Fünf nach zwölf

Die „Gefahr im Kraftwerk“ ist noch nicht gebannt

Trends & News | News

Auch zwei Monate, nachdem wir über eine kritische Lücke in Hunderten Industrieanlagen berichteten, gibt es immer noch keinen passenden Patch. Dabei weiß der Hersteller der betroffenen Steuersysteme bereits seit Februar Bescheid. Unterdessen zogen Heizungshersteller sowie Kraftwerksbetreiber die Netzwerkstecker. Und die Bundesregierung musste aufgrund einer parlamentarischen Anfrage Rede und Antwort stehen.

Der Hersteller hat das Problem behoben“ – zu diesem Ergebnis kommt das Bundesinnenministerium (BMI) in seiner Antwort auf eine parlamentarische Anfrage der Grünen Bundestagsfraktion (siehe c’t-Link). Die Grünen versuchen, mit ihrer Anfrage mehr über die Sicherheitslage deutscher Industrieanlagen zu erfahren, nachdem c’t im Frühjahr Hunderte davon über das Netz aufspüren und durch eine Sicherheitslücke potenziell sogar fernsteuern konnte [1]. Grund zum Aufatmen sind die BMI-Antworten allerdings nicht – sie beruhen offenbar zum Teil auf falschen Informationen; denn das Sicherheits-Update, das der Hersteller über den Kundendienst eingespielt haben soll, gibt es noch gar nicht.

Wie das zum Honeywell-Konzern gehörende Unternehmen Saia-Burgess gegenüber c’t bestätigte, befindet sich der Sicherheitspatch, der die von uns aufgedeckte Schwachstelle in der Benutzerauthentifizierung abdichten soll, noch in der Entwicklung – und das rund ein halbes Jahr, nachdem wir den Hersteller über das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausführlich über das Sicherheitsproblem informierten. Saia-Burgess arbeitet nach eigenen Angaben nach wie vor „mit Hochdruck“ an einem Patch und sofern „die Entwicklung weiterhin erfolgreich verläuft“, werde dieser „in den nächsten Tagen“ veröffentlicht. Auf einen genauen Termin konnte sich das Unternehmen gegenüber c’t allerdings nicht festlegen. Woher das BMI seine Information hat, dass die Lücke bereits geschlossen sei, ist unklar.

Tag der offenen Tür

Bei der Lücke handelt es sich nicht um ein kleines Schlupfloch, sondern vielmehr um einen grundlegenden Denkfehler im Sicherheitskonzept: Die Admin-Oberfläche überprüft das Bedienerpasswort nämlich nicht serverseitig, sondern lokal auf dem Rechner desjenigen, der sich Zutritt verschaffen will. Ruft man die IP-Adresse der Saia-Steuerungen auf, liefert deren Webserver direkt die Steuerungsoberfläche des Prozessreglers aus. Das Herzstück des Benutzer-Interface ist ein von Saia-Burgess entwickeltes Java-Applet, das eine mehr oder minder komfortable Fernwartung der Anlage erlaubt. Ob und mit welchen Rechten jemand eine Anlage steuern darf, überprüft das Java-Applet lediglich lokal im Browser. Dazu wird ganz einfach die Liste aller Nutzer samt deren Passwörtern vom Steuermodul im Klartext an das Applet übertragen. Kurzum: Der „Passwortschutz“ hat diese Bezeichnung nicht verdient. Wer sich auf dessen Schutzfunktion verlässt und Saia-Burgess-Steuerungen direkt über das Internet erreichbar macht, handelt grob fahrlässig.

Dabei ist es unabhängig vom aktuellen Fall übrigens generell eine ganz schlechte Idee, Regler und Speicherprogrammierbare Steuerungen (SPS) direkt mit dem Internet oder auch nur dem Firmennetz zu verbinden, weil die Embedded-Webserver in solchen Systemen nicht selten über ein Jahrzehnt lang keine Sicherheits-Updates erfahren. Somit haben sie den sich weiterentwickelnden Angriffsmethoden von Cyber-Kriminellen wenig entgegenzusetzen. Einen steinalten Windows-95-PC würde man heutzutage schließlich auch nicht mehr ins Internet hängen – noch dazu ohne Firewall.

Es gibt nur einen Weg, um Industrieanlagen sicher über das Internet fernzuwarten: den konsequenten Einsatz eines verschlüsselnden VPN-Tunnels. Deshalb sieht sich Saia-Burgess für das von uns festgestellte Security-Desaster auch nicht in der alleinigen Verantwortung: „Wir haben immer empfohlen, dass jedes unserer Regelgeräte, das mit dem Internet verbunden ist, hinter einer eigenen Firewall und einem VPN eingesetzt werden sollte“, erklärt der Schweizer Hersteller gegenüber c’t.

Saia-Burgess hat zwischenzeitlich einen Leitfaden „zum sicheren Einsatz von PCD-Steuerungen“ veröffentlicht (siehe c’t-Link), um über die Gefahren aufzuklären, die von Industriesteuerungen ausgehen, die mit dem Internet verbunden sind. Außerdem hat das Unternehmen nach eigenen Angaben in den letzten Wochen begonnen, von sich aus verwundbare Industriesteuerungen im Internet mit dem Suchdienst Shodan aufzuspüren und die betroffenen Anlagenbetreiber persönlich auf die Unsicherheit des Systems hinzuweisen.

Schweizer Gemütlichkeit

Trotz der akuten Bedrohungslage hat sich Saia-Burgess reichlich Zeit damit gelassen, die betroffenen Betreiber zu informieren und einen Patch zu entwickeln. Zwar wurde der Hersteller bereits im Februar durch das BSI ausdrücklich darum gebeten, dies geschah jedoch erst zwei Monate später. Als wir uns im April direkt mit Saia-Burgess in Verbindung setzten und die bevorstehende Veröffentlichung unseres Artikels ankündigten, habe man plötzlich „den Ernst der Lage erkannt und mit Hochdruck eine Problemlösung gesucht“, erklärte ein Unternehmenssprecher gegenüber c’t.

Auch das BSI soll entsprechend der Antwort auf die parlamentarische Anfrage die der Behörde „bekannten Betreiber unverzüglich informiert“ und darüber hinaus über sein Computer-Notfallteam CERT-Bund „Betreibern sicherheitskritischer Anwendungsfälle […] geeignete Sicherheitsmaßnahmen empfohlen“ haben. heise Security hatte im Vorfeld der Veröffentlichung der Sicherheitslücke außerdem die Betreiber einiger besonders exponierter Anlagen persönlich kontaktiert. Darunter eine Justizvollzugsanstalt, eine Brauerei, mehrere Rechenzentren und einige größere Fernwärmekraftwerke

Tatsächlich sind seit unserer Veröffentlichung zahlreiche Industrieanlagen aus dem Netz verschwunden. Einige Betreiber haben hingegen lediglich eine weitere Authentifizierungsschicht aktiviert, die sich „Verzeichnisschutz“ nennt und laut Hersteller, wie auch der Passwortschutz im Java-Applet, nicht dafür konzipiert wurde, um eine sichere Zugriffskontrolle über das Internet zu gewährleisten. Viele andere Betreiber haben hingegen den Netzwerkstecker gezogen oder verschlüsselnde VPN-Tunnel installiert.

Kirchen steuern

Allerdings kann man hier bestenfalls von Teilerfolgen sprechen, denn für jede Industrieanlage, die aus dem Internet verschwindet, taucht eine neue Anlage auf. So entdeckten wir vor wenigen Tagen etwa die Haustechnik einer Bekleidungskette mit 250 Filialen im Netz. Neben den Steuerfunktionen für Licht- und Alarmanlage liefert die Saia-Steuerung dort praktischerweise auch gleich eine Live-Ansicht – jedem Ladendieb würde das Herz aufgehen. Ein weiterer Suchtreffer verhalf uns zu einem unplanmäßigen Kirchenbesuch: Plötzlich standen wir am virtuellen Glockenseil der Propsteikirche St. Stephanus in Beckum (NRW).

Video: Kirchensteuerung ungeschützt im Netz
Video: Touchscreen-Steuerung der Kirche im Detail

Per Mausklick hätten wir dort die Glocken 13 schlagen lassen können, etwa durch das Aktivieren eines vorher angepassten Feiertagsprogramms. Und auch das Licht der Kirche sowie die Turmuhr werden offenbar von der dortigen Saia-Anlage gesteuert. Ein Video hierzu finden Sie unter dem c’t-Link. Statt im beschaulichen Beckum Unruhe zu stiften, haben wir selbstverständlich die Kirchengemeinde über die unzureichend geschützte Kirchensteuerung informiert.

Sicheres Zuhause

Das Problem um die unzureichend geschützten Saia-Burgess-Steuerungen scheint einer unendlichen Geschichte zu gleichen, doch zumindest in einem Kapitel bahnt sich ein Happy End an: Der Heizungsbauer Vaillant, in dessen stromerzeugenden Heizungen für Ein- und Zweifamilienhäusern ebenfalls verwundbare Saia-Burgess-Steuerungen stecken, hat unseren Hinweis im Februar ernst genommen und arbeitet seitdem an der Lösung des Problems.

Während Saia-Burgess die Betreiber der großen Industrieanlagen erst nach Monaten gewarnt hat, riet Vaillant den Käufern der kleinen Heizungsanlagen bereits Anfang April dazu, den Netzwerkstecker zu ziehen. Dieser Schritt war auch bitter nötig, weil Vaillant-Kunden, die einen Vollwartungsvertrag abgeschlossen haben, vertraglich dazu verpflichtet sind, die Anlage über das Internet erreichbar zu machen. Denn anders als gewöhnliche Brennwertheizungen erzeugen die ecoPower-Heizsysteme neben Wärme auch Strom und benötigen daher eine umfangreiche Steuerungsmöglichkeit für die Stromerzeugungseinheit. Ein unternehmenseigener DynDNS-Dienst sorgte zudem dafür, dass man die Systeme leicht aufspüren konnte. In Verbindung mit der Saia-Lücke ist dies eine brisante Mischung.

Potenzielle Angreifer konnten sich durch die vorliegende Sicherheitslücke mit Leichtigkeit in die Heizungen einwählen und waren neben dem bloßen Ein- und Ausschalten der Anlage auch in der Lage, mit Entwicklerrechten zahlreiche Parameter zu ändern – einschließlich solcher, die Vaillant selbst für den eigenen Kundendienst nicht zugänglich macht.

In der letzten Woche hat das Unternehmen begonnen, die mit einem Saia-Burgess-Regler ausgerüsteten Heizungen vom Typ ecoPower 1.0 kostenlos mit einer VPN-Box nachzurüsten. Außerdem hat der Heizungsbauer ein Notfall-Update veröffentlicht, welches die LAN-Schnittstelle der Heizungen grundsätzlich abschaltet und nur noch eine einstündige Aktivierung durch Knopfdruck am Gerät für den Kundendienstfernzugriff erlaubt. Für den Heizungsbesitzer selbst wird der Fernzugriff hingegen bis zur Installation einer VPN-Box abgeschaltet.

Der Stein rollt

Der Wirbel um die verwundbaren Saia-Steuerungen hat jedoch auch eine positive Seite: Das Thema Sicherheit wird nun aktiv in der Branche diskutiert, was bereits erste Früchte getragen hat. Wenige Tage nach dem Erscheinen des c’t-Artikels zur Problematik preschte KW Energie, einer der führenden Hersteller von Blockheizkraftwerken, mit der Veröffentlichung eines Software-Updates vor. Zukünftig ist der Fernzugriff auf die Kraftwerke dieses Herstellers nicht mehr mit einem Standardpasswort, sondern nur noch mit einem für jede Anlage individuellen Fernzugriffspasswort möglich. Das ist zwar noch nicht der Weisheit letzter Schluss aber ein Schritt in die richtige Richtung. Kundendienstmitarbeiter anderer Heiztechnikhersteller berichteten uns zudem, dass hinter den Kulissen kräftig geprüft, auditiert und verbessert wird.

Aufklärungsbedarf scheint es allerdings seitens der Behörden zu geben. Anders ist wohl nicht zu erklären, dass selbst das BMI seine Antwort auf die Kleine Anfrage der Grünen offenbar auf Fehlinformationen stützt – und das gerade, wenn es darum geht, die aktuelle Bedrohungslage zu klären. Vor dem Hintergrund der seit fast einem halben Jahr klaffenden Schwachstelle erscheint die von der Grünen-Bundestagfraktion aufgeworfene Frage, ob „die Bundesregierung gesetzliche Veränderungen bei der Verantwortungsverteilung“ für angebracht hält, daher durchaus gerechtfertigt.

Der Bundestagsabgeordnete Konstantin von Notz, der die vorliegende Anfrage initiiert hat, erklärte gegenüber c’t, dass er sich mit den Antworten des BMI nicht zufrieden gibt und bereits an einer weiteren Anfrage zum Thema arbeitet: „Insbesondere muss jetzt auf den Tisch, was das BSI konkret zu tun bereit und imstande ist, wenn es über Sicherheitslücken dieser Art informiert wird“, erklärt der Parlamentarier sichtlich enttäuscht über das zögerliche Vorgehen des BSI in diesem Fall. In NRW hat sich zudem die Piratenpartei das Thema auf die Flagge geschrieben und eine Anfrage an den Landtag gestellt. Die Antwort stand bei Redaktionsschluss noch aus.

Abschließend muss man feststellen, dass es schwerfällt, einen eindeutig Verantwortlichen für die Misere auszumachen. Freilich macht es Saia-Burgess Angreifern mit seiner Placebo-Authentifizierung unnötig leicht, unerlaubt die Kontrolle über Industrieanlagen zu übernehmen. Und auch durch seine langsame Reaktion hat sich das Unternehmen nicht gerade mit Ruhm bekleckert. Spätestens seit Stuxnet sollte aber auch den Installateuren und Betreibern solcher Anlagen bewusst sein, dass man auch auf dem virtuellen Werksgelände keine ungebetenen Besucher tolerieren darf. (rei)

Literatur
  1. [1] Louis-F. Stahl, Gefahr im Kraftwerk, Industrieanlagen schutzlos im Internet, c’t 11/13, S. 78

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Infos zum Artikel

Kapitel
  1. Tag der offenen Tür
  2. Schweizer Gemütlichkeit
  3. Kirchen steuern
  4. Sicheres Zuhause
  5. Der Stein rollt
1Kommentare
Kommentare lesen (1 Beitrag)
  1. Avatar
Anzeige
Videos

Anzeige

weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (3)

Anzeige