Sebastian Neef und Tim Philipp Schäfers hacken beruflich – sie sind IT-Sicherheitsforscher und arbeiten außerdem für das Fachportal "Golem". Erst jüngst haben die beiden massive Sicherheitslücken bei Steuerungsanwendungen in der Wasserbranche offengelegt. Insgesamt 127 Wasser- und Klärwerke in ganz Deutschland wurden unter die Lupe genommen. Bei sieben davon konnte das Duo auf das Leitsystem zugreifen, eines hätten sie laut ihrer Publikation auf "Golem" sogar komplett fremdsteuern können.
Nachdem die IT-Experten herausgefunden hatten, welche Unternehmen ihre Prozesse über das Prozessleitsystem "Flowchief" regeln, war die größte Hürde bereits genommen. Im Nu hätten sie auf die Login-Seite des Leitsystems zugreifen können, heißt es in ihrem Bericht weiter. Zwar wäre die Verbindung zu den "Flowchief"-Installationen per TLS/SSL verschlüsselt gewesen, wenn die Zugangsdaten aber bereits voreingetragen sind, hilft auch die beste Codierung nichts.
Voreingestellte Usernamen sind problematisch
Sieben Unternehmen hatten ihren Nutzernamen inklusive einem gleichnamigen Passwort voreingestellt und das obwohl "Flowchief" sogar die Funktion eines sicheren Passwortes bereit gestellt hat. Schafften Neef und Schäfers es bei manchen ihrer Hacker-Versuche nur als Gast oder Benutzer in die Prozessleitsoftware, konnten sie beim Klärwerk im bayerischen Wallersdorf sogar die Pumpsteuerung übernehmen. An anderen Standorten hätten sie wiederum Passwörter anderer Nutzer sperren oder die Beleuchtung bedienen können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe laut der Autoren sofort auf die Ergebnisse des Test-Hacks reagiert: Die "IT-Bedrohungslage" wurde von grau auf gelb verschärft und die Branche über das Risiko informiert.
Zur Sicherheit gezwungen
Auch der VKU ist sich der Gefahr von Hackerangriffen bewusst: Es wird immer wieder Versuche geben, in Systeme einzudringen. Sicherheitslücken bei Hard- und Software bergen ein erhebliches Risiko für die Betreiber kritischer Infrastrukturen wie in der Energie- und Trinkwasserversorgung sowie Abwasserentsorgung. Für mehr Sicherheit sieht der Verband unter anderem die Soft- und Hardwarehersteller in der Pflicht: Sie sollten verpflichtet werden, die gestiegenen Sicherheitsanforderungen in der Entwicklung zu berücksichtigen (security-by-design) und aufgedeckte Sicherheitslücken in ihren Produkten schnell zu beheben.
Das Unternehmen Flowchief hat seine gleichnamige Software sofort nach der Meldung des BSI mit einem Service-Update versehen. Mittlerweile ist es Usern nicht mehr möglich einen beliebigen Benutzernamen sowie Passwort zu wählen. Beides muss als "sicher" eingestuft werden, erst dann ist eine Anmeldung im System möglich. Außerdem hat die bayerische IT-Firma den Golem-Hackern weitere Testversionen zur Verfügung gestellt, um eventuell andere Baustellen aufzudecken. Fakt ist: Sicherheitsoptionen müssen, wenn sie wirken sollen, auch genutzt werden.
(ls)
