Hauptnavigation:

Sie befinden sich hier:

Startseite  /  IT-Security  /  IT-Security Bulletin

IT-Security Bulletin

Auf dieser IDS-Seite informieren wir Sie regelmäßig über aktuelle Bedrohungen und Schutzmaßnahmen bezüglich unserer Produkte und Lösungen. Auf den folgenden Seiten finden Sie außerdem viele weitere Informationen über IT-Security in der Netzleittechnik, der Fernwirktechnik und den IT-Lösungen sowie innerhalb der gesamten IDS-Gruppe: sowohl produktseitig als auch im Service.

Bitte wenden Sie sich für weitere Informationen an unseren IT-Sicherheitsbeauftragten Dieter Göbelbecker.

DatumTitelBeschreibung
15.01.2018

Meltdown und Spectre: neue Erkenntnisse (II)

Zu den Sicherheitslücken Meltdown und Spectre gibt es folgende neuen Erkenntnisse:

1.) Wir empfehlen vorab den eingesetzten Virenscanner immer aktuell zu halten. Zum einen kann er Malware erkennen, die Meltdown oder Spectre ausnutzen möchte. Zum anderen müssen Antivirenprogramme einen neuen Registry-Eintrag setzen, um die Kompatibilität zum aktuellen Betriebssystem-Patch zu bestätigen. Informationen zur Kompatibilität verschiedener Virenscanner sind unter https://docs.google.com/spreadsheets/u/1/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?usp=sharing&sle=true zusammengefasst.

2.)ACOS NMS, ACOS ECS, ACOS EAS und ACOS DMS sind von der Schwachstelle ebenfalls nicht direkt betroffen, können aber auf betroffenen Systemen laufen. Hier gelten dieselben Empfehlungen wie zu HIGH-LEIT.

3.) QNAP prüft zur Zeit nach eigenen Angaben, ob und wie die NAS-Laufwerke von den Sicherheitslücken betroffen sind und wie sie gepatched werden können. Weitere Informationen dazu sollen folgen.

Bei weiteren Fragen hilft Ihnen unser Kundencenter gerne weiter.

11.01.2018Sicherheitsbedingte Rückrufaktion von Akkus für HP Notebooks und mobile Workstations mit Ersatzbestellungsprogramm

HP kündigte eine weltweite freiwillige, sicherheitsbedingte Rückrufaktion mit Ersatzbestellungsprogramm für bestimmte Akkus von Notebooks und mobilen Workstations an.

Diese Akkus können überhitzen und stellen eine Brand- und Verbrennungsgefahr für Kunden dar.

Weitere Informationen finden Sie unter: http://www8.hp.com/de/de/hp-information/recalls.html

Mithilfe des HP-Dienstprogramms zur Akkuvalidierung unter https://batteryprogram687.ext.hp.com/de-DE/ können Sie feststellen, ob der Akku in Ihrem Notebook davon betroffen ist.

Für Rückfragen steht unser Kundencenter jederzeit gerne zur Verfügung.

10.01.2018Intel-Sicherheitslücke Meltdown und Spectre (I)

Aktuelle Informationen zu den kürzlich veröffentlichten Sicherheitslücken Meltdown und Spectre erhalten Sie unter heise.de (Artikel 1, Artikel 2) oder bei Microsoft.

IDS HIGH-LEIT ist von der Schwachstelle nicht direkt betroffen, kann aber auf betroffenen Systemen laufen.

Sobald die Hersteller Betriebssystem-Patches und BIOS-Updates zur Verfügung gestellt haben, testen wir, ob diese im Zusammenhang mit HIGH-LEIT zu Performance-Einbußen führen.

Nach Freigabe der Patches und Updates ist das zeitnahe Einspielen der Betriebssystem-Patches für Kunden mit dem Service-Vertragsmodul „Patchmanagement“ kostenfrei. Bei allen anderen Kunden spielen wir die Patches und Updates gerne zu den Sätzen unserer aktuellen Dienstleistungspreisliste ein.

Wir schätzen die Schwachstelle als weniger kritisch ein, wenn alle von uns empfohlenen Härtungsmaßnahmen umgesetzt sind. Weiter empfehlen wir keine Software-Updates von Third-Party-Produkten durchzuführen, solange die Betriebssystem-Patches noch nicht eingespielt sind.

Ob und welche Fernwirkkomponenten gegebenenfalls von der Sicherheitslücke betroffen sein können, prüfen wir derzeit. 

Bei weiteren Fragen hilft Ihnen unser Kundencenter gerne weiter.

18.12.2017

QNAP warnt vor Schwachstelle in NAS-Laufwerken

Die Fa. QNAP hat Updates für QNAP QTS 4.2/4.3 veröffentlicht, um eine Schwachstelle in der Komponente Media Library zu schließen. Durch diese kann durch Manipulation mit einer unbekannten Eingabe eine erweiterte Rechte-Schwachstelle ausgenutzt werden.

Weitere Informationen erhalten Sie unter https://www.qnap.com/de-de/security-advisory/nas-201709-15.

Für Fragen oder Unterstützung beim Update steht Ihnen unser Kundencenter gerne zur Verfügung.

18.12.2017

Meinberg Security Advisory [MBGSA-1701]: LTOS6 Web Interface

Die Fa. Meinberg informiert über drei Sicherheitslücken und einen Fehler in Bezug auf die Web-Benutzerschnittstelle von Meinberg-Systemen. Im Einzelnen sind dies:

  • CVE-2017-1678:Beliebige Dateien lesbar
    Aufgrund einer falsch konfigurierten Webserver Access Control List konnte ein authentifizierter Benutzer, den Inhalt von beliebigen Dateien einzusehen. Dazu gehören auch Dateien, die (verschlüsselte) sicherheitsrelevante Daten enthielten.
  • CVE-2017-16787: Fehler bei eingeschränktem URL-Zugriff (z.B. direkte Objektreferenz)
    HTTP / HTTPS-Anfragen haben den direkten Zugriff auf Dateien im Stammverzeichnis des Webservers ohne Authentifizierung ermöglicht, so dass ein Angreifer statistische Daten und statistische Grafiken lesen konnte, ohne gültige Anmeldeinformationen eingeben zu müssen.
  • CVE-2017-16788: Beliebiger Datei-Upload
    Ein authentifizierter Benutzer war in der Lage, beliebige Dateien hochzuladen und mithilfe einer fehlenden Parametervalidierungsprüfung diese Dateien an einem beliebigen Ort unter Verwendung eines "Directory-Traversal-Angriffs" zu platzieren.
  • NO-CVE:  Fehler bei der automatischen NTP-Schlüsselerzeugung
    Bei Verwendung der automatischen NTP-Schlüsselgenerierungsfunktionalität haben ältere Versionen der LTOS6-Firmware neu erstellte Schlüssel an die NTP-Schlüsseldatei angehängt, ohne zu überprüfen, ob die Schlüsselnummern bereits in der selben Datei verwendet werden. Dadurch konnten die vorhandenen Schlüssel weiterhin verwendet werden.
    Dieser Fehler betrifft alle LTOS6-Firmware-Versionen vor 6.24.004, die für alle Geräte der Meinberg LANTIME M-Serie (M100, M200, M300, M400, M600, M900) sowie für alle Geräte der IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100).

 Alle drei Schwachstellen und der beschriebene Fehler wurden mit der Firmware-Version 6.24.004 behoben. Diese können Sie sich als Meinberg-Kunden kostenlos unter https://www.meinberg.de/german/sw/firmware.htm downloaden.

Bitte wende Sie sich an unser Kundencenter, falls Sie Unterstützung beim Update benötigen.

30.11.2017

Schwachstelle in den seriellen Geräteservern der Serie NPort 5100 der Fa. Moxa

Das BSI warnt vor einer Schwachstelle in den seriellen Geräteservern der Serie NPort 5100 der Fa. Moxa, die es erlaubt beliebige Kommandos auf dem Gerät auszuführen.

 Betroffen sind folgende Versionen:

  • NPort 5110 Version 2.2, 2,4, 2.6 und 2.7
  • NPort 5130 Version 3.7 und früher,
  • NPort 5150 Version 3.7 und früher.

 Die Fa. Moxa hat Updates zur Verfügung gestellt unter:

NPort 5110 https://www.moxa.com/support/download.aspx?type=support&id=882

NPort 5130 und NPort 5150 https://www.moxa.com/support/download.aspx?type=support&id=356

Falls Sie Unterstützung beim Einspielen der Updates benötigen, wenden Sie sich bitte an unser Kundencenter.

27.11.2017

Weiteres Problem mit steigendem Speicherplatzbedarf bei Meinberg LANTIME

Die Fa. Meinberg informiert in ihrem aktuellen Newsletter, dass auch in der LANTIME-Firmware Version 6.22.005 der Speicherplatzbedarf ständig steigen kann, wenn das SyncMon Feature aktiv genutzt wird. Nach einer gewissen Zeit besteht die Möglichkeit, dass die Speicherressourcen des Systems überlaufen und der Betrieb des LANTIME erheblich beeinträchtigt wird. Die Zeit bis zum Speicherüberlauf hängt vom verfügbaren RAM ab, der auf dem System vorhanden ist. Das Problem wurde in der Firmware-Version 6.22.006 oder höher behoben. Meinberg empfiehlt dringend, Ihre LANTIME Firmware zu aktualisieren, wenn auf Ihrem System die Version 6.22.005 arbeitet und Sie das SyncMon Feature nutzen.

Sie können sich das Firmware-Updatepaket hier herunterladen: https://www.meinberg.de/german/sw/firmware.htm. Alternativ wenden Sie sich gerne  an unser Kundencenter.

09.11.2017

Das bsi und heise.de warnen vor einer Schwachstelle bei Cisco Switches.

Cisco hat für seine Switches einen Plug&Play-Dienst zur Fernkonfiguration namens Smart Install im Angebot. Über diesen lassen sich sich die aktuelle Konfiguration auslesen, das Gerät konfigurieren oder gleich mit neuer Firmware versorgen. Dazu ist kein Passwort erforderlich. Eine Authentifizierung ist durch  Smart Install nicht vorgesehen. Ist die Smart-Install-Funktion solcher Switches direkt aus dem Internet erreichbar, ist das gefährlich. Mehr Informationen erhalten Sie unter

https://www.heise.de/security/meldung/Tausende-Cisco-Switches-offen-im-Internet-Angriffe-laufen-bereits-3882810.html

 Die  Leitsystem-Netzwerke in IDS-Systemen sind in der Regel vom Internet und anderen Netzwerken durch Firewalls getrennt. Daher können Switches nicht direkt aus dem Internet erreicht werden. Die Konfigurations-Option Smart Install wird von uns gewöhnlich nicht für die Konfiguration genutzt. Aus diesen Gründen ist die Schwachstelle für IDS-Leitsysteme eher nicht relevant.

Falls Sie dennoch eine diesbezügliche Überprüfung Ihrer Cisco Switches wünschen, wenden Sie sich bitte an unser Kundencenter.   

23.10.2017 Sicherheitsupdate Westermo WeOS 4.21.2

 

 

Für CVE-2017-14491 (WEOS-17-02) hat Westermo einen dauerhaften Bug-Fix veröffentlicht. Betroffen sind die WeOS-Versionen 4.8.0 bis 4.21.1.

Was geschieht ohne Bug-Fix?
Ein Angreifer sendet ein spezielles DNS-Paket, das einen Buffer Overflow in der attackierten Komponente verursacht. Die Folge ist ein DoS-Angriff (Denial-of-Service) oder die Ausführung eines beliebigen Schadcodes, der dem Angreifer die Kontrolle über die Komponente geben kann.

Unternehmen, die eine der oben genannten WeOS-Versionen verwenden, sollten das WeOS-Betriebssystem schnellstens auf die aktuelle Version 4.21.2 aktualisieren, um diese Sicherheitsanfälligkeit zu schließen.

Unser Kundencenter unterstützt Sie gerne beim Auslesen der bei Ihnen eingesetzten Software-Versionen bzw. Update auf die aktuelle Version.

15.09.2017Schwachstellenmeldung der OPC-Foundation und Siemens

Die  OPC-Foundation und Siemens haben folgende Schwachstelle gemeldet:

Im Local Dicovery Service (LDS) von OPC-UA wurde in der .NET Referenzimplementierung der OPC-Foundation eine Schwachstelle (CVE-2017-12069) bekannt. Diese erlaubt es einem Angreifer, auf durch ihn bestimmte Netzwerkressourcen zuzugreifen. Betroffen ist die .NET-Bibliothek in Version 1.01.333.0. 

Die IDS setzt in ihren Produkten und Applikationen kein OPC-UA ein. Die Schwachstelle ist daher für IDS-Systeme nicht relevant. Weitere Information finden Sie unter:

https://opcfoundation-onlineapplications.org/ ,

https://www.siemens.com sowie auf der Seite des BSI.

15.09.2017

Meinberg informiert über LANTIME-Firmware-Problem

In ihrem letzten Newsletter hat die Firma Meinberg über ein LANTIME-Firmware-Problem berichtet, welches das LANTIME-System veranlasst, den Betrieb nach einigen Wochen beziehungsweise  Monaten zu beenden.

Hintergrund ist, dass bei den LANTIME-Firmware Versionen 6.22.003 und 6.22.004 der Speicherplatzbedarf ständig steigt und daher die Speicherressourcen des Systems nach einer gewissen Zeit verbraucht sind. Die verbleibende Zeit hängt vom verfügbaren RAM ab, der auf dem System vorhanden ist.

Das Problem wurde in den Firmware-Versionen 6.22.005 und höher behoben. Meinberg empfiehlt  Ihnen dringend, Ihre LANTIME Firmware zu aktualisieren, sollten Sie  mit den Versionen 6.22.003 oder 6.22.004 auf Ihren Systemen arbeiten.

Sie können sich das Firmware-Updatepaket hier herunterladen: https://www.meinberg.de/german/sw/firmware.htm. Alternativ wenden Sie sich gerne  an unser Kundencenter.

08.09.2017Kritische Sicherheitslücke in HPE iLo

In den  HP Proliant-Server existiert eine kritischen Sicherheitslücke in der proprietären Management-Software Integrated Lights-out 4 (iLO4).

 iLO ist in die Hardware eingebettet, und stellt so Funktionen mit weitreichenden Systemrechten unabhängig vom Betriebssystem zur Verfügung. Aus diesem Grund ist diese Sicherheitslücke (CVE-2017-12542 ) besonders kritisch. Sie kann von Angreifer genutzt werden, um sich ohne Benutzerdaten remote via iLO einzuloggen und einen Schadcode auszuführen.

Weitere Informationen erhalten Sie bei heise.de.

Falls Sie iLO direkt im umsegmentierten Leitsystem-Netzwerk betreiben, empfehlen wir Ihnen ein sofortiges Update. Sollte sich die iLO-Schnittstelle in einem separaten VLAN befinden, so genügt ein Update bei der nächsten Wartung bzw. beim nächsten Inbetriebnahmeeinsatz aus.

Für Rückfragen steht Ihnen unser Kundencenter jederzeit gerne zur Verfügung.

20.07.2017Angriffskampagnen gegen Energieunternehmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fasst in seiner aktuellen Warnung die jüngsten Angriffe auf Energieversorger zusammen und gibt eine Bewertung ab.

Neben den bereits bekannten Maßnahmenempfehlungen wie Härtung, Patchmanagement und einem sicheren Wartungszugang empfiehlt das BSI hier auch ein Systemmonitoring.

Beim Aufbau und Betrieb eines Monitorings unterstützen wir Sie gerne.

Bitte sprechen Sie dazu Ihren zuständigen Vertriebsmitarbeiter an.

20.6.2017Gefahr für SCADA-Systeme Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Schadsoftware unter dem Namen CRASHOVERRIDE bzw. INDUSTROYER, die speziell ICS/SCADA-Umgebungen angreifen kann. Weitere Informationen dazu erhalten Sie in der BSI-Cyber-Sicherheitswarnung.

Die Schadsoftware benötigt einen direkten Zugang zum Internet, da sie von außen gesteuert werden kann und muss. Die Leitsysteme IDS HIGH-LEIT sind davon nicht bedroht, wenn Sie die von uns empfohlenen Maßnahmen wie Absicherung aller Schnittstellen des Leitsystem-LANs nach außen, Netzwerksegmentierung und Härtung der Systeme umgesetzt haben.

Wir unterstützen Sie bei der Absicherung Ihrer Netze! Um diese oder weitere Maßnahmen schnellstmöglich umzusetzen, sprechen Sie bitte Ihren zuständigen Vertriebsmitarbeiter an.
16.05.2017Wannacry: Kryptotrojaner verbreitet sich weltweit

Bei einer massiven Cyber-Attacke am Freitag, den 12.05.17, haben sich Kriminelle eine kritische Schwachstelle in allen Windows-Betriebssystemen zu Nutze gemacht und zehntausende Rechner mit einem Verschlüsselungstrojaner infiziert.

Für die aktuellen Betriebssysteme hat Microsoft Mitte März 2017 einen Patch veröffentlicht, für bereits abgekündigte Betriebssysteme wie Windows XP sogar am 13.05.17 einen Patch nachgeschoben. Lesen Sie mehr dazu auf heise.de.

Einmal mehr zeigt sich, dass vor allem Patchmanagement, aber auch andere Maßnahmen wie Absicherung aller Schnittstellen nach außen, Härtung und Virenschutz etc. unbedingt notwendig für den sicheren Betrieb von Leitsystemen sind.

Wir empfehlen Ihnen dringend, den Patch umgehend auf Ihren Systemen einzuspielen bzw. durch uns einspielen zu lassen. Bitte setzen Sie sich dazu mit unserem Kundencenter in Verbindung.

22.03.2017Gravierend: Telnet-Lücke bedroht zahlreiche Cisco-Switches

Bei einer Analyse ist Cisco auf eine kritische Lücke in über 300 Modellen seiner Switch-Reihe mit IOS-Betriebssystem gestoßen: Betroffen ist das Cluster Management Protocol (CMP). Bislang gibt es nur einen Workaround - ein Patch soll folgen.

Weitere Informationen finden Sie unter heise.de und bei Cisco.

Die von IDS bzw. Systema gelieferten und in Betrieb gesetzten CISCO-Switches sind von der Schwachstelle nicht betroffen, da Telnet aus Sicherheitsgründen bei der Installation/Inbetriebnahme der Netzwerkkomponenten abgeschaltet wird.

Wir empfehlen Ihnen trotzdem, die potentielle Schwachstelle im Zuge eines zyklischen Patchmanagements zu schließen.

Kunden, die die Switches in das Servicevertragsmodul „Patchmanagement“ aufgenommen haben, erhalten im nächsten Patchzyklus den o.g. Patch. Kunden, die keine vertragliche Vereinbarung mit IDS abgeschlossen haben, können sich an unser Kundencenter wenden, um die Patchfähigkeit prüfen zu lassen und ggf. den Patch zu erhalten.

20.03.2017Kritische Sicherheitslücke in Apache Struts 2

Bei einem Upload von Dateien über den Standard-Multipart-Parser Jakarta sind einige Versionen des Open-Source-Frameworks Apache Struts 2 verwundbar. Im schlimmsten Fall lässt sich somit ein Schadcode ohne Authentifizierung aus der Ferne ausführen. Betroffen sind die Struts-Versionen 2.3.31 bis 2.3.5 und 2.5 bis 2.5.10. Abhilfe schaffen neuere Versionen und Workarounds.

Unsere IDS-Produkte sind von dieser Schwachstelle nicht betroffen, da die genannten Versionen nicht im Einsatz sind.

Mehr Informationen zu dieser Schwachstelle finden Sie auf heise.de.

09.02.2017Chipfehler bei CISCO-FirewallsDie Firma CISCO weißt auf Chipfehler in einer bestimmten Charge ihrer Firewalls hin. Wir werden alle betroffenen Kunden, die solche Firewalls über uns bezogen haben, ansprechen und ggf. einen Austausch organisieren. Weitere Informationen erhalten Sie hier.

Für Rückfragen steht Ihnen unser Kundencenter jederzeit gerne zur Verfügung.
23.11.2016Zeitgeber als  potenzielle Schwachstelle

In Fernwirk- und Leitsystemen ist der Zeitgeber ein potentielles Angriffsziel. Mögliche Sicherheitslücken müssen durch Patches der Hersteller zeitnah geschlossen werden.

Die Network Time Foundation hat eine neue NTP-Version veröffentlicht, die eine Reihe von Schwachstellen schließt. Die Version 4.2.8p9 ist im aktuellen LTOS6 Firmware Release enthalten und beinhaltet außerdem noch weitere sicherheitsrelevante Aktualisierungen. Neben einer Lücke im Linux Kernel sind die neuesten stabilen Versionen von OpenSSL und OpenSSH enthalten.

Nähere Informationen finden Sie hier.

Falls Sie eines der o.g. Produkte im Einsatz haben, wenden Sie sich bitte an unser Kundencenter (Tel.:07243/218-990).

21.09.2016Schwachstelle ROBUS 104

Bei Kommunikationsmodulen der Systemfamilien IDS 650/850/ACOS 750 wurde eine Schwachstelle erkannt, die beim Empfang ungültiger IEC 60870-5-104 Telegramme zum Absturz der Software führt. Dies wurde bei Tests von Dr. Stephan Beirer / Sebastian Krause, GAI NetConsult GmbH mit Unterstützung von Adam Crane, Automatak, LLC, Project Robus 104 festgestellt.

Die Kritikalität der Schwachstelle ist in den Anwendungsfällen hoch, in denen eine Übertragung über das genormte Protokoll IEC 60870-5-104 in öffentlichen Übertragungsnetzen ohne Verschlüsselung eingesetzt wird und die Verbindung von beliebigen Kommunikationspartnern explizit gestattet wird (Modus „Any-IP“). In allen anderen Anwendungsfällen ist sie niedrig, da die betroffenen Geräte keine Verbindungen von beliebigen Kommunikationspartnern akzeptieren.

Konkret betroffen sind die Kommunikationsmodule CC88A, OC88A, CC68X, OC68A, CU78X, CU73X, CC73X, OC73X, sowie die Kompaktstationen ACOS 710, 711 und 720.

Für alle diese Komponenten steht ab dem 23.09.2016 eine Softwareversion bereit, mit der die Schwachstelle behoben wird.

Wir empfehlen bei Übertragung über das genormte Protokoll IEC 60870-5-104 in öffentlichen Übertragungsnetzen grundsätzlich auf unverschlüsselte Übertragung und auf den Modus „Any-IP“ zu verzichten. Falls dennoch in öffentlichen Netzen ohne eine Verschlüsselung im Modus "Any-IP" übertragen wird, muss das Software-Update zwingend installiert werden. In allen anderen Fällen empfehlen wir ein Software-Update beim nächsten Anfahren der Fernwirk-Unterstation.

Falls Sie eines der o.g. Produkte im Einsatz haben, wenden Sie sich bitte an unser Kundencenter (Tel.: 07243/218-990). Wir empfehlen Ihnen individuell die für Ihr System wirtschaftlichste Lösung.

24.08.2016Kritische Schwachstelle bei Firewalls von Cisco

Die sogenannte Zero-Day-Lücke, findet sich im Simple Network Management Protocol (SNMP) der Adaptive Security Appliance (ASA) Software. Angreifer können diese ohne Authentifizierung aus der Ferne ausnutzen, um eigenen Code auszuführen und im schlimmsten Fall ein komplettes System zu übernehmen.

Da sich die Problematik auf das SNMP-Protokoll bezieht, besteht die Gefahr für Kunden nur durch einen Angriff von „innen“ heraus. Und nur bei Verwendung von SNMP. Denn dieses wird nach „außen“ weder veröffentlicht noch weitergeleitet. Daher sind Netzwerke von unberechtigten Zugriffen aus dem Internet weiterhin abgesichert.

Cisco arbeitet an einem Patch, um das Problem zu lösen. Sobald der Patch verfügbar ist, können wir Ihnen dieses im Rahmen von vertraglichen Verpflichtungen bzw. auf Anfrage gerne nach Aufwand  einspielen.

Weitere Sicherheitslücken von Cisco und nähere Informationen finden sie hier.

22.7.2016Keine Prüfung der Signatur bei Juniper

Schon wieder eine Sicherheitslücke bei Juniper: Produkte mit Junos-Betriebssystem akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur, wie es normalerweise üblich ist, findet schlichtweg nicht statt.

Solange eine von Junos akzeptierte Zertifizierungsstelle als Aussteller eingetragen ist, kann also jeder ein gültiges Zertifikat erstellen.

Für die betroffenen Geräte stellt Juniper seinen Nutzern ein Update zur Verfügung.

Mehr Informationen erhalten Sie hier.

4.7.2016Sicherheitslücken in Meinberg's LTOS6 Web Interface

Ein unabhängiger Sicherheitsexperte hat gleich mehrere Sicherheitslücken in Meinberg's LTOS6 Web Interface aufgespürt.

Die entdeckten Sicherheitslücken erlauben es, Skripte mit Super User Rechten auszuführen. Damit der Angreifer diese Lücke ausnutzen kann, muss er auf das Web Interface eines betroffenen Gerätes zugreifen können.

Die dringende Empfehlung von Meinberg: Die Aktualisierung aller LANTIME-, SyncFire- und LCES-Geräte auf die Firmware Version LTOS 6.20.005.

Mehr Informationen erhalten Sie auch hier:

4.3.2016Krypto-Trojaner „Locky“

Wie Sie vielleicht bereits den Medien entnommen haben, verbreitet sich derzeit rasend ein neuer Trojaner mit der Bezeichnung „Locky“. Dieser Krypto-Trojaner verschlüsselt nicht nur Dateien auf dem infizierten Rechner, sondern auch solche, die er über das Netzwerk erreicht (verbundene Netzlaufwerke und Freigaben im Netzwerk).

Derzeit ist es noch nicht möglich, die verschlüsselten Daten zu retten, ohne auf die formulierten Erpressungen des Schädling-Entwicklers einzugehen.

Sie sollten daher folgende Vorkehrungen treffen:

  • Durchführung regelmäßiger Backups (mit offline-Ablage)
  • Regelmäßige Installation aktueller Patches (Betriebssystem, Office, Browser, …)
  • Einsatz eines Virenscanners mit aktuellen Signaturen
  • Vermeidung des Öffnens von Mail-Anhängen bei nicht-vertrauenswürden Versendern

Weitere Schutzmaßnahmen lassen sich in Domain-verwalteten Windows-Netzen mit Hilfe von Gruppenrichtlinien durchführen. Hierzu bieten wir Ihnen gern bei Bedarf unsere Unterstützung an.

Weitere Informationen finden Sie hier.

3.3.2016Zahlreiche Hersteller patchen dramatische glibc-Lücke

Linux sehr weit verbreitet - und dementsprechend auch die glibc, die in älteren Versionen angreifbar ist. Sicherheits-Updates gibt es unter anderem von Zyxel, VMware und Citrix, andere geben Entwarnung.

Diverse Hersteller haben Sicherheits-Updates herausgegeben, welche die dramatische Schwachstelle in den Netzwerkfunktionen der glibc schließen sollen. Durch die Lücke kann ein Angreifer Linux-Systeme aus der Ferne übernehmen, indem er speziell präparierte DNS-Pakete schickt.

Insbesondere für Systeme, die direkt mit dem Internet verbunden sind bzw. die Dienste ins Internet bereitstellen empfehlen wir die zeitnahe Installation von entsprechenden Sicherheits-Updates.

Für die UTM-Systeme des Herstellers Sophos ist ein entsprechendes Sicherheits-Update bereitgestellt worden. In folgenden Versionen (Security Updates) ist die Sicherheitslücke gefixt worden:

  • v9.217
  • v9.319
  • v9.355-001

Weitere Informationen und Empfehlungen zum Beseitigen der Sicherheitslücke finden Sie bei heise.de.

12.02.2016Kritische Sicherheitslücke bei ASA Firewalls Bei ASA Firewalls liegt eine kritische Sicherheitslücke vor. Laut Cisco sind folgende Produkte betroffen, sofern die Funktion VPN (über IPSec) aktiviert ist:
•    ASA 5500 Series Adaptive Security Appliance
•    ASA 5500-X Series Next-Generation Firewall
•    ASA Services Module for Cisco Catalyst 6500 Series Switches
•    Cisco 7600 Series Router
•    ASA 1000V Cloud Firewall
•    Adaptive Security Virtual Appliance (ASAv)
•    Firepower 9300 ASA Security Module
•    ISA 3000 Industrial Security Appliance

Worin besteht diese Sicherheitslücke?
Schickt man diesen Geräten entsprechend präparierte Pakete, werden diese bei der Verarbeitung so in den Speicher geschrieben, dass der Angreifer einen Pufferüberlauf im Heap ausnutzen kann, um seinen Schadcode in einem Bereich des Speichers zu platzieren, der anschließend ausgeführt wird. Ein Angreifer kann so einen besonders kritischen Teil der Netzwerkinfrastruktur kapern und von dort aus tiefer in das Netz vordringen.

Bitte wenden Sie sich an unser Kundencenter (Tel.: 07243/218-990), falls Sie eines der o.g. Produkte im Einsatz haben. Wir empfehlen Ihnen individuell die für Ihr System wirtschaftlichste Lösung.

19.01.2016

Kein Support mehr für Internet Explorer 8, 9 und 10

Handlungsempfehlung für ACOS NMS

Microsoft hat seit dem 12.01.2016 seinen Support für die Versionen 8, 9 und 10 des Internet Explorers eingestellt. Das bedeutet: Bestehende Sicherheitslücken in diesen Versionen bleiben weiter offen, und es besteht die Gefahr, dass weitere entstehen. In diesem Zusammenhang raten wir unseren Kunden, aus Sicherheitsgründen nur noch den Internet Explorer 11 einzusetzen.

Was bedeutet das für den webbasierten Einsatz von ACOS NMS?

Bereits seit Juli 2014 ist die ACOS NMS Version 3.11.1 für den Internet Explorer 11 freigegeben und einsetzbar. Kunden, die noch ACOS NMS 3.11.0 oder ältere Versionen im Einsatz haben, empfehlen wir aus Sicherheitsgründen ein Update auf die aktuellste Version von ACOS NMS.

Bitte wenden Sie sich bei Fragen an Ihren zuständigen Vertriebsmitarbeiter oder den Produktmanager für ACOS NMS, Herrn Stefan Dinger.

24.11.2015BSI-Lagebericht zur IT-Sicherheit kritischer Infrastrukturen

Im Bericht des Bundesamts für Informationssicherheit (BSI) hat der Schutz Kritischer Infrastrukturen (KRITIS) einen eigenen Schwerpunkt erhalten. Darin heißt es u.a., dass das IT-Sicherheitsniveau in im KRITIS-Sektor weiterhin sehr uneinheitlich sei. An einer Definition, die klärt, welche KRITIS-Betreiber konkret unter das Gesetz fallen, wird noch gearbeitet. Doch nennt der BSI Beispiele aus dem Energiesektor, in denen es zu Angriffen auf KRITIS-Betreiber kam.

Die Risiken sind weiterhin präsent – so der BSI-Lagebericht. Dabei sind vor allem kritische Schwachstellen in Standard-IT-Produkten zu erwähnen, deren Anzahl sich im Vergleich zu den Vorjahren massiv erhöht haben. Am meisten gefährdet sind hauptsächlich Webbrowser und darin enthaltene Plug-ins. Im  Browser-Plug-in Adobe Flash Player wurde dabei die mit Abstand höchste Anzahl kritischer Schwachstellen gefunden.

Insgesamt sei das Jahr 2015 geprägt durch eine Reihe von IT-Sicherheitsvorfällen, die eine fortschreitende Professionalisierung der Angriffsmittel und -methoden aufzeigen würden. Vor allem die APT (Advanced-Persistent-Threat)-Angriffe werden explizit als Bedrohung genannt. Die Dunkelziffer sei hier laut BSI sehr hoch. Der BSI rät Firmen und Investitionen zudem die Förderung von Kryptographie als Verschlüsselungstechnik.

Weitere Informationen erhalten Sie hier

02.11.2015Sicherheitslücke im Realtime-Embedded-Betriebssystems VxWorks

Auf der Security-Konferenz 44CON in London wurde erläutert, wie mittels Fuzzing verschiedene Schwachstellen in den weit verbreiteten Versionen 5.5 bis einschließlich 6.9.4.1 des Realtime-Embedded-Betriebssystems VxWorks des Herstellers Wind River identifiziert wurden. Beim Fuzzing wird eine große Anzahl zufälliger Attacken automatisch in den Netzwerkverkehr eingeschleust, einschließlich fehlerhafter oder unerwarteter Variationen des legitimen Datenverkehrs. Es ist durch die Ausnutzung der Schwachstellen möglich, über das Netzwerk einen Pufferüberlauf zu provozieren und anschließend beliebigen Code ausführen zu lassen. Mit einem speziellen Nutzernamen und Passwort war es zudem möglich, den FTP-Server des Systems zum Absturz zu bringen.

In den IDS-Produkten und in Netzwerk-Komponenten des Fabrikates Nexans kommt VxWorks nicht zum Einsatz. Auskünfte zu weiteren Netzwerk-Komponenten erteilen wir auf Anfrage gerne.

26.10.2015Verwundbarkeit von unprovisionierten Intel-Management-Systemen (AMT)

Intel bietet für PCs mit der bereits im Chipsatz des Mainboards implementierten Management-Lösung AMT (auch als vPro beworben) eine Fernwartungsfunktion an, mit deren Hilfe Rechner selbst aus dem ausgeschalteten Zustand heraus aktiviert und vollständig konfiguriert werden können. AMT ist Teil der Intel Management Engine. Im Auslieferungszustand ist das System typischerweise unkonfiguriert und mit einem Standardpasswort versehen. Wird diese Funktion nicht benötigt, bleibt dieser unkonfigurierte Zustand meist bestehen. Ein Angreifer kann mit einem speziell präparierten USB-Stick einen derartigen Rechner unabhängig von eventuell eingerichteten Sicherheitsmaßnahmen durch Nutzung des herstellerspezifischen Standard AMT Passworts umkonfigurieren. Betroffen sind diverse Systeme verschiedener Hersteller, die einen entsprechenden Intel Chipsatz enthalten, u.a. auch Industrie-PCs der Fabrikate Nise3500 und Nise3600. 

Weitere Informationen und Empfehlungen zum Beseitigen der Sicherheitslücke finden Sie in der Kurzinfo CB-K15/1256 sowie bei heiseSecurity.

20.08.2015Bundesnetzagentur veröffentlicht IT-Sicherheitskatalog

Als Reaktion auf die Verabschiedung des IT-Sicherheitsgesetzes durch den Deutschen Bundestag veröffentlichte die BNetzA offiziell ihren IT-Sicherheitskatalog für Betreiber von Energieversorgungsnetzen. Dieser enthält branchenspezifische  Regelungen für die Umsetzung des Gesetzes, zu denen Netzbetreiber nun verpflichtet sind.

Der Katalog nennt  u.a. konkrete Fristen für die Zertifizierung und die Benennung von Ansprechpartnern für IT-Sicherheitsfragen.

Lesen Sie hier mehr dazu.
01.07.2015

EU beschließt Meldeplicht bei Cyberangriffen bestimmter Infrastrukturen

EU-Rat und Parlament sind sich einig: Betreiber „wesentlicher“ Infrastrukturen müssen bald Cyberangriffe melden. In Deutschland wäre hierfür das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.

Die EU-Mitgliedsstaaten sollen dabei die betroffenen Unternehmen anhand vorgegebener Kriterien auswählen. Dabei geht es vor allem um "kritische Infrastrukturen" für Energie, Verkehr, Banken, Finanzmarkt und Gesundheit. Einzelheiten etwa zur Weitergabe von Informationen auch an die Öffentlichkeit sind noch nicht geklärt – ebenso wie die Auswirkungen der Richtlinie auf das bereits in Deutschland verabschiedete IT-Sicherheitsgesetz. Mehr dazu erfahren Sie hier

04.06.2015Sicherheitslücke in älteren Netzwerk-Controllern

Wir möchten Sie auf diesem Weg darüber informieren, dass ältere Netzwerk-Controller des Systems IDS 850 eine potentielle Sicherheitslücke im internen Webserver aufweisen. Es handelt sich dabei um die im Jahr 2009 abgekündigten Module NC851, NC853, NC854 und NC856 (bzw. EC86A).

Wir empfehlen Ihnen daher eine der folgenden Maßnahmen:

  • Abschaltung des internen Webserver. Dies erfolgt über die Konfigurationseinstellungen.
  • Ersatz des Netzwerk-Controllers durch einen aktuellen Netzwerk-Controller CC88A. Diese Variante ist nur bei Systemen mit IEC 60870-5-104 mit 2 Byte ASDU-Adresse möglich.
  • Schutz der Module durch die Installation einer Firewall gegen unbefugten Zugriff.

Wenn Sie diese Module noch im Einsatz haben, wenden Sie sich bitte an unser IDS-Kundencenter (Tel.: 07243/218-990). Wir beraten Sie gerne und empfehlen Ihnen individuell die für Ihr System wirtschaftlichste Lösung.

Weitere Fragen zum Thema Sicherheit und zu unseren Serviceleistungen beantwortet Ihnen gerne unser Sicherheitsbeauftragter und Leiter des Geschäftsbereiches Service, Dieter Göbelbecker.

18.12.2014Erfolgreicher Angriff auf Stahlwerk

Schon wieder gab es einen gezielten Angriff auf die deutsche Industrie – diesmal traf es ein Stahlwerk. Die Angreifer haben gezielt Passwörter ausgespäht, das Büronetz des Werks infiltriert und sich von dort bis zu Steueranlagen vorgearbeitet. Als sie Zugriff zum Produktionsnetz hatten, haben sie die Steuerkomponenten des Werks manipuliert.

Nach Aussagen des BSI führten die Ausfälle dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undefinierten Zustand befand. Die Folge waren massive Beschädigungen der Anlage.

Mehr dazu lesen Sie auf heise.de  

17.11.14Informationssicherheits-Managementsystem für Energieversorger

Im Entwurf des IT-Sicherheitskatalogs sieht die BNetzA für Energieversorger die Verpflichtung zur Einführung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) nach DIN ISO/IEC 27001 vor.

Einführung und Umsetzung eines ISMS berühren sowohl organisatorische als auch technische Prozesse eines Unternehmens. Die SYSTEMA GmbH aus Potsdam und die IDS GmbH aus Ettlingen können Energieversorger bei der Einführung eines ISMS gemäß DIN ISO/IEC 27001 unterstützen.

Lesen Sie mehr dazu in unserer Pressemeldung.

29.09.2014Shellshock: Information für IDS-Kunden

In dieser Woche wurde eine Reihe von Sicherheitslücken (bezeichnet als „Shellshock“) in der Unix-Shell Bash gefunden. Diese ermöglichen unter Umständen das Ausführen von Schadcode aus der Ferne.

Bash ist eine Unix-Shell, die auf vielen Systemen mit einem Unix/Linux-Betriebssystem die Standard-Shell für das Benutzerinterface zwischen dem Betriebssystem und dem Nutzer zur Eingabe von Systembefehlen ist. Die Fehler bestehen seit den ersten Versionen von Bash.

IDS-Kunden können allerdings aufatmen, denn

  • die IDS Fernwirktechnik ist davon nicht betroffen, da auf dieser keine Bash-Shell installiert ist.
  • für unser Netzleitsystem HIGH-LEIT XW gibt es bereits einen Patch für Kunden mit einem Oracle-Support-Vertrag.
  • die von uns eingesetzten 3rd-Party-Produkte Endian, Sophos, Cisco, Westermo und X4 sind nicht betroffen.
  • die Systeme ACOS ECS und ACOS EAS sind ebenfalls nicht betroffen.
  • für unsere unter Linux laufenden Systeme ACOS NMS und ACOS DMS gibt es bereits Patches für Kunden mit einem Support-Vertrag.

Über die weitere Entwicklung halten wir Sie selbstverständlich auf dem Laufenden. Bei Fragen zum Thema können Sie sich gerne an Dieter Göbelbecker wenden.

08.09.2014ZFK-Umfrage

Wie sinnvoll ist das IT-Sicherheitsgesetz?

Im jüngsten Entwurf des IT-Sicherheitsgesetzes (ITSiG) von Bundesinnenminister Thomas de Maizière sollen künftig Unternehmen mit sensibler Infrastruktur schwere Cyberattacken beim BSI melden. Insgesamt sind sieben Branchen betroffen, u.a. auch Wasser- und Energieversorger.

Eine Ausnahmeregelung für Kleinstunternehmen gibt es zwar, doch soll diese nicht für kommunale Unternehmen gelten. Auch wenn eine anonyme Meldung möglich ist – was halten Sie von diesem Vorschlag?

Ihre Meinung dazu können Sie in der aktuellen ZFK-Umfrage unter www.zkf.de (rechte Seitenleiste) äußern!

25.7.2014Bundesregierung will die Cyber-Sicherheit verstärken

Die 2009 verabschiedete Strategie zur Sicherung kritischer Infrastrukturen wird weiter ausgebaut. Um für die veränderten und wachsenden Bedrohungen im Cyberraum gerüstet zu sein, stellte das  Bundesinnenministerium nun den erweiterten Umsetzungsplan KRITIS vor.

Dieser soll alle Unternehmen, die kritische Infrastrukturen betreiben, dazu anregen, sich an den Branchengesprächen innerhalb ihrer Sektoren-Zugehörigkeit zu beteiligen.

"In Anbetracht der Allgegenwärtigkeit der Informationstechnik und der sich zuspitzenden Bedrohungslage im Cyberraum haben wir unsere Handlungsschwerpunkte überarbeitet und wollen in Zukunft noch enger zusammenrücken. Deutschland soll auch in Zukunft Vorreiter bei verlässlichen und robusten Infrastrukturen in Europa bleiben", erklärte Bundesinnenminister Thomas de Maizière.

Mehr Informationen dazu finden Sie auch auf Heise Online.

17.7.2014Umfrage zur Cyber-Sicherheit

Wie groß sind die Bedrohungen durch die zunehmende Digitalisierung von Wirtschaft und Gesellschaft?

Dieser Frage geht das das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Umfrage zur aktuellen Situation der Cyber-Sicherheit in Deutschland nach. Ziel ist es, Informationen zur subjektiven Gefährdungssituation und zu durchgeführten Schutzmaßnahmen und Best Practices aus Sicht von potenziell von Cyber-Angriffen betroffenen Unternehmen, Behörden und Institutionen zu erhalten.

Mehr Informationen und die Möglichkeit zur Teilnahme bekommen Sie auf der Website des BSI.

Die Ergebnisse der Umfrage werden voraussichtlich im Oktober zur Messe it-sa veröffentlicht.

10.7.2014Gezielte Hackerangriffe auf westliche Industrieanlagen

Vor wenigen Tagen berichtete der Nachrichtendienst Heise über eine osteuropäische Hackergruppe mit dem Namen "Dragonfly" (Libelle), die Schadsoftware in die Systeme westlicher Industrieunternehmen schleusen konnte - auch über das Internet.

Angriffsziele waren Betreiber von Energienetzen und Pipelines, Stromerzeuger und Anbieter von Technik für die Energiebranche. Zu Sabotageakten kam es vor allem in Spanien (27% der Fälle) und den USA (24% der Fälle). Aber auch Deutschland war in 7% der Fälle betroffen.

Wie schützen Sie sich vor möglichen Angriffen über das Internet?

Falls Sie z.B. einen Webserver direkt im Internet betreiben, stellt dies ein enormes Sicherheitsrisiko dar. Vor dem Hintergrund der Handlungsempfehlungen im IT-Sicherheitskatalog raten wir Ihnen dringend, HIGH-LEIT Webserver nur noch über eine gesicherte Verbindung via Virtual Private Network (VPN) an das Internet anzubinden. 

Wir beraten Sie hierbei gerne und unterstützen Sie bei der Einrichtung eines VPN-Zugangs. Auch bei der Einführung des IT-Sicherheitskataloges bieten wie Ihnen wirkungsvolle und schnell umsetzbare Lösungen an, um die darin geforderten Maßnahmen gemäß DIN ISO/IEC 27002 und 27019 (DIN SPEC 27009) zu erfüllen.

Mehr Informationen erhalten Sie bei unserem IT-Sicherheitsbeauftragten Dieter Göbelbecker oder direkt bei Ihrem zuständigen Außendienstmitarbeiter.

26.6.2014IT-Sicherheitsaudit

In Zusammenarbeit mit unserem Schwesterunternehmen, der Systema Gesellschaft für angewandte Datentechnik mbH, decken wir anhand von IT-Sicherheitsaudits Risikopotentiale, Gefährdungen und mögliche Fehlerquellen in Ihrem Unternehmen auf.

Je nach Bedarf können Sie zwischen verschiedenen umfangreichen Service-Paketen wählen.

Mehr Informationen zu den einzelnen Leistungen erfahren Sie hier

5.5.2014IT-Security Quickcheck

Mit unserem IT-Security Quickcheck möchten wir Ihnen dabei helfen, besser einzuschätzen, wie sicher Ihre Netzleitstelle tatsächlich ist und welche Maßnahmen wichtig sind, um diese zu schützen.

Nach Auswertung unseres Fragebogens geben wir Ihnen eine Einschätzung über den Sicherheitsstand Ihrer Netzleitstelle und bieten Ihnen konkrete Handlungsempfehlungen, um vor internen und externen Gefahren zu schützen, Schaden zu vermeiden und Risiken zu minimieren.

Bei Interesse können Sie den IT-Security Quickcheck hier anfordern. Alternativ wenden Sie sich bitte an Ihren persönlichen Vertriebsaußendienstmitarbeiter.

15.04.2014 Heartbleed/VPN- Gateways und Firewalls

Auf Serverseite können zusammen mit IDS-Fernwirkgeräten VPN-Gateways und Firewalls von Endian oder von anderen Herstellern zum Einsatz kommen.

Endian-Firewalls sind von der Heartbleed-Sicherheitslücke nicht betroffen.

Für Firewalls von Astaro/Sophos stehen auf der Sophos-Webseite entsprechende Sicherheitspatches zum Download bereit:

www.sophos.com/en-us/support/knowledgebase/120851.aspx

10.04.2014Heartbleed/IDS-Produkte

Am Montag den 07.04.2014 wurden  Informationen zu einer schwerwiegenden Sicherheitslücke in der "OpenSSL-Bibliothek" veröffentlicht.

OpenSSL wird u. a. als Basis für verschlüsselte HTTP-Verbindungen (HTTPS) verwendet. Außerdem ist OpenSSL die Grundlage von virtuellen privaten Netzwerken über OpenVPN.

OpenSSL wird auch für HTTPS und OpenVPN-Verbindungen in IDS-Fernwirkgeräten der ACOS 7 Serie eingesetzt. IDS-Fernwirkgeräte verwenden allerdings eine nicht von der Heartbleed-Sicherheitslücke betroffene OpenSSL-Version.

Die IDS-Produkte HIGH-LEIT NT/XW, ACOS NMS, ACOS ECS, ACOS EAS und ACOS DMS sind nicht von der Heartbleed-Sicherheitslücke betroffen.

Nähere Informationen zu Heartbleed finden Sie auf den folgenden Seiten:

http://www.openssl.org/news/secadv_20140407.txt

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

http://heartbleed.com/