffenen Mieter und anderer Opfer nichts im Wege.

*Der Autor: Stephen Cobb ist Sicherheitsexperte bei ESET.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45775234 / System & Services)