aktuell | Unsichere IndustrieanlagenLouis-F. Stahl, Ronald EikenbergFünf nach zwölfDie „Gefahr im Kraftwerk“ ist noch nicht gebanntAuch zwei Monate, nachdem wir über eine kritische Lücke in HundertenIndustrieanlagen berichteten, gibt es immer noch keinen passendenPatch. Dabei weiß der Hersteller der betroffenen Steuersysteme bereits seitFebruar Bescheid. Unterdessen zogen Heizungshersteller sowie Kraftwerksbetreiberdie Netzwerkstecker. Und die Bundesregierung musste aufgrundeiner parlamentarischen Anfrage Rede und Antwort stehen.Der Hersteller hat das Problem behoben“– zu diesem Ergebnis kommt das Bundesinnenministerium(BMI) in seiner Antwortauf eine parlamentarische Anfrage der GrünenBundestagsfraktion (siehe c’t-Link). DieGrünen versuchen, mit ihrer Anfrage mehrüber die Sicherheitslage deutscher Industrieanlagenzu erfahren, nachdem c’t im FrühjahrHunderte davon über das Netz aufspürenund durch eine Sicherheitslücke potenziellsogar fernsteuern konnte [1]. Grund zumAufatmen sind die BMI-Antworten allerdingsnicht – sie beruhen offenbar zum Teil auf falschenInformationen; denn das Sicherheits-Update, das der Hersteller über den Kundendiensteingespielt haben soll, gibt es nochgar nicht.Wie das zum Honeywell-Konzern gehörendeUnternehmen Saia-Burgess gegenüberc’t bestätigte, befindet sich der Sicherheitspatch,der die von uns aufgedeckteSchwachstelle in der Benutzerauthentifizierungabdichten soll, noch in der Entwicklung– und das rund ein halbes Jahr, nachdem wirden Hersteller über das Bundesamt für Sicherheitin der Informations<strong>technik</strong> (BSI) ausführlichüber das Sicherheitsproblem informierten.Saia-Burgess arbeitet nach eigenenAngaben nach wie vor „mit Hochdruck“ aneinem Patch und sofern „die Entwicklungweiterhin erfolgreich verläuft“, werde dieser„in den nächsten Tagen“ veröffentlicht. Aufeinen genauen Termin konnte sich das Unternehmengegenüber c’t allerdings nichtfestlegen. Woher das BMI seine Informationhat, dass die Lücke bereits geschlossen sei,ist unklar.Man konnte die zahlreichenGlocken läuten lassen und sogardie Kirchturmuhr verstellen.Die Haus<strong>technik</strong> derKirche St. Stephanus inBeckum (NRW) warungeschützt über dasInternet erreichbar.Tag der offenen TürBei der Lücke handelt es sich nicht um einkleines Schlupfloch, sondern vielmehr umeinen grundlegenden Denkfehler im Sicherheitskonzept:Die Admin-Oberfläche überprüftdas Bedienerpasswort nämlich nichtserverseitig, sondern lokal auf dem Rechnerdes jenigen, der sich Zutritt verschaffen will.Ruft man die IP-Adresse der Saia-Steuerungenauf, liefert deren Webserver direkt dieSteuerungsoberfläche des Prozessreglersaus. Das Herzstück des Benutzer-Interface istein von Saia-Burgess entwickeltes Java-Applet,das eine mehr oder minder komfortableFernwartung der Anlage erlaubt. Ob und mitwelchen Rechten jemand eine Anlage steuerndarf, überprüft das Java-Applet lediglichlokal im Browser. Dazu wird ganz einfach dieListe aller Nutzer samt deren Passwörtern<strong>vom</strong> Steuermodul im Klartext an das Appletübertragen. Kurzum: Der „Passwortschutz“hat diese Bezeichnung nicht verdient. Wersich auf dessen Schutzfunktion verlässt undSaia-Burgess-Steuerungen direkt über das Interneterreichbar macht, handelt grob fahrlässig.Dabei ist es unabhängig <strong>vom</strong> aktuellenFall übrigens generell eine ganz schlechteIdee, Regler und SpeicherprogrammierbareSteuerungen (SPS) direkt mit dem Internetoder auch nur dem Firmennetz zu ver -binden, weil die Embedded-Webserver insolchen Systemen nicht selten über ein Jahrzehntlang keine Sicherheits-Updates erfahren.Somit haben sie den sich weiterent -wickelnden Angriffsmethoden von Cyber-Kriminellen wenig entgegenzusetzen. Einensteinalten Windows-95-PC würde man heutzutageschließlich auch nicht mehr ins Internethängen – noch dazu ohne Firewall.Es gibt nur einen Weg, um Industrieanlagensicher über das Internet fernzuwarten:den konsequenten Einsatz eines verschlüsselndenVPN-Tunnels. Deshalb sieht sichSaia-Burgess für das von uns festgestellte Security-Desasterauch nicht in der alleinigenVerantwortung: „Wir haben immer empfohlen,dass jedes unserer Regelgeräte, das mitdem Internet verbunden ist, hinter einer eigenenFirewall und einem VPN eingesetztwerden sollte“, erklärt der Schweizer Herstellergegenüber c’t.Saia-Burgess hat zwischenzeitlich einenLeitfaden „zum sicheren Einsatz von PCD-Steuerungen“ veröffentlicht (siehe c’t-Link),um über die Gefahren aufzuklären, die vonIndustriesteuerungen ausgehen, die mit demInternet verbunden sind. Außerdem hat dasUnternehmen nach eigenen Angaben in denletzten Wochen begonnen, von sich aus verwundbareIndustriesteuerungen im Internetmit dem Suchdienst Shodan aufzuspürenund die betroffenen Anlagenbetreiber persönlichauf die Unsicherheit des Systems hinzuweisen.Schweizer GemütlichkeitTrotz der akuten Bedrohungslage hat sichSaia-Burgess reichlich Zeit damit gelassen,die betroffenen Betreiber zu informieren undeinen Patch zu entwickeln. Zwar wurde derHersteller bereits im Februar durch das BSIausdrücklich darum gebeten, dies geschahjedoch erst zwei Monate später. Als wir unsim April direkt mit Saia-Burgess in Verbindungsetzten und die bevorstehende Veröffentlichungunseres Artikels ankündigten,habe man plötzlich „den Ernst der Lage er-16 c’t 2013, Heft <strong>15</strong>
aktuell | Unsichere Industrieanlagenkannt und mit Hochdruck eine Problemlösunggesucht“, erklärte ein Unternehmenssprechergegenüber c’t.Auch das BSI soll entsprechend der Antwortauf die parlamentarische Anfrage dieder Behörde „bekannten Betreiber unverzüglichinformiert“ und darüber hinaus übersein Computer-Notfallteam CERT-Bund „Betreibernsicherheitskritischer Anwendungsfälle[…] geeignete Sicherheitsmaßnahmenempfohlen“ haben. heise Security hatte imVorfeld der Veröffentlichung der Sicherheits -lücke außerdem die Betreiber einiger besondersexponierter Anlagen persönlich kontaktiert.Darunter eine Justizvollzugsanstalt,eine Brauerei, mehrere Rechenzentren undeinige größere FernwärmekraftwerkeTatsächlich sind seit unserer Veröffentlichungzahlreiche Industrieanlagen aus demNetz verschwunden. Einige Betreiberhaben hingegen lediglich eine weitere Authentifizierungsschichtaktiviert, die sich„Verzeichnisschutz“ nennt und laut Hersteller,wie auch der Passwortschutz im Java-Applet, nicht dafür konzipiert wurde, umeine sichere Zugriffskontrolle über das Internetzu gewährleisten. Viele andere Betreiberhaben hingegen den Netzwerksteckergezogen oder verschlüsselnde VPN-Tunnel installiert.Kirchen steuernAllerdings kann man hier bestenfalls vonTeilerfolgen sprechen, denn für jede Industrieanlage,die aus dem Internet verschwindet,taucht eine neue Anlage auf. So entdecktenwir vor wenigen Tagen etwa dieHaus<strong>technik</strong> einer Bekleidungskette mit 250Filialen im Netz. Neben den Steuerfunktionenfür Licht- und Alarmanlage liefert dieSaia-Steuerung dort praktischerweise auchgleich eine Live-Ansicht – jedem Ladendiebwürde das Herz aufgehen. Ein weiterer Suchtrefferverhalf uns zu einem unplanmäßigenKirchen besuch: Plötzlich standen wir am virtuellenGlockenseil der Propsteikirche St. Stephanusin Beckum (NRW).Per Mausklick hätten wir dort die Glocken13 schlagen lassen können, etwa durch dasAktivieren eines vorher angepassten Feiertagsprogramms.Und auch das Licht der Kirchesowie die Turmuhr werden offenbar vonder dortigen Saia-Anlage gesteuert. EinVideo hierzu finden Sie unter dem c’t-Link.Statt im beschaulichen Beckum Unruhe zustiften, haben wir selbstverständlich die Kirchengemeindeüber die unzureichend geschützteKirchensteuerung informiert.Sicheres ZuhauseDas Problem um die unzureichend geschütztenSaia-Burgess-Steuerungen scheint einerunendlichen Geschichte zu gleichen, dochzumindest in einem Kapitel bahnt sich einHappy End an: Der Heizungsbauer Vaillant, indessen stromerzeugenden Heizungen fürEin- und Zweifamilienhäusern ebenfalls verwundbareSaia-Burgess-Steuerungen stecken,hat unseren Hinweis im Februar ernstgenommen und arbeitet seitdem an der Lösungdes Problems.Während Saia-Burgess die Betreiber dergroßen Industrieanlagen erst nach Monatengewarnt hat, riet Vaillant den Käufern derkleinen Heizungsanlagen bereits AnfangApril dazu, den Netzwerkstecker zu ziehen.Dieser Schritt war auch bitter nötig, weil Vaillant-Kunden,die einen Vollwartungsvertragabgeschlossen haben, vertraglich dazu verpflichtetsind, die Anlage über das Interneterreichbar zu machen. Denn anders als gewöhnlicheBrennwertheizungen erzeugendie ecoPower-Heizsysteme neben Wärmeauch Strom und benötigen daher eine umfangreicheSteuerungsmöglichkeit für dieStromerzeugungseinheit. Ein unternehmenseigenerDynDNS-Dienst sorgte zudem dafür,dass man die Systeme leicht aufspüren konnte.In Verbindung mit der Saia-Lücke ist dieseine brisante Mischung.Potenzielle Angreifer konnten sich durchdie vorliegende Sicherheitslücke mit Leichtigkeitin die Heizungen einwählen undwaren neben dem bloßen Ein- und Ausschaltender Anlage auch in der Lage, mit Entwicklerrechtenzahlreiche Parameter zu ändern– einschließlich solcher, die Vaillantselbst für den eigenen Kundendienst nichtzugänglich macht.In der letzten Woche hat das Unternehmenbegonnen, die mit einem Saia-Burgess-Regler ausgerüsteten Heizungen <strong>vom</strong> TypecoPower 1.0 kostenlos mit einer VPN-Boxnachzurüsten. Außerdem hat der Heizungsbauerein Notfall-Update veröffentlicht, welchesdie LAN-Schnittstelle der Heizungengrundsätzlich abschaltet und nur noch eineeinstündige Aktivierung durch Knopfdruckam Gerät für den Kundendienstfernzugriff erlaubt.Für den Heizungsbesitzer selbst wirdder Fernzugriff hingegen bis zur Installationeiner VPN-Box abgeschaltet.Der Stein rolltDer Wirbel um die verwundbaren Saia-Steuerungenhat jedoch auch eine positive Seite:Das Thema Sicherheit wird nun aktiv in derBranche diskutiert, was bereits erste Früchtegetragen hat. Wenige Tage nach dem Erscheinendes c’t-Artikels zur Problematikpreschte KW Energie, einer der führendenHersteller von Blockheizkraftwerken, mit derVeröffentlichung eines Software-Updates vor.Zukünftig ist der Fernzugriff auf die Kraftwerkedieses Herstellers nicht mehr mit einemStandardpasswort, sondern nur noch miteinem für jede Anlage individuellen Fernzugriffspasswortmöglich. Das ist zwar nochnicht der Weisheit letzter Schluss aber einSchritt in die richtige Richtung. Kundendienstmitarbeiteranderer Heiz<strong>technik</strong>herstellerberichteten uns zudem, dass hinter denKulissen kräftig geprüft, auditiert und verbessertwird.Aufklärungsbedarf scheint es allerdingsseitens der Behörden zu geben. Anders istwohl nicht zu erklären, dass selbst das BMIDer Heizungshersteller Vaillant schottetdie löchrigen Steuermodule jetzt durch eineVPN-Box gegen unerlaubte Zugriffe ab.seine Antwort auf die Kleine Anfrage derGrünen offenbar auf Fehlinformationenstützt – und das gerade, wenn es darumgeht, die aktuelle Bedrohungslage zu klären.Vor dem Hintergrund der seit fast einem halbenJahr klaffenden Schwachstelle erscheintdie von der Grünen-Bundestagfraktion aufgeworfeneFrage, ob „die Bundesregierunggesetzliche Veränderungen bei der Verantwortungsverteilung“für angebracht hält,daher durchaus gerechtfertigt.Der Bundestagsabgeordnete Konstantinvon Notz, der die vorliegende Anfrage ini -tiiert hat, erklärte gegenüber c’t, dass er sichmit den Antworten des BMI nicht zufriedengibt und bereits an einer weiteren Anfragezum Thema arbeitet: „Insbesondere mussjetzt auf den Tisch, was das BSI konkret zutun bereit und imstande ist, wenn es überSicherheitslücken dieser Art informiert wird“,erklärt der Parlamentarier sichtlich enttäuschtüber das zögerliche Vorgehen desBSI in diesem Fall. In NRW hat sich zudem diePiratenpartei das Thema auf die Flagge geschriebenund eine Anfrage an den Landtaggestellt. Die Antwort stand bei Redaktionsschlussnoch aus.Abschließend muss man feststellen, dasses schwerfällt, einen eindeutig Verantwortlichenfür die Misere auszumachen. Freilichmacht es Saia-Burgess Angreifern mit seinerPlacebo-Authentifizierung unnötig leicht,unerlaubt die Kontrolle über Industrieanlagenzu übernehmen. Und auch durch seinelangsame Reaktion hat sich das Unternehmennicht gerade mit Ruhm bekleckert. Spätestensseit Stuxnet sollte aber auch den Installateurenund Betreibern solcher Anlagenbewusst sein, dass man auch auf dem virtuellenWerksgelände keine ungebetenen Besuchertolerieren darf.(rei)Literatur[1]ˇLouis-F. Stahl, Gefahr im Kraftwerk, Industrieanlagenschutzlos im Internet, c’t 11/13, S. 78www.ct.de/13<strong>15</strong>016c’t 2013, Heft <strong>15</strong>17
- Seite 1: magazin fürcomputertechnikwww.ct.d
- Seite 7: Action-CamsBewegungen in hohemTempo
- Seite 18: aktuell | Computer Graphics Interna
- Seite 22 und 23: aktuell | SupercomputerAndreas Stil
- Seite 24 und 25: aktuell | ProzessorenAndreas Stille
- Seite 26 und 27: aktuell | Smartphones, Tablets, Not
- Seite 28: aktuell | Grafik, HardwareMini-ITX-
- Seite 31 und 32: aktuell | EmbeddedRobuste Mainboard
- Seite 34 und 35: aktuell | PeripherieRobustes Displa
- Seite 36 und 37: aktuell | IPv6Marc HeuseDie beste V
- Seite 38: aktuell | Anwendungen3D-Puppe Genes
- Seite 41 und 42: aktuell | Technische AnwendungenGü
- Seite 43: aktuell | ForschungErweiterte Reali
- Seite 47 und 48: aktuell | LinuxEinsteiger-Linux Zor
- Seite 50 und 51: aktuell | AppleDetails zu iOS 7 und
- Seite 52: kurz vorgestellt | Display, Android
- Seite 55 und 56: kurz vorgestellt | Motorrad-Navigat
- Seite 57 und 58: kurz vorgestellt | Externe Festplat
- Seite 59 und 60: kurz vorgestellt | Modellier-App, O
- Seite 62 und 63: Prüfstand | MacBook AirJohannes Sc
- Seite 64 und 65: Report | VR-Brille zum Selbstausdru
- Seite 66 und 67:
Prüfstand | 3D-Rendererunbekleidet
- Seite 68 und 69:
Report | Voice-Tools für Linux-Gam
- Seite 70:
Report | Voice-Tools für Linux-Gam
- Seite 73 und 74:
Report | Facebook-RechenzentrumIn l
- Seite 75 und 76:
Report | Service & SupportRobert W.
- Seite 77 und 78:
Report | Glass im Alltagschaltet wa
- Seite 79 und 80:
Prüfstand | SmartphonesApple iPhon
- Seite 81 und 82:
Prüfstand | Smartphonesbeim Q10, b
- Seite 84 und 85:
Prüfstand | SmartphonesSonys Ände
- Seite 86 und 87:
Prüfstand | SmartphonesGrafik-Benc
- Seite 88 und 89:
Prüfstand | SmartphonesSurfenFürs
- Seite 90 und 91:
Prüfstand | SmartphonesSmartphone-
- Seite 92 und 93:
Prüfstand | SmartphonesLeistungsau
- Seite 94 und 95:
Benjamin BenzZu schnellKomplett-PCs
- Seite 96 und 97:
Prüfstand | Komplett-PCsKomplett-P
- Seite 98 und 99:
Prüfstand | Profi-GrafikkartenMart
- Seite 100 und 101:
Prüfstand | Profi-GrafikkartenDie
- Seite 102 und 103:
Prüfstand | Profi-GrafikkartenK Sa
- Seite 104 und 105:
Report | Action-Cams - ZubehörPhil
- Seite 106 und 107:
Report | Action-Cams - ZubehörKlet
- Seite 108 und 109:
Prüfstand | Action-CamsUlrich Hilg
- Seite 110 und 111:
Prüfstand | Action-CamsDie Contour
- Seite 112 und 113:
Prüfstand | Action-CamsTaschenlamp
- Seite 114 und 115:
Prüfstand | Action-CamsDas Farbdis
- Seite 116 und 117:
Prüfstand | Action-CamsÜbern Tell
- Seite 118 und 119:
Christof WindeckNeu startenLösunge
- Seite 120 und 121:
Praxis | UEFI-TroubleshootingSecure
- Seite 122 und 123:
Praxis | UEFI-TroubleshootingDer bo
- Seite 124 und 125:
Praxis | UEFI-Troubleshooting: Wind
- Seite 126 und 127:
Praxis | UEFI-Troubleshooting: Wind
- Seite 128 und 129:
Thorsten LeemhuisWeitere Betriebsar
- Seite 130 und 131:
Praxis | UEFI-Troubleshooting: Linu
- Seite 132 und 133:
Praxis | UEFI-Troubleshooting: Linu
- Seite 134 und 135:
Praxis | UEFI-Troubleshooting: Umpa
- Seite 136 und 137:
Praxis | UEFI-Troubleshooting: Umpa
- Seite 138 und 139:
Know-how | Das leistet UEFIChristof
- Seite 140 und 141:
Praxis | iPhone-AkkuwechselChristia
- Seite 142 und 143:
Praxis | iPhone-Akkuwechsel5Der dri
- Seite 144:
dedizierter1Gbit/sPort
- Seite 147 und 148:
Praxis | HotlineHOTLINESie erreiche
- Seite 149 und 150:
Praxis | Hotlinedoch parallel auch
- Seite 152 und 153:
Praxis | SSD-DiagnoseBoi FeddernGuc
- Seite 154 und 155:
Praxis | SSD-Diagnosedows ein und e
- Seite 156 und 157:
Praxis | IPv6-EinführungReiko Kaps
- Seite 158 und 159:
Praxis | Content MarketingFrank Pus
- Seite 160:
Praxis | Content MarketingDas Keywo
- Seite 164 und 165:
Praxis | Bonjour im VPNDušan Živa
- Seite 166 und 167:
Praxis | Bonjour im VPNters“ alle
- Seite 168 und 169:
Praxis | Hyper-V ReplicaPeter Sieri
- Seite 170:
Praxis | Hyper-V ReplicaNur Windows
- Seite 173 und 174:
Praxis | Hyper-V ReplicaEin Assiste
- Seite 175 und 176:
Know-how | JavaScript-Frameworksvar
- Seite 177 und 178:
Know-how | JavaScript-FrameworksKla
- Seite 179 und 180:
Know-how | Trusted Computingon 2.0
- Seite 181 und 182:
Know-how | Trusted Computingsichert
- Seite 184:
Buchkritik | Apple-Dienste, 3D-Soft
- Seite 187 und 188:
Spiele | Rundenstrategie, Indie- un
- Seite 190:
Kids’ Bits | Rätselsammlung, Leu
- Seite 193 und 194:
Illustration: Susanne Wustmann, Dor
- Seite 212 und 213:
Inserentenverzeichnis *1&1 Internet
- Seite 214:
ÖSTERREICH 9,90 ¤ / SCHWEIZ 13,60