Hack the Orion Controller


Die Delta Electronics (Switzerland) AG in Bern entwickelt und produziert modulare Stromversorgungen für Telecom und IT-Anwendungen. Das zentrale Element einer Delta Energieversorgung ist der ORION Controller, welcher das System steuert und überwacht. Selbstredend besteht hier eine sehr hohe Erwartung bezüglich Sicherheit, da bei einer Fehlfunktion die angeschlossenen Geräte ausfallen. In Form eines Penetration Tests wurde der ORION Controller durch die Redguard AG auf dessen Sicherheitszustand überprüft.



Das im Jahre 1971 gegründete taiwanesische Unternehmen Delta Electronics ist unter anderem der weltweit grösste Hersteller von Schaltnetzteilen und Stromversorgungsanlagen. Delta Electronics verfügt über Vertriebsniederlassungen, Produktionsstätten und Entwicklungsstandorte in der ganzen Welt. Entsprechend der Mission, „innovative, saubere und energieeffiziente Lösungen für eine bessere Zukunft anzubieten”, engagiert sich Delta stark für den Umweltschutz und entwickelt Produkte mit einer überdurchschnittlich hohen Energieeffizienz.

2018 liess die Delta Electronics ihren Controller “ORION” in Form eines Penetration Tests durch die Redguard AG testen. Im Fokus dieses Tests standen Aspekte wie das unautorisierte Verändern von Konfigurationseinstellungen über bestehende Schnittstellen des Controllers sowie der Missbrauch von Controllern durch entfernte Angreifer.

Der ORION Controller

Der ORION Controller, welcher in einer Standortbestimmung in Form eines Penetration Tests auf dessen Sicherheitsstand überprüft wurde, ist für die Steuerung der Stromversorgung für kritische Infrastruktur zuständig. Für Delta Electronics war bereits im Vorfeld klar, dass ihr Produkt systemsicher ist und dass der Zustand des Controllers seinen Aufgaben vollumfänglich gerecht wird. Dadurch lag der Fokus auf der Verbesserung und Optimierung der Prozesse rund um den Controller. Für Peter Hofstetter, Geschäftsleitung Schweiz, war entscheidend zu wissen, wie es mit dem aktuellen Sicherheitsstand des Gerätes bestellt ist und welche Stärken und Schwächen vorhanden sind.

Die optimale Lösung

Unter diesen Voraussetzungen war ein Penetration Test die optimale Lösung. In einem ersten Schritt trafen sich die beiden Seiten, Delta Electronics und Redguard, in einem Kickoff Meeting. In enger Zusammenarbeit mit Delta Electronics wurden anschliessend spezifische Angriffsszenarien entwickelt, welche später im Labor von Redguard anhand der vordefinierten sowie erarbeitenden Angriffsvektoren nachgespielt wurden, um sämtliche möglichen Risiken zu testen. Nach Abschluss der Arbeiten wurde der Delta Electronics ein umfassender Report mit allen gefundenen und identifizierten Schwachstellen abgegeben. Die Experten von Redguard zeigten die entdeckten Schwachstellen auf und schlugen geeignete Gegenmassnahmen vor, welche Delta Electronics umgehend umgesetzt hat. Um die identifizierten Risiken zu besprechen und dem Management von Delta einen Überblick zu verschaffen, wurde vor Ort eine Präsentation organisiert, in welcher die Tester dem Management die wichtigsten Erkenntnisse aus dem Penetration Test erläuterten.

Warum ist der Schutz so wichtig

Die Frage „Warum muss die Hardware getestet werden?” ist schnell geklärt. Der ORION Controller befindet sich in einer Räumlichkeit mit verschiedenen Betreibern. Der Schutz vor Sabotage ist hier besonders wichtig. Der Angriff eines Servicetechnikers eines Konkurrenten stellt eine mögliche Gefahr dar. Durch die Überprüfung der Hardware auf mögliche Schwachstellen können zum Beispiel ungewollte Modifikationen der Konfiguration aufzeigt werden. Anhand eines umfangreichen Tests wird ein erster Überblick geschaffen, der sämtliche Sabotagemöglichkeiten aufzeigt. Gefundene Schwachstellen können unmittelbar behoben werden; dieser Effekt steigert die Sicherheit der Hardware und damit verbunden die Unternehmenswerte der Kunden von Delta Electronics.

Zusammenarbeit mit Redguard

Delta Electronics wollte wissen, wie ihr Controller, bestehend aus Soft- und Hardwarekomponenten, im Bereich der Sicherheit positioniert ist. Das individualisierte Angebot der Redguard AG hat die Delta Electronics überzeugt. Der Delta Electronics war bewusst, dass etwaige Schwachstellen im Produkt gefunden würden. Durch wiederkehrende gezielte Überprüfungen kann die Delta Electronics ihren Kunden ein sichereres Produkt anbieten und sich so gegenüber der Konkurrenz abheben. Von den Testern der Redguard wollte das Management eine umfassende Antwort auf folgende Fragen: „Wo stehen wir heute?”, „Wo sollen wir hin?” und „Wie kommen wir dort hin?” Der umfangreiche Report befasste sich mit diesen Fragen und beschrieb gezielte Lösungsvorschläge für die Umsetzung.

“Die Zusammenarbeit hat von Beginn weg hervorragend funktioniert, Wünsche wurden stets berücksichtigt. Während des gesamten Projektes gab es einen kontinuierlichen Austausch zwischen den Testern und den Projektverantwortlichen. Nach der Durchführung des Penetration Tests wurden keine kritischen Probleme entdeckt, welche unser System hätten kompromittieren können. Dennoch haben die Experten von Redguard Schwachstellen aufgezeigt und geeignete Gegenmassnahmen vorgeschlagen. Mit den anschliessend umgesetzten Verbesserungen von Redguard konnten wir den ORION Controller noch sicherer machen” Jérémy Singy

“Die Sicherheit unserer Produkte als essenzieller Teil der Kommunikationsanlagen unserer Kunden ist für uns enorm wichtig. Eine solide Analyse mit Hilfe eines professionellen Partners ist zentral.” Peter Hofstetter, Managing Director Delta Electronics (Switzerland) AG


< zurück