Menü
Security

Bundesregierung muss sich zu unsicheren Industrieanlagen äußern

Von
vorlesen Drucken Kommentare lesen 83 Beiträge

Bündnis 90/Die Grünen hat die Bundesregierung mit einer parlamentarischen Anfrage aufgefordert, die Gefährdungslage für über das Internet verwundbare Industrieanlagen einzuschätzen. Ferner möchte die Fraktion erfahren, welche Maßnahmen aus Sicht der Regierung geeignet wären, um die Hersteller der Anlagen künftig stärker in die Pflicht zu nehmen. Die Bundesregierung ist rechtlich verpflichtet, die Anfrage innerhalb von zwei Wochen zu beantworten oder eine Fristverlängerung zu beantragen.

In ihrer aus 16 Einzelfragen bestehenden Anfrage (PDF) berufen sich die Abgeordneten auf die von heise Security aufgedeckte Schwachstelle in Regelungssystemen des zum Honeywell-Konzern gehörenden Herstellers Saia-Burgess. Ein zentraler Punkt der Anfrage ist die Anbieterhaftung: "Hersteller von Hard- und Software stehen unter einem stetigen Kostendruck. Nur wenn die Anbieter für mögliche Folgen der Security-Mängel ihrer Produkte auch das Haftungsrisiko tragen, entstünde ein echter Anreiz sichere Lösungen zu entwickeln und erkannte Probleme zügig zu beheben", erklärte der Bundestagsabgeordnete Konstantin von Notz im Gespräch mit heise Security.

Die Grünen wollen auch Antworten auf die Fragen erhalten, welche Schritte das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Behörden zur Gefahrenabwehr in dem konkreten Vorfall genau unternommen haben, wann und wie die Betreiber der betroffenen Anlagen informiert wurden und ob die Lücke mittlerweile behoben wurde.

Dies ist kein Computerspiel, sondern die Schaltzentrale einer Brauerei im Schwarzwald. Durch eine Sicherheitslücke hätten Unbefugte über das Internet die Kontrolle übernehmen können.

Durch die Lücke konnte man europaweit über 1000 Industrieanlagen fernsteuern, die unzureichend geschützt mit dem Internet verbunden waren – und es zum Teil immer noch sind. Darunter befanden sich mehrere Fernwärmekraftwerke, die Schließanlage eines Fußballstadions, die Heizanlage einer hessischen Justizvollzugsanstalt sowie die Prozesswärmesteuerung einer Brauerei. Darüber hinaus waren etwa 300 Vaillant-Heizungen für Ein- und Zweifamilienhäuser betroffen, die ebenfalls von Saia-Burgess-Steuerungen kontrolliert werden.

Obwohl das bereits im Februar durch heise Security eingeschaltete BSI die Lücke als kritisch einstufte und den Hersteller des Reglers zur schnellen Abhilfe aufforderte, ist bis heute kein Update für die betroffenen PCD-Regler verfügbar. Bereits im April zog deswegen der Heizungshersteller Vaillant die Reißleine und informierte seine Kunden, dass die in den stromerzeugenden Heizungen vom Typ ecoPower 1.0 verbauten Regler sofort durch das Ziehen des Netzwerksteckers vom Internet getrennt werden müssen.

Der Regler-Hersteller Saia-Burgess hingegen hat die Betreiber von Kraftwerken und anderen essentiellen Infrastrukturen erst wenige Tage vor dem lange feststehenden Veröffentlichungsdatum des c’t-Artikels Gefahr im Kraftwerk gewarnt. Unabhängig davon wurden die Betreiber der im Artikel erwähnten Anlagen durch heise Security bereits im Vorfeld informiert.

Saia-Burgess arbeitet nach eigenen Angaben noch immer mit Hochdruck an einem Sicherheitsupdate. Auf einen genauen Veröffentlichungstermin konnte sich das Unternehmen gegenüber heise Security allerdings noch nicht festlegen. Aber sofern "die Entwicklung weiterhin erfolgreich verläuft", könne der kritische Sicherheitspatch voraussichtlich noch in diesem Monat erscheinen. Zwischenzeitlich hat das Unternehmen zumindest einen Leitfaden "zum sicheren Einsatz von PCD-Steuerungen", die mit dem Internet verbunden sind, veröffentlicht.

Vor dem Hintergrund der seit fast einem halben Jahr klaffenden Schwachstelle erscheint die von der Bundestagfraktion aufgeworfene Frage, ob "die Bundesregierung gesetzliche Veränderungen bei der Verantwortungsverteilung“ für angebracht hält, durchaus gerechtfertigt.

Siehe hierzu auch:

(Louis-F. Stahl) / (rei)