Ein Preisgeld in Höhe von 75.000 US-Dollar und den zweiten Platz haben Tobias Scharnowski, Niklas Breitfeld und Ali Abbasi (Lehrstuhl Systemsicherheit) beim Hacking-Wettbewerb Pwn2Own im Miami abgeräumt. An drei aufeinander folgenden Tagen hat Scharnowski stellvertretend für sein Team vor Ort demonstriert, wie sie sich erfolgreich in industrielle Kontrollsysteme (Industrial Control Systems) hacken konnten. Solche Systeme werden in der Industrie genutzt, um verschiedene Prozesse innerhalb der Produktion zu steuern, messen oder regeln und finden Einsatz in verschiedensten Branchen, von der Telekommunikation bis hin zur chemischen Verarbeitung. Der Wettbewerb umfasste dabei fünf Kategorien, darunter
- Control Server
- OPC Unified Architecture (OPC UA) Server
- DNP3 Gateway
- Human Machine Interface (HMI) / Operator Workstation
- Engineering Workstation Software (EWS)
Schon Wochen zuvor hatte das Team des Horst Görtz Instituts für IT-Sicherheit die Angriffe vorbereitet. Vor Ort hatten alle teilnehmenden Teams schließlich die Möglichkeit, im Beisein eines Schiedsrichters ihre Attacken auszuführen. Dabei hatten sie jeweils eine halbe Stunde Zeit, um auf vorher unbekannte Hindernisse reagieren zu können.
Zum Schutz der Unternehmen, die diese Kontrollsysteme nutzen, werden die Details über die Angriffe dem Initiator des Wettbewerbs, der „Zero Day Initiative“, nur unter vier Augen mitgeteilt. Die Schwachstellen werden dann an den Hersteller des Produkts weitergegeben. „Das Ziel ist immer, diese Fehler zu beheben, bevor sie von Angreifern aktiv ausgenutzt werden“, erklärt die „Zero Day Initiative“.
Genauere Informationen zum Vorgehen der Teams und den ausgenutzten Exploits finden Sie hier.
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.