Prime Tower gehackt

Gläserner Turm: Die Parkhaussoftware des Prime Tower gibt empfindliche Daten preis. Bild: Urs Jaudas

Im Wettkampf um das am intelligentesten vernetzte Gebäude der Welt haben die Betreiber des Zürcher Prime Tower die Sicherheit sträflich vernachlässigt. Das schreibt das deutsche Informatik-Newsportal Golem.de. Die Spezialisten haben in einer Webapplikation des Hochhauses massive Sicherheitslücken entdeckt. Die Software gebe detailliert Auskunft darüber, welche Parkplätze wann wie lange belegt werden. Jedem sei es möglich, über das Internet die entsprechende Applikation aufzurufen, so Golem.de. «Es lässt sich auf den Stellplatz genau ermitteln, wann und wie lange dieser belegt ist oder war – rückblickend über mehrere Monate.»

Die Parkplätze gehören zum überwiegenden Teil Firmen. Die Muster in den Parkzeiten würden darauf hinweisen, dass die meisten Stellplätze immer von den gleichen Fahrzeugen oder zumindest Personen genutzt würden, schreibt Golem.de.

«Wertvolle Daten für Einbrecher»

Mit Stichproben aus den Parkdaten von mehreren Monaten haben die IT-Spezialisten ziemlich exakt prognostizieren können, wann ein Parkplatz durch eine Person belegt wird und wann nicht. Bis auf 10 Minuten genau. «Das sind wertvolle Daten, die auch für Einbrecher interessant sein dürften.»

Durch die Erfassung und öffentliche Abrufbarkeit der Daten würden die Parkenden gläsern, so das Newsportal. «Guter Datenschutz ist das gewiss nicht.» Noch gravierender als die Mängel im Bereich Datenschutz seien allerdings jene im Bereich Sicherheit. Dass die Applikation von aussen auffindbar sei, zeige, dass die Verantwortlichen bei der Einrichtung des Systems ihre Pflichten nicht besonders ernst genommen hätten. Applikationen, die kritische Infrastrukturen kontrollieren, sollten gemäss den Experten nur über eine verschlüsselte Verbindung aus der Ferne erreichbar sein.

Lichter und Schranken kontrollieren per Mausklick

Über die Webapplikation lasse sich die gesamte Steuerung der Parkdecks vornehmen, also auch Steuerung der Schranken, Parkhauslichter oder die Parkplatzreservierung. Diese Funktionen bedürfen allerdings teilweise eines Logins. Über eine Brute-Force-Attacke, das heisst das Ausprobieren von Passwörtern, sei es aber ein Leichtes, diese herauszufinden. Es könnte auch gelingen, Standardpasswörter des Herstellers zu nutzen, um die Kontrolle zu übernehmen. Ein noch aggressiveres Vorgehen wäre die Überforderung der betreffenden Dienste, etwa mittels eines sogenannten DoS- oder DDoS-Angriffs. «Im schlimmsten Fall wäre dann das gesamte Parkhaus funktionsunfähig.»

Die Betreiber des Parkhauses wurden bereits vor rund drei Monaten auf die Problematik aufmerksam gemacht. Lange hätten sich diese allerdings trotz mehrfacher Hinweise nicht zur Sicherheitslücke geäussert, so Golem.de. Erst als das Newsportal die Sicherheitslücke publizierte und Tagesanzeiger.ch/Newsnet die Geschichte aufnahm, reagierte die Besitzerin Swiss Prime Site: Der externe Zugriff auf die Webapplikation sei inzwischen blockiert worden, teilte sie am Freitagabend mit. Dieser habe sich zu jeder Zeit auf einen «read-only» Modus beschränkt, und somit auf Daten, die in einer öffentlich zugänglichen Tiefgarage auch bei einem Augenschein vor Ort hätten ermittelt werden können. Für die Mieter auf dem Areal Prime Tower sowie für die gesamte Infrastruktur habe zu keiner Zeit eine Gefährdung bestanden. (Tagesanzeiger.ch/Newsnet)

Erstellt: 22.01.2016, 11:53 Uhr