20180424 Wer fährt nicht gern mal mit der Seilbahn

24.04.2018 Wer fährt nicht gern mal mit der Seilbahn

... und kann die echten Fahrgäste "einfach hängen lassen"

Ein Flugzeug in einem richtigen Flugsimulator zu steuern ist sicher für viele ein Wunsch. Man kann aber auch "etwas tiefer" seine Freude haben und mit einer Seilbahn beginnen. Dafür hat sich bis vor kurzer Zeit die bei Innsbruck gelegene Patscherkofel-Gondelbahn angeboten.

Auf die Steuerungsanlage für die Seilbahn konnte über das Internet zugegriffen werden, wie die White-Hat Hacker von intenetwache.org herausgefunden haben. Die Bahn wurde erst im Jahr 2017 eröffnet und ist modern eingerichtet. Die Fahrgäste haben bei der Gondelfahrt zum Gipfel sogar einen WLAN-Access-Point in der Kabine.

Nun fährt die Bahn erstmal nicht, denn auf Anfrage des österreichischen Emergency Response Teams (Cert) muss vor der Wiederinbetriebnahme der Fernwartungsschnittstellen auch ein neues Sicherheitskonzept erarbeitet werden, denn die Probleme sind nicht so einfach zu lösen:

Die Anlage sollte für Webnutzer nicht frei im Netz auffindbar sein.
Bisher war die Kommunikation mit der Anlage nicht TLS verschlüsselt.
Eine Authentifizierung an dem System war nicht vorgesehen.
Die Software war anfällig für Cross-Site-Scripting (XSS) und HTTP Header Injection.

Der Hersteller verkauft dies in seinem Prospekt mit den Worten "Fernwartungssystem mit IT-Sicherheit gegen ungewollte Zugriffe von außen". Das österreichische Cert ist allerdings der Meinung, dass der Betreiber IKB die Bahn erst wieder in Betrieb nehmen darf, wenn "ein brauchbares Security-Konzept vorliegt und umgesetzt ist".

Mehr dazu bei https://www.golem.de/news/patscherkofel-gondelbahn-mit-sicherheitsluecken-1804-133930.html