Die Aufregung war groß als sich Ende 2018 IT-Sicherheitsexperten in die Prozessleitsysteme von sieben Wasserwerken gehackt haben. Der Hersteller der gleichnamigen Steuerungs- und Kontrollsoftware "Flowchief" hat nach der Meldung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) allerdings sofort seine Sicherheitsmaßnahmen verschärft und die Lage entschärft.
Flowchief stellte bereits wenige Tage nach den Ergebnissen der Profi-Hacker ein Service-Update für seine Kunden bereit. Mittlerweile ist es Usern nicht mehr möglich, einen beliebigen Benutzernamen sowie Passwort zu wählen. Beides muss als "sicher" eingestuft werden, erst dann ist eine Anmeldung im System möglich.
TLS/SSL-Verschlüsselung
Grundsätzlich gab es diese Sicherheitsbarriere schon vor dem Test-Hackerangriff, allerdings wurde kein "sicheres" Passwort erzwungen. Bei sieben Fällen war daher der Benutzer voreingestellt und das konfigurierte Passwort einfach zu erraten. Da hilft selbst die Datenverschlüsselung von TLS/SSL seitens Flowchief nichts.
Hinweis: Die ZfK hatte bereits über den Fall berichtet. Folgende Meldung wurde an den neuesten Stand der Erkenntnisse angepasst: https://www.zfk.de/digitalisierung/it/artikel/wasserbetriebe-sind-leichte-beute-fuer-hacker-2019-01-04/. (ls)
