Anzeige

Anzeige

Veranstaltungen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Bei der Untersuchung der Alarmanlage Lupusec XT1 des Herstellers Lupus Electronics haben Mitarbeiter des Sicherheitsberatungsarms FOXMOLE der KeyIdentity GmbH mehrere kritische Schwachstellen entdeckt. Ein Statement von Dr. Amir Alsbih, COO von KeyIdentity.

So sind potenzielle Angreifer in der Lage, die Zugangsdaten des Anwenders mitzulesen, wenn er sich einloggt. Damit können die Angreifer sich im Nachgang als legitimen Anwender authentifizieren. Grund ist, dass die Informationen ohne Verschlüsselung übertragen werden. Darüber hinaus ist die Alarmanlage auch gegen Cross-Site-Request-Forgery-Angriffe ungeschützt. Angreifer können ein neues Passwort setzen, indem sie sie den Administrator der Alarmanlage auf eine bösartige Webseite locken.

Außerdem befindet sich in der Alarmanlage eine nicht dokumentierte Hintertür, über die ein Angreifer die Kontrolle über das System erlangen kann. Obwohl die Schwachstellen bereits vor einiger Zeit an den Hersteller gemeldet wurden, sind diese bis heute nicht behoben.  

„Alarmanlagen, die derart viele Sicherheitslücken aufweisen, wiegen den Anwender in falscher Sicherheit. Wenn Kriminelle sie überlisten wollen, haben sie ein leichtes Spiel. Hersteller stehen in der Pflicht, ihre Systeme gerade gegen die typischen Angriffsmethoden bestmöglich abzusichern. Das Open Web Application Security Project, das de facto die Standards für Anwendungssicherheit setzt, nennt die Cross Site Request Forgery in seiner Top 10 der größten Sicherheitsrisiken. Es ist bestürzend, dass die untersuchte Alarmanlage hiergegen so unzureichend geschützt ist und dass der Hersteller die ihm bekannten Sicherheitslücken bis heute nicht behoben hat.

Nicht weniger schwerwiegend sind die Versäumnisse bei der Verschlüsselung von Zugangsdaten. Wenn Nutzerpasswörter im Klartext übertragen werden, hilft auch das komplexeste Passwort nichts! Zugangsdaten müssen verschlüsselt verschickt und auf sicherem Weg (sicheres Hash-Verfahren, inklusive zufällige SALTs) gespeichert werden. Um für ein Höchstmaß an Sicherheit zu sorgen, ist es außerdem sinnvoll, nicht nur ein Passwort abzufragen, sondern möglichst mehrere Faktoren zur Überprüfung der Nutzeridentität heranzuziehen. Eine effektive Möglichkeit Systeme gegen unberechtigten Zugriff zu schützen, bieten etwa sogenannte One-Time-Push-Tokens. Dabei kann einem Nutzer parallel zur Eingabe des Passworts eine Meldung auf sein Smartphone gesendet werden, die er bestätigen muss. Klickt er nicht, wird der Zugang verwehrt, selbst wenn das Passwort korrekt war. Diese sogenannte Multi-Faktor-Authentifzierung trägt dazu bei, sicherheitskritische Systeme wie Alarmanlagen besser zu schützen.“

Neuste Artikel

Gerald Beuchelt

Schützt endlich eure Daten!

Daten sind das höchste Gut in Unternehmen. Länderregulierungen wie die DSGVO schützen diese und haben bereits zu höherer Datensicherheit wie der Einführung der Multifaktoren Authentifizierung geführt. Aber noch immer sind die Logins für 80 Prozent der…
Datenschutz Schilder

Datenschutz 2020: Mehr Transparenz gleich weniger Risiko?

Am 28. Januar ist Datenschutztag oder auch Data Privacy Day. Lange waren der Schutz von Daten und Privatsphäre ein Thema, das bestimmte Personengruppen innerhalb einer Organisation diskutierten. Für die, die nicht gerade IT-Berater oder Unternehmensanwalt…
Grabstein RIP

Die Privatsphäre ist tot, lang lebe die Privatsphäre?

Mit jeder neuen Datenschutzverletzung, jedem Hacker- oder Ransomware-Angriff haben wir erneut die Wahl: Entweder wir finden uns damit ab, dass unsere personenbezogenen Daten in den Händen von Personen sind, die darüber lieber nicht verfügen sollten, oder wir…
KI Hacker

KI in der Cybersicherheit – Überblick und Status Quo

Die KI-basierte Erkennung und Reaktion auf Bedrohungen im Netzwerk ist die zeitgemäße Antwort auf die heutige Cyberbedrohungslage. Der Kreativität der Angreifer bei einer gleichzeitig wachsenden Angriffsfläche und einem Mangel an IT-Fachkräften ist nur mit…
Nico Popp

Nico Popp ist neuer Chief Product Officer bei Forcepoint

Forcepoint, ein weltweit führender Cybersecurity-Anbieter mit Deutschlandbüro in München, hat Nico Popp, 56, zum Chief Product Officer (CPO) ernannt. In dieser neu geschaffenen Position treibt der erfahrene Branchenexperte die Cloud-First-Strategie des…
White Hacker Frau

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist gerade für Industrieunternehmen ein nicht ganz triviales Unterfangen. Einige Vorreiter der Branche fragen sich, ob es Sinn macht, die Hacker vielleicht selbst zu…

Anzeige