Gehackt: Ein Industrie-Reinigungs- und Desinfektionsautomat von Miele mit Netzwerk-Interface lässt sich knacken.
sheelamohanachandran | Fotolia
Eine Schwachstelle in einer Software auf einem Internet-of-Things-(IoT)-Gerät, die Hacker nutzen können, um den Apparat zu kompromittieren – das ist nichts Neues. Jetzt trifft ein solches Szenario auch den angesehenen Konzern Miele. Der IT-Sicherheitsexperte Jens Regel hatte bereits im November eine Schwachstelle in einem eingebetteten Webserver auf einem industriellen Reinigungs- und Desinfektionsautomaten von Miele entdeckt. Nachdem das Unternehmen zunächst auf mehrfache Hinweise nicht reagierte, hat er den Fehler nun veröffentlicht.
Directory Traversal Attack lässt Hacker auf Dateien zugreifen
"Aufgefallen ist das im Rahmen eines Penetrationstests im medizinischen Bereich, bei dem ein Netzwerk bei einem unserer Kunden überprüft werden sollte", sagt Jens Regel von der Schneider & Wulf EDV-Beratung im Gespräch mit Springer Professional. Dabei sei ihm ein Gerät im Netzwerk aufgefallen, das er noch nicht kannte – der Miele Professional PG 8528. Der Automat mit Netzwerk-Interface konnte über den eingebetteten Webserver PST10 mit einer Directory Traversal Attack angegriffen werden. "Ein nicht authentifizierter Angreifer kann dieses Problem ausnutzen, um auf sensible Informationen zuzugreifen, die hilfreich bei nachfolgenden Angriffen sein können", schreibt Regel in seiner Veröffentlichung des Fehlers, die er über die Mailingliste Full Disclosure verbreitet hat.
Schwachstelle kann lokal ausgenutzt werden
Die gefundene Schwachstelle ist laut Regel zunächst nicht sehr kritisch. "Ich habe das in einem mittleren Schweregrad eingestuft", sagt Regel gegenüber Springer Professional. "Zunächst ist das ja eine Schwachstelle, die nur im lokalen Netz ausgenutzt werden kann – außer jemand verbindet dieses ja doch sehr spezielle Gerät wirklich mit dem Internet."
Die Maschine zählt zu den Internet-of-Things-Geräten, also Geräten, die in ihrer ursprünglichen Funktion keine Verbindung zu anderen Geräten oder dem Internet haben, im Zuge der Digitalisierung aber mit Netzwerkfunktionen versehen sind. Dem IoT kommt immer größere Bedeutung zu, so lassen sich beispielsweise vernetzte Geräte auch vom Hersteller fernwarten oder Daten über den Betrieb können für unterschiedliche Zwecke gesammelt und ausgelesen werden. Experten bemängeln jedoch seit längerem, dass die Sicherheit von solchen IoT-Apparaten bei Herstellern vernachlässigt wird. Auch Regel kennt das Problem: "Die Hersteller kaufen in der Regel die Software für diese Geräte von einem externen Anbieter ein und vernachlässigen selbst die Sicherheit." Bei seiner Arbeit fielen ihm solche mittelschweren Sicherheitslücken "definitiv öfter" auf, sagt Regel. Etwa monatliche stoße er auf solche Schwachstellen in IoT-Geräten.
Für großes Aufsehen hatte Ende 2016 ein Vorfall mit gehackten Internet-Routern der Deutschen Telekom gesorgt. Kriminelle hatten die Router übernommen und zu einem Teil eines Botnets gemacht. Ein großflächiger Internetausfall bei Telekom-Kunden war die Folge.
Miele spricht von "ernstem Versäumnis"
Mittlerweile, mehrere Tage nach der Veröffentlichung Regels, hat Miele reagiert und eine Anfrage von Springer Professional beantwortet. Darin räumt ein Unternehmenssprecher eine Kommunikationspanne ein. Nicht auf die Hinweise reagiert zu haben, darin sehe die Geschäftsleitung "ein ernstes Versäumnis, dessen nähere Umstände bereits eingehend untersucht werden, um die Gefahr einer Wiederholung auszuschließen." Miele dankt Regel zudem ausdrücklich für die Information "und auch für seine Beharrlichkeit".
Der Miele-Sprecher stellt zudem heraus, dass das Desinfektionsgerät kein "Einfallstor für Hacker" sei, wie einige Medien getitelt hätten. Richtig sei jedoch, dass derjenige, der sich bereits im internen Netzwerk des Anwenders befindet, Zugang zu den Daten im PG 8528 erlangen kann. Es bestehe ein erhöhtes Risiko eines unbefugten Auslesens von Daten. Mit diesen Daten könnte es Hackern gelingen, Passwörter zu knacken, um sich do einen noch weitergehenden Zugriff auf die Gerätesoftware zu verschaffen. "Es gibt jedoch keinerlei Hinweise darauf, dass dies bei einem der betreffenden Geräte geschehen wäre." Außerdem würde ein Missbrauch von Gerätedaten weder einen Zugriff auf Daten Dritter eröffnen noch auf anderweitige Geräte oder Prozesse im Anwendernetz.
Miele werde sich unverzüglich mit jedem einzelnen Anwender direkt in Verbindung setzen und diese über den Umgang mit der "zeitnah zu behebenden Sicherheitslücke" informieren. "Ein Software-Update ist bereits in Arbeit und wird binnen weniger Wochen vor Ort aufspielbar sein." Die gleiche Software wie im PG 8528 kommt auch in den Modellen PG 8527, 8535 und 8536 zum Einsatz.