de-Buchshop
(Bild: Abus)
Unter der Headline »c't deckt auf: Security-GAU bei Abus-Alarmanlagen« weist Heise Medien auf eine Sicherheitslücke in der vernetzten Alarmanlage »Secvest FUAA50000« von Abus hin. Der Beitrag legt dar, dass der Sicherheitsexperte Niels Teusink von Eye Security eine Sicherheitslücke entdeckt habe, bei der die Alarmzentrale über eine bestimmte URL ohne Authentifizierung ihre Gerätekonfiguration samt Admin-PIN ausliefert. Zwar sollte ein Firmware-Update auf Version 3.01.21 das Problem beheben, und die Provider der Abus-Kunden wurden informiert, allerdings seien in vielen Fällen noch keine geeigneten Schutzmaßnahmen ergriffen worden.
Wir haben beim Hersteller Abus nachgefragt, was er zu der in diesen Fällen weiterhin bestehenden Sicherheitslücke bei der Secvest-Funkalarmanlage sagt, und haben folgendes Statement erhalten: »Wir wurden im November 2020 auf eine sicherheitsrelevante Thematik hingewiesen, die Secvest Systeme betreffen kann, die mit dem Internet verbunden sind. Mit dem im Januar 2021 veröffentlichten Update wurde diese behoben. Dies wurde auch von externer Seite bestätigt. Leider mussten wir feststellen, dass die Dringlichkeit des notwendigen Softwareupdates nicht alle Abus Errichter erreicht hat, wofür wir uns entschuldigen möchten. Wir stehen in engem Austausch mit unseren Partnern, um die Secvest Systeme zeitnah auf den aktuellen Firmware-Stand zu bringen.«
