Viele Verletzte: Seilbahn-Steuerung offen über das Internet erreichbar

Viele Verletzte: Seilbahn-Steuerung offen über das Internet erreichbar

Der Hersteller weist die Enthüllungen der beiden Sicherheitsforscher zurück. Doch offenbar war die Seilbahn-Steuereinheit offen über das Internet erreichbar. Die neue Seilbahn zum Patscherkofel im Süden von Innsbruck wurde Mitte März geschlossen, nachdem zwei Sicherheitsforscher von Internetwache.org festgestellt hatten, dass sie über das Internet volle Kontrolle über die Seilbahn erlangen konnten. Die beiden Hacker Tim Philipp Schäfers und Sebastian Neef haben herausgefunden, dass die Steuereinheit über eine unverschlüsselte Webanwendung ohne Login verfügbar war. Golem.de und Bleeping Computer berichteten als Erste dazu.

Volle Kontrolle

Schäfers und Neef konnten über die Web-Anwendung die Geschwindigkeit der Gondel verändern, sie konnten den Abstand der Gondeln verändern und hatten Zugriff auf die Seilspannungseinstellungen. Auch Logs und andere Daten sollen verfügbar gewesen sein. Laut Golem.de hat der Anbieter des Systems, Doppelmayr Österreich, bestritten, dass es ein echtes Sicherheitsproblem gab und dass die Seilbahn nicht so kontrolliert werden konnte, wie die beiden Sicherheitsforscher behaupten.

Neef: Kein Kommentar

“Wir konnten das Bedienpult der Bahn mit Fahrtrichtungsanzeigern und dem Sicherheitsabstand zu den Gondeln sehen”, sagte er zu Golem.de. Sie haben jedoch keinen wirklichen Beweis, weil sie aus verständlichen Gründen die Steureinheit nicht bedienten, zu der sie Zugang hatten. Stattdessen haben sie den Hersteller und CERT.at benachrichtigt.

Veraltetes System

Dabei war es nur Zufall, dass sich die beiden Sicherheitsforscher mit ausgerechnet dieser Web-Applikation beschäftigten. Eigentlich suchten sie ganz allgemein nach Systemen von Doppelmayr, die dafür bekannt wären, spezifische Schwachstellen zu haben. Es soll sich um eine bereits veraltete Software-Version von Doppelmayrs Connect-System handeln, die von der Patscherkofelbahn verwendet wird, obwohl die Seilbahn erst im letzten Jahr eröffnet wurde.

Viele Verletzte

Doppelmayr ist auch Anbieter des Sesselliftes, der im März im Skigebiet Gudauri, in Georgien durchging. Plötzlich begann der Aufzug mit doppelter Geschwindigkeit rückwärts zu fahren. Viele Urlauber wurden dabei verletzt, als sie samt Sitzen aus den Stühlen geworfen wurden. Offiziell soll es bei diesem Vorfall um einen elektrischer Fehler gegangen sein. Oder ging hier jemand einen Schritt weiter, als die Sicherheitsforscher von Internetwache.org? Die Sommersaison startet am 19. Mai. Ich wünsche allen Hals und Beinbruch!

Bildquelle: Viele Verletzte: Seilbahn-Steuerung offen über das Internet erreichbar MemoryCatcher, thx! (CC0 Public Domain)

Andreas kann sicher erreicht werden über Signal +47 925 40 614.

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.