• IT-Karriere:
  • Services:

Flowchief bekommt sichere Standardeinstellungen

Das Fürther Unternehmen Flowchief bietet sein Prozessleitsystem außer für Klär- und Wasserwerke auch für andere Branchen wie Hochwasserschutz, Erneuerbare Energien, Industrie und Facilitymanagement an. Es wirbt mit "Datensicherheit auf Höhe modernster Standards". Die Berichterstattung von Golem.de über die Sicherheitslücken bei einem österreichischen Konkurrenten habe sein Unternehmen aufmerksam verfolgt, erklärt Andreas Ziegler, Geschäftsführer von Flowchief. Da es seit 2013 standardmäßig auf TLS/SSL-Verschlüsselung setze und Standards im Bereich der IT-Security berücksichtige, habe sich Flowchief jedoch gut aufgestellt gesehen.

Stellenmarkt
  1. über InterSearch Personalberatung GmbH & Co. KG, Raum Münster/Osnabrück
  2. Gemeindewerke Haßloch GmbH, Haßloch

Auch bei den neuen Funden reagierte das Unternehmen umgehend und suchte den Kontakt zu Neef und Schäfers. Kurze Zeit später gibt Flowchief ein Softwareupdate heraus, das einige Kritikpunkte beseitigt. Beispielsweise wird erst mit dem Update standardmäßig eine Passwortrichtlinie eingeführt, die ein Mindestmaß an Passwortsicherheit garantiert. Für den Sicherheitsexperten Schäfers ein überfälliger Schritt: "Was bei den meisten Anbietern von E-Mail-Adressen seit Jahren Standard ist, kommt erst jetzt auch bei Wasserwerken zum Einsatz."

Mit dem Update werden auch die in früheren Versionen standardmäßig eingerichteten Konten "Gast" und "Benutzer" deaktiviert. In drei der 127 von Neef und Schäfers gefundenen Installationen war ein Login mit dem Benutzername "Gast" und dem Passwort "gast" möglich. Dort hatten die Betreiber wohl ein Passwort für das standardmäßig eingerichtete Gast-Konto gesetzt, mit einem gesetzten Passwort ist jedoch auch ein Login über das Internet möglich.

Umstritten ist auch ein standardmäßig eingerichtetes, aber inaktives Konto "FlowChief". Dieses ermöglicht, sofern es aktiviert wird, Mitarbeitern von Flowchief, zu Administrationszwecken auf die Installation zuzugreifen. Auf verschiedenen Installationen mit demselben Versionsstand wird laut dem Hersteller das gleiche Kennwort verwendet.

Laut der Firmenwebseite bietet Flowchief eine "durchgängig webfähige Überwachung und Bedienung über beliebige stationäre und mobile Bediengeräte". Die Anlagen jedoch direkt an das Internet anzubinden, ist gefährlich. Die Rechner zur Steuerung der Anlagen sind oft nicht besonders leistungsstark. Werden sie über das Internet mit Anfragen überhäuft, können sie schnell unter der Last zusammenbrechen. Durch einen solchen DDoS-Angriff ließe sich das Prozessleitsystem des Wasser- oder Klärwerkes nicht mehr erreichen, es könnte nicht mehr ferngesteuert, der Zustand des Werkes, die Qualität des Wassers nicht mehr überprüft werden. Im schlimmsten Fall könnten sich Fehler ereignen, die Tausende Haushalte von der Trinkwasserversorgung abschneiden oder die Qualität des Wassers gefährden.

Dass die Sicherheit nicht immer ausreichend berücksichtigt wird, liegt aber nicht nur in der Verantwortung der Softwarehersteller. Flowchief bietet seinen Kunden zwar etliche Sicherheitseinstellungen, darunter beispielsweise Zwei-Faktor-Authentifizierung, verwendet werden diese jedoch kaum. Viele Klär- und Wasserwerke setzen bei der Konfiguration ihrer Systeme im Gegenteil auf einfachen Zugang und Komfort, was meist mit Unsicherheit gleichzusetzen ist. "Die Kunden wollen das so einfach haben", sagt Christian Fink, Leitender Produktmanager von Flowchief. Ressourcenprobleme bei den Anlagenbetreibern dürften hierbei eine Rolle spielen. Doch Bequemlichkeit sollte nicht vor Sicherheit gehen - auch unter widrigen Bedingungen, wie die hessische Gemeinde Hatzfeld zeigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Als Admin Pumpen steuernEs geht auch ohne Steuerung per Internet 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. 158€ (Bestpreis!)
  2. mit Rabattcode "GESCHENK5"
  3. 65,95€
  4. (u. a. Seagate Game Drive PS4 2TB The Last of Us 2 Special Edition für 78,29€, Seagate Game...

Demigod 21. Feb 2019

Hallo, folgendes Problem besteht bei diesem Thema. Wenn eine Firma das Prozessleitsystem...

Drizzt Do-Urden 07. Jan 2019

Es kommt darauf an was abgeschaltet wird. Wenn man bei Hochwasser die sogenannten...

Anonymer Nutzer 26. Dez 2018

ja, aber wozu soll man denn sonst den bürgermeister kennen, und wenn einen keiner zu...

SanderK 24. Dez 2018

Gewagte Thesen ;-) Was it angeht, aber durchaus Treffend. Man sieht halt nix davon, wenn...

SvD 23. Dez 2018

Da wird also in einer - lt. Artikel - sehr "geforderten" Gemeinde ein System bezahlt...


Folgen Sie uns
       


Ghost of Tsushima - Fazit

Mit Ghost of Tsushima macht Sony der Playstation 4 ein besonderes Abschiedsgeschenk. Statt auf massenkompatible Bombastgrafik setzt es auf eine stellenweise fast schon surreal-traumhafte Aufmachung, bei der wir an Indiegames denken. Dazu kommen viele Elemente eines Assassin's Creed in Japan - und wir finden sogar eine Prise Gothic.

Ghost of Tsushima - Fazit Video aufrufen
Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

    •  /