Flowchief bekommt sichere Standardeinstellungen

Das Fürther Unternehmen Flowchief bietet sein Prozessleitsystem außer für Klär- und Wasserwerke auch für andere Branchen wie Hochwasserschutz, Erneuerbare Energien, Industrie und Facilitymanagement an. Es wirbt mit "Datensicherheit auf Höhe modernster Standards". Die Berichterstattung von Golem.de über die Sicherheitslücken bei einem österreichischen Konkurrenten habe sein Unternehmen aufmerksam verfolgt, erklärt Andreas Ziegler, Geschäftsführer von Flowchief. Da es seit 2013 standardmäßig auf TLS/SSL-Verschlüsselung setze und Standards im Bereich der IT-Security berücksichtige, habe sich Flowchief jedoch gut aufgestellt gesehen.

Auch bei den neuen Funden reagierte das Unternehmen umgehend und suchte den Kontakt zu Neef und Schäfers. Kurze Zeit später gibt Flowchief ein Softwareupdate heraus, das einige Kritikpunkte beseitigt. Beispielsweise wird erst mit dem Update standardmäßig eine Passwortrichtlinie eingeführt, die ein Mindestmaß an Passwortsicherheit garantiert. Für den Sicherheitsexperten Schäfers ein überfälliger Schritt: "Was bei den meisten Anbietern von E-Mail-Adressen seit Jahren Standard ist, kommt erst jetzt auch bei Wasserwerken zum Einsatz."

Mit dem Update werden auch die in früheren Versionen standardmäßig eingerichteten Konten "Gast" und "Benutzer" deaktiviert. In drei der 127 von Neef und Schäfers gefundenen Installationen war ein Login mit dem Benutzername "Gast" und dem Passwort "gast" möglich. Dort hatten die Betreiber wohl ein Passwort für das standardmäßig eingerichtete Gast-Konto gesetzt, mit einem gesetzten Passwort ist jedoch auch ein Login über das Internet möglich.

Umstritten ist auch ein standardmäßig eingerichtetes, aber inaktives Konto "FlowChief". Dieses ermöglicht, sofern es aktiviert wird, Mitarbeitern von Flowchief, zu Administrationszwecken auf die Installation zuzugreifen. Auf verschiedenen Installationen mit demselben Versionsstand wird laut dem Hersteller das gleiche Kennwort verwendet.

Laut der Firmenwebseite bietet Flowchief eine "durchgängig webfähige Überwachung und Bedienung über beliebige stationäre und mobile Bediengeräte". Die Anlagen jedoch direkt an das Internet anzubinden, ist gefährlich. Die Rechner zur Steuerung der Anlagen sind oft nicht besonders leistungsstark. Werden sie über das Internet mit Anfragen überhäuft, können sie schnell unter der Last zusammenbrechen. Durch einen solchen DDoS-Angriff ließe sich das Prozessleitsystem des Wasser- oder Klärwerkes nicht mehr erreichen, es könnte nicht mehr ferngesteuert, der Zustand des Werkes, die Qualität des Wassers nicht mehr überprüft werden. Im schlimmsten Fall könnten sich Fehler ereignen, die Tausende Haushalte von der Trinkwasserversorgung abschneiden oder die Qualität des Wassers gefährden.

Dass die Sicherheit nicht immer ausreichend berücksichtigt wird, liegt aber nicht nur in der Verantwortung der Softwarehersteller. Flowchief bietet seinen Kunden zwar etliche Sicherheitseinstellungen, darunter beispielsweise Zwei-Faktor-Authentifizierung, verwendet werden diese jedoch kaum. Viele Klär- und Wasserwerke setzen bei der Konfiguration ihrer Systeme im Gegenteil auf einfachen Zugang und Komfort, was meist mit Unsicherheit gleichzusetzen ist. "Die Kunden wollen das so einfach haben", sagt Christian Fink, Leitender Produktmanager von Flowchief. Ressourcenprobleme bei den Anlagenbetreibern dürften hierbei eine Rolle spielen. Doch Bequemlichkeit sollte nicht vor Sicherheit gehen - auch unter widrigen Bedingungen, wie die hessische Gemeinde Hatzfeld zeigt.