Sicherheitslücken durch falsch konfigurierte 3D-Drucker
04.09.2018 von Peter Marwan
Konkrete Gefahr droht durch OctoPrint, ein Web-Interface für 3D-Drucker. Experten des SANS Institutes fürchten jedoch, dass weitere Lücken vergleichbaren Missbrauch ermöglichen.
Tausende 3D-Drucker sind über die OctoPrint-Schnittstelle ohne Authentifizierung über das Internet erreichbar. Darauf haben Experten des SANS Institutes nach einer Untersuchung mit der Computer-Suchmaschine Shodan hingewiesen. OctoPrint ermöglicht es, alle Funktionen eines 3D-Druckers aus der Ferne zu steuern und zu überwachen. Der problemlose Zugriff durch Unbefugte ist durch fehlerhafte Konfigurationen möglich. Die OctoPrint-Entwickler haben darauf bereits reagiert und eine Anleitung für den sicheren Remote-Zugriff mit OctoPrint veröffentlicht.
Falsch konfigurierte 3D-Drucker könnten als Einfallstor für Malware oder für Sabotage missbraucht werden, warnen Experten des SANS Institute. Foto: Armin Weiler
Falsch konfiguriert, ermöglicht OctoPrint laut SANS Institute das Ausspionieren von Unternehmen, die 3D-Drucker verwenden. Außerdem lasse sich über die Drucker Schadsoftware in das Firmennetz einschleusen. Auch mutwillige Sachbeschädigung sei möglich, indem durch gezielte Überhitzung des Geräts Brände verursacht werden. Angesichts der zunehmenden Verbreitung industriell und privat genutzter 3D-Drucker sowie der großen Anzahl der Modelle und Interfaces fürchten die Cybersecurity-Experten des SANS Institute, dass "noch zahlreiche Schwachstellen bestehen, die vergleichbare Missbrauchsszenarien ermöglichen."
"Wir haben mehr als 3.000 3D-Drucker gefunden, die direkt mit dem Internet verbunden sind. Diese Drucker werden mit dem Open-Source-Softwarepaket OctoPrint gesteuert, aber es gibt wahrscheinlich auch andere Tools, die ebenso betroffen sind", erklärt Xavier Mertens vom SANS Internet Storm Center (ISC).
"Sobald ein Angreifer Zugriff auf einen der Drucker hat, kann er die Dateien herunterladen, die das zu druckende Teil beschreiben", so Mertens weiter. Besonders in Firmen könnten diese Dateien (insbesondere G-Code-Dateien) Geschäftsgeheimnisse enthalten. Kriminelle können diese Dateien laut Mertens auch durch andere Dateien ersetzen, etwa um ähnliche Teile mit gewollten Schwachstellen produzieren zu lassen.
"Da 3D-Drucker mittlerweile vielfältig genutzt werden, um alles von Spielzeug über medizinische Teile bis hin zu Waffen zu drucken, könnte ein Teil bereits mit leicht veränderten Abmessungen schwerwiegende Auswirkungen auf die Sicherheit der Produkte haben und damit sogar Menschenleben gefährden", warnt Mertens. Zur Vorbeugung empfiehlt er die gängigen Best Practices, also Netzwerksegmentierung, die verfügbaren Sicherheitskontrollen zu aktivieren sowie den Zugriff selbst zu kontrollieren.
IoT-Security - was Hersteller davon halten
IoT-Security - was die Hersteller davon halten Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11.
Sven Janssen, Sophos "In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss".
Richard Werner, Business Consultant bei Trend Micro "Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein."
David Beier, Partner Account Manager bei Avast "Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren."
Tim Berghoff, Security Evangelist bei G Data "Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt.
Maik Wetzel Channel Sales Director DACH bei ESET "Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller."
Hagen Renner, Link11 "Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden."
Thomas Huber, Nutanix "Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können."
Michael Haas, Area Sales Director Central Europe bei WatchGuard "Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen."
Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH "Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design."
Torsten Harengel, Leiter Security, bei Cisco Deutschland "Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich."
Michale Veit, Security-Experte bei Sophos "Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ."