Das Gondel-System war laut den Sicherheitsforschern ungesichert im Netz zugänglich. Die Betreiber versuchen zu beschwichtigen.
Hotelgäste, die von Hackern aus ihren Zimmern ausgesperrt werden, Steuerzentrale eines Wasserwerks, das über das Internet ansteuerbar ist, oder der aktuelle Fall, dass eine Seilbahn in Tirol von Hackern gesteuert werden kann. Alle haben eines gemeinsam: Geringe oder nicht verhandene Sicherheitsvorkehrungen.
Sicherheitsforscher haben es sich zur Aufgabe gemacht, schwerwiegende Sicherheitslücken im Internet aufzuspüren. Der Unterschied zu Hackern ist, dass sie die Betreiber darüber informieren, damit diese Lücken schließen können. Aktuell haben sie eine ernste Schwachstelle im Gondelbahn-System bei der Patscherkofel-Anlage in Tirol gefunden. Sie hätten über das Internet leicht Kontrolle über die Gondeln übernehmen können.
Ungesichertes, veraltetes System
Um sich Zugriff zu verschaffen war den Sicherheitsforschern zufolge keine Authentifizierung notwendig und auch die Befehle wurden unverschlüsselt übertragen. Eine alte Software soll zudem zum Einsatz kommen. Zuständig dafür sind die Innsbrucker Kommunalbetriebe, die auf eine Technik von Dopplemayr Connect vertrauen, die wiederum auf der Technik von Certec/Atvise basiert.
Ein Sprecher von Doppelmayr versucht sich gegenüber golem.de um Schadenbegrenzung: "Es hat nie ein Sicherheitsproblem gegeben, die Steuerung der Bahn war auf diesem Weg nicht möglich." Sebastian Neef und Tim Philipp Schäfers, die bereits auch Wasserkraftwerke auf ihre massiven Schwachstellen aufmerksam machten, sehen das anders. Der Zugang zu Bedienelementen wie Fahrtrichtung oder Sicherheitsabstand stand ihnen offen.
Aufgrunddessen, dass die Gondel aber zum Zeitpunkt des Entdeckens der Schwachstelle in Betrieb war, wurde es nicht demonstriert. Einen Tag nach der Entdeckung soll die Lücke von den Verantwortlichen geschlossen worden sein. Bevor die Anlage im Sommer wieder in Betrieb geht, soll ein Sicherheitskonzept vorgelegt werden.
(bagre)