Fehlerhafte Konfigurationen
Die Ursache für den einfachen und unkomplizierten Zugriff durch Unbefugten auf die Geräte, sind fehlerhafte Konfigurationen. Diese ermöglichen ein Ausspionieren von Unternehmen, die Einspeisung von Schadsoftware in fremde Netze und können sogar Brände durch eine gezielte Überhitzung verursachen.
Aufgrund der zunehmenden Verbreitung industrieller und privater 3D-Drucker und der Vielzahl der im Umlauf befindlichen Geräte sowie Interfaces, können nach Ansicht der Experten für Cybersicherheit des SANS Institutes noch zahlreiche Schwachstellen bestehen, die vergleichbare Missbrauchsszenarien ermöglichen.
Die Erläuterung des Experten
Zu den Ergebnissen seiner Recherche erklärt Xavier Mertens, Senior Handler für das SANS Internet Storm Center (ISC) und freier Berater für Cybersicherheit:
Standardeinstellung ändern!
„Wir haben mehr als 3.000 3D-Drucker gefunden, die direkt mit dem Internet verbunden sind. Diese Drucker werden mit dem Open-Source-Softwarepaket OctoPrint gesteuert, aber es gibt wahrscheinlich auch andere Tools, die ebenso betroffen sind. OctoPrint sollte nicht in der Standardeinstellung genutzt werden. Die Dokumenation erklärt, wie man eine sichere Installation der Software einrichtet. Da viele OctoPrint-Instanzen nicht richtig konfiguriert sind und keine Authentifizierung erzwingen, muss ein Benutzer, der einen Drucker direkt mit dem Netzwerk verbinden möchte, normalerweise selbst einen Proxy für die Authentifizierung konfigurieren.“
Gefahr für Leib und Leben
„Sobald ein Angreifer Zugriff auf einen der Drucker hat, kann er die Dateien herunterladen, die das zu druckende Teil beschreibt. Einige dieser Dateien (insbesondere die G-Code-Dateien) können proprietär sein und sensible Geschäftsgeheimnisse enthalten oder anderweitig urheberrechtlich geschützt sein. Ein Krimineller wäre auch in der Lage, diese Dateien auszutauschen und sie durch Dateien zu ersetzen, die ähnliche Teile mit gewollten Schwachstellen beschreiben, um minderwertige oder unsichere Teile zu erstellen. Da 3D-Drucker mittlerweile vielfältig genutzt werden, um alles von Spielzeug über medizinische Teile bis hin zu Waffen zu drucken, könnte ein Teil bereits mit leicht veränderten Abmessungen schwerwiegende Auswirkungen auf die Sicherheit der Produkte haben und damit sogar Menschenleben gefährden.“
Empfehlungen des Sicherheitsexperten
„Darüber hinaus verfügen einige Drucker nicht über Sicherheitsschalter, um eine Überhitzung zu verhindern. Das bedeutet, dass ein böswilliger Akteur einen Brand auslösen könnte, indem er eine bösartige Datei hochlädt und eine Überhitzung provoziert. Um sowohl die 3D-Drucker als auch die Dateien für die zu druckenden Teile zu schützen, ist es deshalb unbedingt notwendig, die üblichen Best Practices zu implementieren: Das umfasst die Sicherstellung der Netzwerksegmentierung (also den Drucker nicht mit dem Benutzer-LAN zu verbinden), die vom Tool bereitgestellten Sicherheitskontrollen zu aktivieren und den Zugriff selbst zu kontrollieren”,
so Mertens.
Über das SANS Institute
Das SANS Institute wurde 1989 als Forschungs- und Weiterbildungseinrichtung gegründet. Das SANS Institute ist heute die renommierteste und größte Schulungs- und Zertifizierungsorganisation weltweit rund um das Thema Informationssicherheit. International anerkannte SANS Trainer unterrichten in insgesamt rund 60 verschiedenen Kursen auf mehr als 200 Live- und Online-Trainings-Veranstaltungen jährlich. Berufszertifizierungen bietet die angeschlossene GIAC-Zertifizierung (Global Information Assurance Certification) an, insgesamt stehen derzeit 28 praxisorientierte technische IT-Security-Zertifizierungen zur Auswahl. Viele Ressourcen des SANS Institutes wie Informationen zu Konsensusprojekten, Forschungsberichte oder Newsletter sind kostenlos erhältlich. Zudem betreibt das Institut das Internet Storm Center, ein leistungsfähiges Frühwarnsystem, dass die Anzahl bösartiger sowie schädlicher Aktivitäten im Internet überwacht und meldet. Der Erfolg des SANS Institutes ist den einzigartigen Trainern, Experten auf höchstem internationalem Niveau, zuzuschreiben. Ihre Zusammenarbeit unter dem Dach des SANS Institutes und ihr Engagement kommt der gesamten IT-Security Community zugute. (www.sans.org)
