Risiko verdrängt und vergessen

Industriesteuerungen nach über zwei Jahren noch verwundbar

Trends & News | c't deckt auf

Wenn Unternehmensnetze für kritische Infrastrukturen keine Sicherheitsupdates erhalten, stehen die Türen für Angreifer sperrangelweit offen. Zahllose Industriesteuerungen hängen ungeschützt im Netz.

Vor über zwei Jahren hatten wir Hunderte Vaillant-Heizungen und kurz darauf zahllose Industriesteuerungen ungeschützt im Internet gefunden – darunter auch die der Probsteikirche St. Stephanus, um die es im voranstehenden Artikel geht. Bei der Recherche wollten wir eigentlich nur kurz prüfen, ob das Problem endgültig aus der Welt ist. Immerhin hatte Saia-Burgess Controls, der Hersteller der betroffenen Steuerungssysteme, auf Druck von c’t im August 2013 ein Sicherheitsupdate geliefert und damit der clientseitigen Prüfung von Passwörtern sowie deren Übertragung im Klartext ein Ende bereitet.

Doch eine einschlägige Suchmaschine für offene Ports spuckte Treffer um Treffer aus. In Deutschland, Italien, Schweden, den Niederlanden und Norwegen zeigte sich dasselbe Bild wie 2013: Die Anlagen hingen direkt am Internet – einige sogar noch immer mit der gleichen statischen IP-Adresse – und schickten ihre Passwörter im Klartext an den Browser, sobald man sie ansurfte. Wer die Passwortliste mitliest, bekommt vollen Zugriff auf die Anlagen. In Italien öffneten uns eine Papierfabrik und eine Solaranlage ihre Türen, in Norwegen eine Bioenergiezentrale, in Schweden eine Gebäudebelüftungsanlage und in den Niederlanden eine Fleischerei. Wir hätten aber auch mühelos in einer Handvoll deutscher Schulen in jedem Klassenzimmer die Heizungen hochdrehen und den Schülern Hitzefrei verschaffen können.

Während die sich darüber vermutlich sogar gefreut hätten, wirkte der Kommandant der Feuerwehr Ludwigsburg ernstlich besorgt, als wir ihm über die Sicherheitsprobleme eines Feuerwehrgebäudes unter seiner Obhut berichteten. Hier bekam nämlich jedermann Zugriff auf die Gebäudetechnik. Das mag bei der Heizung nur nervig sein, die Belüftung ist aber kritisch, wenn in der Halle Fahrzeugmotoren laufen. Außerdem erfuhren wir, dass das Gebäude mitnichten nur Feuerwehrfahrzeuge beherbergt, sondern auch aus anderen Gründen eine sicherheitskritische Bedeutung hat. Und eben dafür wurde die Technik des über 1 Million Euro teuren und 2012 eingeweihten Baus ausgelegt.

Installiert wurde die Steuerung damals vom Saia-Burgess-Systempartner WSR Mess- und Regeltechnik. Obwohl c’t die Firma bereits 2013 über die Probleme mit den PCD3-Steuerungen informiert hatte, fanden wir außer der Feuerwehrhalle noch sechs weitere betroffene Anlagen in Ludwigsburg. Damit konfrontiert erklärte uns Schetter Haustechnik, die WSR übernommen hat: Alle Anlagen gehörten der Stadt Ludwigsburg und die sei seit zwei Jahren informiert. Dort habe man aber beschlossen, sich mit der eigenen IT-Abteilung um das Problem kümmern zu wollen. Nicht mit dem offiziellen Sicherheitsupdate, sondern durch Umzug in ein vom Internet unabhängiges Intranet, das „Hausmeisternetz“.

Mittlerweile sei die Gewährleistung für alle Installationen der WSR abgelaufen und man bräuchte einen neuen Auftrag, um tätig zu werden. Davon, dass die Technik des Feuerwehrgebäudes damals als besonders kritisches System ausgeschrieben gewesen sei, habe man nichts gewusst. Der Auftrag hätte sich auf Lieferung und Inbetriebnahme des Schaltschranks mit der Steuerungstechnik beschränkt.

Interessantes Detail: Bei der Feuerwehr wurde im Rahmen von Wartungsarbeiten sehr wohl das Sicherheitsupdate von Saia-Burgess installiert. Kompromittierbar blieb die Anlage dennoch, denn sie verwendet genau dasselbe Level-4-Passwort (Root), welches die anderen sechs Anlagen munter ausplauderten. Denn die erfuhren bis heute kein Update. Da hilft es auch nicht, dass nach dem Update das Passwort serverseitig geprüft und dort nur als – ungesalzener – SHA-256-Hash liegt.

Nach anfänglichen Schwierigkeiten, gelang es uns kurz vor Redaktionsschluss doch noch Kontakt zum Fachbereich Hochbau und Gebäudewirtschaft Ludwigsburg herzustellen. So erfuhren wir, dass sechs der sieben betroffenen Anlagen zu einem Campus gehören. Dieser wurde ebenso wie die Feuerwache offensichtlich bei den Sicherungsmaßnahmen 2013 übersehen. Damals seien mehr als 40 Anlagen ins Hausmeisternetz umgezogen. Man sicherte uns zu, dass bis Erscheinen dieser c’t alle Anlagen vom Netz gehen würden.

Zu einfach gestrickt

Insgesamt offenbarte unser kurzer Scan vor allem Sorglosigkeit: Passwörter nach dem Schema „xxxx“, „yyyy“, „abcde“ sowie dreistellige Zahlen waren nicht die Ausnahme, sondern die Regel. Oft waren diese vermutlich für die Nutzer der Anlagen gedachten simplen Passwörter noch garniert mit etwas besseren für die Root-Zugänge der Lieferanten. Allerdings haben diese durch die Bank weg eine erschreckende Tendenz dazu, bei all ihren Kunden dasselbe Passwort zu verwenden. In diesem Fall bringen selbst aufwendige Sicherheitsupdates wenig, wenn am Hintereingang der Root-Zugang unverändert offensteht.

Auch bei der Firma Caverion glaubte man anscheinend, dass ein einziges Wartungspasswort – abgeleitet aus dem eigenen Firmennamen und der Anschrift der Niederlassung – für alle Kunden reiche. Wir fanden gleich mehrere ihrer Anlagen, darunter zwei Schulen und ebenfalls eine Feuerwache. Dabei hatten wir auch Caverion 2013 informiert, damals unter anderem wegen der Justizvollzugsanstalt Giessen, deren Sicherheitslücken für Furore sorgten. Diesmal bekamen wir auf unsere Anfrage zwar binnen Minuten eine Rückfrage zu den Namen der betroffenen Kunden, erfuhren aber bis Redaktionsschluss nur wenig Aufschlussreiches. Aufgefallen ist uns jedoch, dass Caverion 2013 noch YIT hieß, die betroffenen Anlagen aber alle ein aktuelles Caverion-Firmenlogo tragen. Stellt sich die Frage, ob der Austausch von Logos höhere Priorität haben sollte als kritische Sicherheitsupdates?

Aussitzen und abwiegeln

Das Vorgehen von Saia-Burgess wirft ein Schlaglicht auf die Denke einer ganzen Branche: Wenn Sicherheitsbehörden auf kritische Lücken hinweisen und schnelle Abhilfe anmahnen, steckt man erst einmal den Kopf in den Sand. Mit einem Hotfix kam Saia-Burgess erst um die Ecke, als die Hütte schon rund ein halbes Jahr brannte – und nicht als BSI und Schweizer CERT anklopften, sondern erst als c’t die Veröffentlichung ankündigte.

Die rief dafür Empörung hervor: In einem Fachmagazin sah Geschäftsführer Ernst Malcherek die Schuldigen ganz woanders, als er nach dem Haftungsrisiko für seine Sicherheitslücken gefragt wurde: „So lange man sich in der Presse unverhohlen damit brüsten kann, gegen § 202a Strafgesetzbuch zu verstoßen, mache ich mir da keine Sorgen“ und zeigte mit dem Finger in Richtung der für die Enthüllung verantwortlichen c’t-Redakteure. Der NZZ erklärte Saia-Burgess zudem, dass es nie ein Problem gegeben habe, denn die „Rechteverwaltung“ sei kein Schutz gegen unbefugte Zugriffe und überhaupt sei es ein „nicht bestimmungsgemäßer Gebrauch“ moderne Haustechnik über das Internet zu nutzen – was die Marketingabteilung nicht davon abhielt die ausgezeichneten Online-Fähigkeiten der eigenen Steuerungsprodukte anzupreisen.

Doch es gibt auch Lichtblicke: Während Unternehmensleitung und PR-Abteilung abwiegelten und beschönigten, erstellten Techniker ein Update und zwei detaillierte Leitfäden zur fachgerechten Absicherung für interessierte Kunden mit Problembewusstsein. Den eigentlich schwarzen Peter hat Saia-Burgess aber geschickt an die Partnerfirmen und deren Kunden weitergereicht: „Unsere Kunden sind Systemintegratoren, welche unsere Produkte weiter verkaufen und bei Endanwendern installieren und konfigurieren. Da wir keinen direkten Zugang zu den Endanwendern haben, konzentrieren sich unsere Bemühungen zur Verbesserung der Cyber Security Maßnahmen vor allem auf Systemintegratoren.“ Das Beispiel Ludwigsburg zeigt, wie gut das klappt.

Teure Updates

Einen Hinweis darauf, weshalb Kunden und Lieferanten die Sicherheitsupdates der Saia-Burgess-Anlagen scheuen, verriet uns die Firma Schetter: Das eigentliche Update sei mit den passenden Tools und den ursprünglichen Projektdateien in einer halben Stunde paketiert und eingespielt. Aber danach stehe ein kompletter Test der Anlage an. Der dauert bei kleinen Installationen schon mal sechs Stunden und bei großen bis zu drei Tage.

Für den Kunden bedeutet das Kosten zwischen 500 und 4000 Euro. Denn „ein komplettes Firmware-Update auch für den Steuerungsteil der Steuerung erfordert eine neue Inbetrieb- und Abnahme der Gesamtanlage“. Während dies für Industrieanlagen in abgeschotteten Netzen sachgerecht sein mag, stellt sich die Frage, ob Haustechnik mit integriertem Webserver nicht einfacher zu patchen sein muss, um im Internet der Dinge überhaupt bestehen zu können.

Würden die Hersteller die beiden Funktionsebenen „Steuerung“ und „Fernzugriff“ voneinander abstrahieren, ließen sich einfache Updates für den Internetteil der Geräte realisieren. Das geeignete Vorbild für die Branche ist AVM: Der Berliner Routerhersteller hat nach einem ebenfalls gigantischen Securitydesaster – unter anderem auf Anraten von c’t – die Möglichkeit automatischer Sicherheitsupdates für seine FritzBox-Router eingeführt. (bbe@ct.de)

Literatur
  1. [1] Louis-F. Stahl, Ronald Eikenberg, Fünf nach zwölf, Die „Gefahr im Kraftwerk“ ist noch nicht gebannt, c’t 15/13, S. 16
  2. [2] Louis-F. Stahl, Gefahr im Kraftwerk, Industrieanlagen schutzlos im Internet, c’t 11/13, S. 78

Artikel kostenlos herunterladen

Anzeige