Prime Tower gehackt

Wegen einer löchrigen Webapplikation konnten Verbrecher einsehen, wann welche Büros im Hochhaus besetzt sind, und sogar einiges steuern. Nun haben die Betreiber reagiert.

Gläserner Turm: Die Parkhaussoftware des Prime Tower gibt empfindliche Daten preis.

Gläserner Turm: Die Parkhaussoftware des Prime Tower gibt empfindliche Daten preis. Bild: Urs Jaudas

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Im Wettkampf um das am intelligentesten vernetzte Gebäude der Welt haben die Betreiber des Zürcher Prime Tower die Sicherheit sträflich vernachlässigt. Das schreibt das deutsche Informatik-Newsportal Golem.de. Die Spezialisten haben in einer Webapplikation des Hochhauses massive Sicherheitslücken entdeckt. Die Software gebe detailliert Auskunft darüber, welche Parkplätze wann wie lange belegt werden. Jedem sei es möglich, über das Internet die entsprechende Applikation aufzurufen, so Golem.de. «Es lässt sich auf den Stellplatz genau ermitteln, wann und wie lange dieser belegt ist oder war – rückblickend über mehrere Monate.»

Die Parkplätze gehören zum überwiegenden Teil Firmen. Die Muster in den Parkzeiten würden darauf hinweisen, dass die meisten Stellplätze immer von den gleichen Fahrzeugen oder zumindest Personen genutzt würden, schreibt Golem.de.

«Wertvolle Daten für Einbrecher»

Mit Stichproben aus den Parkdaten von mehreren Monaten haben die IT-Spezialisten ziemlich exakt prognostizieren können, wann ein Parkplatz durch eine Person belegt wird und wann nicht. Bis auf 10 Minuten genau. «Das sind wertvolle Daten, die auch für Einbrecher interessant sein dürften.»

Durch die Erfassung und öffentliche Abrufbarkeit der Daten würden die Parkenden gläsern, so das Newsportal. «Guter Datenschutz ist das gewiss nicht.» Noch gravierender als die Mängel im Bereich Datenschutz seien allerdings jene im Bereich Sicherheit. Dass die Applikation von aussen auffindbar sei, zeige, dass die Verantwortlichen bei der Einrichtung des Systems ihre Pflichten nicht besonders ernst genommen hätten. Applikationen, die kritische Infrastrukturen kontrollieren, sollten gemäss den Experten nur über eine verschlüsselte Verbindung aus der Ferne erreichbar sein.

Lichter und Schranken kontrollieren per Mausklick

Über die Webapplikation lasse sich die gesamte Steuerung der Parkdecks vornehmen, also auch Steuerung der Schranken, Parkhauslichter oder die Parkplatzreservierung. Diese Funktionen bedürfen allerdings teilweise eines Logins. Über eine Brute-Force-Attacke, das heisst das Ausprobieren von Passwörtern, sei es aber ein Leichtes, diese herauszufinden. Es könnte auch gelingen, Standardpasswörter des Herstellers zu nutzen, um die Kontrolle zu übernehmen. Ein noch aggressiveres Vorgehen wäre die Überforderung der betreffenden Dienste, etwa mittels eines sogenannten DoS- oder DDoS-Angriffs. «Im schlimmsten Fall wäre dann das gesamte Parkhaus funktionsunfähig.»

Die Betreiber des Parkhauses wurden bereits vor rund drei Monaten auf die Problematik aufmerksam gemacht. Lange hätten sich diese allerdings trotz mehrfacher Hinweise nicht zur Sicherheitslücke geäussert, so Golem.de. Erst als das Newsportal die Sicherheitslücke publizierte und Tagesanzeiger.ch/Newsnet die Geschichte aufnahm, reagierte die Besitzerin Swiss Prime Site: Der externe Zugriff auf die Webapplikation sei inzwischen blockiert worden, teilte sie am Freitagabend mit. Dieser habe sich zu jeder Zeit auf einen «read-only» Modus beschränkt, und somit auf Daten, die in einer öffentlich zugänglichen Tiefgarage auch bei einem Augenschein vor Ort hätten ermittelt werden können. Für die Mieter auf dem Areal Prime Tower sowie für die gesamte Infrastruktur habe zu keiner Zeit eine Gefährdung bestanden. (Tagesanzeiger.ch/Newsnet)

Erstellt: 22.01.2016, 11:53 Uhr

Artikel zum Thema

Prime Trauer

Glosse Zürich hat die Luftherrschaft verloren, der Prime Tower ist nicht mehr der Königsturm. Immerhin ist der Basler Roche-Bau nicht das höchste Gebäude der Schweiz. Mehr...

Hacker könnten Patienten tödliche Dosis verabreichen

Schweizer Spitäler haben gravierende IT-Sicherheitslücken. Immer mehr medizinische Geräte sind mit dem Internet verbunden und dadurch verwundbar. Mehr...

Daten von 15 Millionen T-Mobile-Kunden gehackt

Experian prüft die Kreditwürdikeit von T-Mobile-Kunden. Hacker nutzen ein Datenleck im System des US-Unternehmens und greifen Daten von 15 Millionen Klienten ab. Mehr...

Das Ressort Zürich auf Twitter

Das Zürich-Team der Redaktion versorgt Sie hier mit Nachrichten aus Stadt und Kanton.

Etwas gesehen, etwas geschehen?

Leser-Reporter

Haben Sie etwas Aussergewöhnliches gesehen, fotografiert oder gefilmt? Ist Ihnen etwas bekannt, das die Leserinnen und Leser von Tagesanzeiger.ch/Newsnet wissen sollten? Senden Sie uns Ihr Bild, Ihr Video, Ihre Information per MMS an 4488 (CHF 0.70 pro MMS).
Die Publikation eines exklusiven Leserreporter-Inhalts mit hohem Nachrichtenwert honoriert die Redaktion mit 50 Franken. Mehr...

Paid Post

Wir suchen die beste Nachbarschaft der Schweiz

Was macht eine gute Nachbarschaft aus? Erzählen Sie es uns und nominieren Sie Ihr Quartier zum besten der Schweiz. Mitmachen lohnt sich, für Sie und Ihre Nachbarn.

Kommentare

Service

Ihre Spasskarte

Mit Ihrer Carte Blanche von diversen Vergünstigungen profitieren.

Die Welt in Bildern

Familie und Freunde der 43 mexikanischen Studenten die September 2014 nach Protesten verschwanden, klagen das auch nach 43 Monaten keine Auflösung vorliegt. (26. April 2018)
(Bild: Yuri Cortez) Mehr...