Flowchief bekommt sichere Standardeinstellungen

Das Fürther Unternehmen Flowchief bietet sein Prozessleitsystem außer für Klär- und Wasserwerke auch für andere Branchen wie Hochwasserschutz, Erneuerbare Energien, Industrie und Facilitymanagement an. Es wirbt mit "Datensicherheit auf Höhe modernster Standards". Die Berichterstattung von Golem.de über die Sicherheitslücken bei einem österreichischen Konkurrenten habe sein Unternehmen aufmerksam verfolgt, erklärt Andreas Ziegler, Geschäftsführer von Flowchief. Da es seit 2013 standardmäßig auf TLS/SSL-Verschlüsselung setze und Standards im Bereich der IT-Security berücksichtige, habe sich Flowchief jedoch gut aufgestellt gesehen.

Stellenmarkt
  1. Software- / Webentwickler (w/m/d)
    Technische Hochschule Nürnberg Georg Simon Ohm, Nürnberg
  2. IT-Supporter (m/f/d)
    GCP - Grand City Property, Berlin
Detailsuche

Auch bei den neuen Funden reagierte das Unternehmen umgehend und suchte den Kontakt zu Neef und Schäfers. Kurze Zeit später gibt Flowchief ein Softwareupdate heraus, das einige Kritikpunkte beseitigt. Beispielsweise wird erst mit dem Update standardmäßig eine Passwortrichtlinie eingeführt, die ein Mindestmaß an Passwortsicherheit garantiert. Für den Sicherheitsexperten Schäfers ein überfälliger Schritt: "Was bei den meisten Anbietern von E-Mail-Adressen seit Jahren Standard ist, kommt erst jetzt auch bei Wasserwerken zum Einsatz."

Mit dem Update werden auch die in früheren Versionen standardmäßig eingerichteten Konten "Gast" und "Benutzer" deaktiviert. In drei der 127 von Neef und Schäfers gefundenen Installationen war ein Login mit dem Benutzername "Gast" und dem Passwort "gast" möglich. Dort hatten die Betreiber wohl ein Passwort für das standardmäßig eingerichtete Gast-Konto gesetzt, mit einem gesetzten Passwort ist jedoch auch ein Login über das Internet möglich.

Umstritten ist auch ein standardmäßig eingerichtetes, aber inaktives Konto "FlowChief". Dieses ermöglicht, sofern es aktiviert wird, Mitarbeitern von Flowchief, zu Administrationszwecken auf die Installation zuzugreifen. Auf verschiedenen Installationen mit demselben Versionsstand wird laut dem Hersteller das gleiche Kennwort verwendet.

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    27./28.06.2022, virtuell
  2. Linux-Systeme absichern und härten: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
Weitere IT-Trainings

Laut der Firmenwebseite bietet Flowchief eine "durchgängig webfähige Überwachung und Bedienung über beliebige stationäre und mobile Bediengeräte". Die Anlagen jedoch direkt an das Internet anzubinden, ist gefährlich. Die Rechner zur Steuerung der Anlagen sind oft nicht besonders leistungsstark. Werden sie über das Internet mit Anfragen überhäuft, können sie schnell unter der Last zusammenbrechen. Durch einen solchen DDoS-Angriff ließe sich das Prozessleitsystem des Wasser- oder Klärwerkes nicht mehr erreichen, es könnte nicht mehr ferngesteuert, der Zustand des Werkes, die Qualität des Wassers nicht mehr überprüft werden. Im schlimmsten Fall könnten sich Fehler ereignen, die Tausende Haushalte von der Trinkwasserversorgung abschneiden oder die Qualität des Wassers gefährden.

Dass die Sicherheit nicht immer ausreichend berücksichtigt wird, liegt aber nicht nur in der Verantwortung der Softwarehersteller. Flowchief bietet seinen Kunden zwar etliche Sicherheitseinstellungen, darunter beispielsweise Zwei-Faktor-Authentifizierung, verwendet werden diese jedoch kaum. Viele Klär- und Wasserwerke setzen bei der Konfiguration ihrer Systeme im Gegenteil auf einfachen Zugang und Komfort, was meist mit Unsicherheit gleichzusetzen ist. "Die Kunden wollen das so einfach haben", sagt Christian Fink, Leitender Produktmanager von Flowchief. Ressourcenprobleme bei den Anlagenbetreibern dürften hierbei eine Rolle spielen. Doch Bequemlichkeit sollte nicht vor Sicherheit gehen - auch unter widrigen Bedingungen, wie die hessische Gemeinde Hatzfeld zeigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Als Admin Pumpen steuernEs geht auch ohne Steuerung per Internet 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Demigod 21. Feb 2019

Hallo, folgendes Problem besteht bei diesem Thema. Wenn eine Firma das Prozessleitsystem...

Drizzt Do-Urden 07. Jan 2019

Es kommt darauf an was abgeschaltet wird. Wenn man bei Hochwasser die sogenannten...

Anonymer Nutzer 26. Dez 2018

ja, aber wozu soll man denn sonst den bürgermeister kennen, und wenn einen keiner zu...

SanderK 24. Dez 2018

Gewagte Thesen ;-) Was it angeht, aber durchaus Treffend. Man sieht halt nix davon, wenn...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Pornoplattform: Medienaufseher kämpfen weiter gegen xHamster
    Pornoplattform
    Medienaufseher kämpfen weiter gegen xHamster

    Die Medienaufseher in Deutschland wollen das Pornoportal xHamster dazu verpflichten, ihren Angeboten eine wirksame Altersverifikation vorzuschalten.

  2. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

  3. Störungen an Zahlungsterminal: Kartenzahlungen in vielen Geschäften weiterhin nicht möglich
    Störungen an Zahlungsterminal
    Kartenzahlungen in vielen Geschäften weiterhin nicht möglich

    Die bundesweite Störung am Kartenzahlungsterminal eines Typs dauert an. Bei Aldi, Rossmann und Co. kann weder mit Girokarte noch mit Kreditkarte bezahlt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K UHD günstig wie nie: 999€ • Nur noch heute: Cyber Week mit tollen Rabatten • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /