c't magazin für computer technik 15 vom 1.7.2013 - since

aktuell | Unsichere IndustrieanlagenLouis-F. Stahl, Ronald EikenbergFünf nach zwölfDie „Gefahr im Kraftwerk“ ist noch nicht gebanntAuch zwei Monate, nachdem wir über eine kritische Lücke in HundertenIndustrieanlagen berichteten, gibt es immer noch keinen passendenPatch. Dabei weiß der Hersteller der betroffenen Steuersysteme bereits seitFebruar Bescheid. Unterdessen zogen Heizungshersteller sowie Kraftwerksbetreiberdie Netzwerkstecker. Und die Bundesregierung musste aufgrundeiner parlamentarischen Anfrage Rede und Antwort stehen.Der Hersteller hat das Problem behoben“– zu diesem Ergebnis kommt das Bundesinnenministerium(BMI) in seiner Antwortauf eine parlamentarische Anfrage der GrünenBundestagsfraktion (siehe c’t-Link). DieGrünen versuchen, mit ihrer Anfrage mehrüber die Sicherheitslage deutscher Industrieanlagenzu erfahren, nachdem c’t im FrühjahrHunderte davon über das Netz aufspürenund durch eine Sicherheitslücke potenziellsogar fernsteuern konnte [1]. Grund zumAufatmen sind die BMI-Antworten allerdingsnicht – sie beruhen offenbar zum Teil auf falschenInformationen; denn das Sicherheits-Update, das der Hersteller über den Kundendiensteingespielt haben soll, gibt es nochgar nicht.Wie das zum Honeywell-Konzern gehörendeUnternehmen Saia-Burgess gegenüberc’t bestätigte, befindet sich der Sicherheitspatch,der die von uns aufgedeckteSchwachstelle in der Benutzerauthentifizierungabdichten soll, noch in der Entwicklung– und das rund ein halbes Jahr, nachdem wirden Hersteller über das Bundesamt für Sicherheitin der Informationstechnik (BSI) ausführlichüber das Sicherheitsproblem informierten.Saia-Burgess arbeitet nach eigenenAngaben nach wie vor „mit Hochdruck“ aneinem Patch und sofern „die Entwicklungweiterhin erfolgreich verläuft“, werde dieser„in den nächsten Tagen“ veröffentlicht. Aufeinen genauen Termin konnte sich das Unternehmengegenüber c’t allerdings nichtfestlegen. Woher das BMI seine Informationhat, dass die Lücke bereits geschlossen sei,ist unklar.Man konnte die zahlreichenGlocken läuten lassen und sogardie Kirchturmuhr verstellen.Die Haustechnik derKirche St. Stephanus inBeckum (NRW) warungeschützt über dasInternet erreichbar.Tag der offenen TürBei der Lücke handelt es sich nicht um einkleines Schlupfloch, sondern vielmehr umeinen grundlegenden Denkfehler im Sicherheitskonzept:Die Admin-Oberfläche überprüftdas Bedienerpasswort nämlich nichtserverseitig, sondern lokal auf dem Rechnerdes jenigen, der sich Zutritt verschaffen will.Ruft man die IP-Adresse der Saia-Steuerungenauf, liefert deren Webserver direkt dieSteuerungsoberfläche des Prozessreglersaus. Das Herzstück des Benutzer-Interface istein von Saia-Burgess entwickeltes Java-Applet,das eine mehr oder minder komfortableFernwartung der Anlage erlaubt. Ob und mitwelchen Rechten jemand eine Anlage steuerndarf, überprüft das Java-Applet lediglichlokal im Browser. Dazu wird ganz einfach dieListe aller Nutzer samt deren Passwörternvom Steuermodul im Klartext an das Appletübertragen. Kurzum: Der „Passwortschutz“hat diese Bezeichnung nicht verdient. Wersich auf dessen Schutzfunktion verlässt undSaia-Burgess-Steuerungen direkt über das Interneterreichbar macht, handelt grob fahrlässig.Dabei ist es unabhängig vom aktuellenFall übrigens generell eine ganz schlechteIdee, Regler und SpeicherprogrammierbareSteuerungen (SPS) direkt mit dem Internetoder auch nur dem Firmennetz zu ver -binden, weil die Embedded-Webserver insolchen Systemen nicht selten über ein Jahrzehntlang keine Sicherheits-Updates erfahren.Somit haben sie den sich weiterent -wickelnden Angriffsmethoden von Cyber-Kriminellen wenig entgegenzusetzen. Einensteinalten Windows-95-PC würde man heutzutageschließlich auch nicht mehr ins Internethängen – noch dazu ohne Firewall.Es gibt nur einen Weg, um Industrieanlagensicher über das Internet fernzuwarten:den konsequenten Einsatz eines verschlüsselndenVPN-Tunnels. Deshalb sieht sichSaia-Burgess für das von uns festgestellte Security-Desasterauch nicht in der alleinigenVerantwortung: „Wir haben immer empfohlen,dass jedes unserer Regelgeräte, das mitdem Internet verbunden ist, hinter einer eigenenFirewall und einem VPN eingesetztwerden sollte“, erklärt der Schweizer Herstellergegenüber c’t.Saia-Burgess hat zwischenzeitlich einenLeitfaden „zum sicheren Einsatz von PCD-Steuerungen“ veröffentlicht (siehe c’t-Link),um über die Gefahren aufzuklären, die vonIndustriesteuerungen ausgehen, die mit demInternet verbunden sind. Außerdem hat dasUnternehmen nach eigenen Angaben in denletzten Wochen begonnen, von sich aus verwundbareIndustriesteuerungen im Internetmit dem Suchdienst Shodan aufzuspürenund die betroffenen Anlagenbetreiber persönlichauf die Unsicherheit des Systems hinzuweisen.Schweizer GemütlichkeitTrotz der akuten Bedrohungslage hat sichSaia-Burgess reichlich Zeit damit gelassen,die betroffenen Betreiber zu informieren undeinen Patch zu entwickeln. Zwar wurde derHersteller bereits im Februar durch das BSIausdrücklich darum gebeten, dies geschahjedoch erst zwei Monate später. Als wir unsim April direkt mit Saia-Burgess in Verbindungsetzten und die bevorstehende Veröffentlichungunseres Artikels ankündigten,habe man plötzlich „den Ernst der Lage er-16 c’t 2013, Heft 15