Enterprise-Pager sind eine Quelle für kritische Informationslecks.

Published on October 26, 2016

Enterprise-Pager sind eine Quelle für kritische Informationslecks.



    Nachdem die ukrainische Energieinfrastruktur der ukrainischen Industrieinfrastruktur in der Ukraine, Russland und anderen Ländern im vergangenen Dezember gehackt worden war, wurde dem Problem des Schutzes vor Cyberangriffen mehr Aufmerksamkeit geschenkt. Zwar bestehen nach wie vor Schwachstellen im Informationsschutz, von denen es eine ganze Reihe gibt. Einige potenzielle Wege, um Zugang zu wichtigen Ressourcen von Industrieunternehmen, Kernkraftwerken, Fabriken und Anlagen zu erhalten, scheinen sehr ungewöhnlich. Zum Beispiel Pager. Diese primitiven Geräte verwenden im Allgemeinen keine Verschlüsselung, wodurch sie für Eindringlinge anfällig sind.

    Über Pager-Kanäle senden und empfangen Mitarbeiter von Unternehmen wichtige Daten in Bezug auf die Diagnose und die technischen Eigenschaften der Geräte von Unternehmen. Auf die gleiche Weise werden häufig auch andere vertrauliche Informationen übertragen, darunter die Namen der Mitarbeiter, die internen Telefone des Unternehmens und manchmal Kontoinformationen.

    „Da Pager die übertragenen Daten nicht verschlüsseln, kann ein Angreifer Informationen von diesen Geräten aus der Ferne empfangen. Alles, was ein Cyberspion benötigt, um solche Daten zu erhalten, ist ein softwaredefiniertes Funksystem und 20 US-Dollar für den Dongle selbst “, heißt es in einer Erklärung von Trend Micro.

    Experten des Unternehmens kamen zu diesem Schluss, nachdem sie nach Möglichkeiten gesucht hatten, die geschlossenen Daten von Unternehmen durch Cracker zu erhalten. Diese Arbeiten wurden für vier Monate gleichzeitig in mehreren Unternehmen in den USA und Kanada durchgeführt. Insgesamt überprüften die Experten von Trend Micro etwa 55 Millionen Seiten gespeicherter Pager-Nachrichten, wobei etwa ein Drittel der Nachrichten aus Buchstaben und Zahlen bestand. Andere Nachrichten waren einfach Nummern oder ein Rufton für einen Mitarbeiter.

    In einigen Fällen erhielten Mitarbeiter des Unternehmens Benachrichtigungen von den Sicherheitssystemen der Unternehmen, die Informationen darüber enthielten, was geschehen war. Dies sind beispielsweise Meldungen über den Ausfall von Heizung, Lüftung und anderen Infrastrukturelementen von Krankenhäusern und Industrieunternehmen. In einem Fall wurde regelmäßig eine geheime Information über die wichtigen Parameter der Produktionssysteme an einen Pager-Mitarbeiter des größten Chemieunternehmens gesendet. Es erübrigt sich zu sagen, dass diese Daten auch in offener Form übermittelt wurden.

    „Während des Projekts haben wir verschiedene Systeme in Unternehmen gesehen, in denen Pager als Tool für Benachrichtigungen verwendet wurden. Aber solche Systeme können die Quelle einer Datenschutzverletzung, einschließlich kritische Informationen über die Produktionssystemkonfiguration, die Produkte des Unternehmens und dergleichen“, - erklärte in dem Bericht, Trend Micro.

    Eine ähnliche Situation wurde von Trend Micro-Experten auch in Kernkraftwerken beobachtet, in denen die an den Pager übertragenen Daten Informationen über solche Probleme enthielten:

    • Reduzierung der Geschwindigkeit des Wasserpumpens;
    • Austreten von Wasser, Dampf, Kühlmittel;
    • Feuerwarnung;
    • Verlust der Kommunikation mit dem Backup-System;
    • Berichte über verletzte Mitarbeiter;
    • Informationen zum Standort kritischer Geräte;
    • Radioaktive Kontamination ohne Gefahr für die menschliche Gesundheit.

    Im Bericht des Unternehmens heißt es insbesondere: „Wir waren überrascht, dass die unverschlüsselten Nachrichten, die an die Pager von Mitarbeitern großer Industrieunternehmen gesendet werden, so wichtige Informationen enthalten. Es handelt sich um Kraftwerke, Chemiefabriken, Verteidigungsunternehmen und Anlagen zur Herstellung von Halbleitern. Diese unverschlüsselten Nachrichten sind ein möglicher Kanal für die passive Überwachung durch Eindringlinge. “

    Pager verwenden weder Verschlüsselung noch Benutzerauthentifizierung - nichts, was als Datenschutz angesehen werden kann. Daten werden im Klartext übertragen. Nachdem ein Mitarbeiter des Unternehmens die Nachricht erhalten hat, weiß er in der Regel nicht, wer sie gesendet hat - und es ist einfach unmöglich, die Zuverlässigkeit der Quelle zu überprüfen.

    In einigen Situationen war es für Informationssicherheitsspezialisten von Trend Micro schwierig zu verstehen, worum es in der Meldung auf dem Pager ging. Für einen Angreifer, der an Informationen aller Art über das zu überwachende Unternehmen interessiert ist, kann dies jedoch von erheblichem Interesse sein. Gemäß den Vorschriften überwacht eine spezielle Aufsichtsbehörde, die North American Electric Reliability Corporation (NERC), Unternehmen im US-amerikanischen Energiekomplex. Diese Organisation hat das Recht, diejenigen Energieunternehmen zu bestrafen, die kritische Daten nur unzureichend schützen und damit die Sicherheitsanforderungen verletzen. In der chemischen Industrie gibt es einen ähnlichen Regler.

    Nach der Untersuchung der Situation mit Datenverschlüsselung in Unternehmen von staatlicher Bedeutung stellen Informationssicherheitsexperten eine logische Frage: „Warum sind Kommunikationsprogramme wie WhatsApp besser vor Hacking geschützt als Benachrichtigungssysteme, die in Kernkraftwerken und anderen Unternehmen von ähnlicher Bedeutung funktionieren?“. Diese Frage kann immer noch als rhetorisch bezeichnet werden, aber jetzt muss nach einer Lösung für dieses Problem gesucht werden.



    Nach Angaben der Mitarbeiter der Unternehmen selbst, Pager vollständig loszuwerden, wird nicht funktionieren. Tatsache ist, dass in einigen Situationen Nachrichten an Mitarbeiter gesendet werden müssen, an denen weder Mobilfunk noch Internet verfügbar sind. Ingenieure von SCADA-Systemen, die in Kernkraftwerken arbeiten, und Unternehmen von staatlicher Bedeutung sollten rund um die Uhr zur Verfügung stehen. Solche Angestellten erhalten Pager, und für einige von ihnen ist das Kommunikationssystem ein Satellit. Darüber hinaus besteht das Problem nicht nur bei Pagern, sondern auch bei Satellitentelefonen: Viele Systeme dieses Typs verwenden auch keine Verschlüsselung. „Wenn nur die Kommunikation wichtig ist und die Wiederherstellung von Diensten oder Geräten von entscheidender Bedeutung ist, steht die Zuverlässigkeit der Kommunikation im Vordergrund, nicht die Sicherheit“, sagt ein Mitarbeiter eines der Unternehmen.

    Die Empfehlung von Trend Micro für Unternehmen, die Pager verwenden, lautet, schnell mit der Verschlüsselung zu beginnen und ein Benutzerauthentifizierungssystem hinzuzufügen. Darüber hinaus müssen regelmäßig alle möglichen Leckagequellen eines Unternehmens überprüft werden.