Flowchief bekommt sichere Standardeinstellungen

Das Fürther Unternehmen Flowchief bietet sein Prozessleitsystem außer für Klär- und Wasserwerke auch für andere Branchen wie Hochwasserschutz, Erneuerbare Energien, Industrie und Facilitymanagement an. Es wirbt mit "Datensicherheit auf Höhe modernster Standards". Die Berichterstattung von Golem.de über die Sicherheitslücken bei einem österreichischen Konkurrenten habe sein Unternehmen aufmerksam verfolgt, erklärt Andreas Ziegler, Geschäftsführer von Flowchief. Da es seit 2013 standardmäßig auf TLS/SSL-Verschlüsselung setze und Standards im Bereich der IT-Security berücksichtige, habe sich Flowchief jedoch gut aufgestellt gesehen.

Stellenmarkt
  1. Informatiker als IT-Anwendungsbetreuer für SAP in der Wohnungswirtschaft (d/m/w)
    DEGEWO AG, Berlin-Tiergarten
  2. wWssenschaftliche Mitarbeiter:innen für die Forschungsgruppe AI Systems Engineering
    Universität Mannheim, Mannheim
Detailsuche

Auch bei den neuen Funden reagierte das Unternehmen umgehend und suchte den Kontakt zu Neef und Schäfers. Kurze Zeit später gibt Flowchief ein Softwareupdate heraus, das einige Kritikpunkte beseitigt. Beispielsweise wird erst mit dem Update standardmäßig eine Passwortrichtlinie eingeführt, die ein Mindestmaß an Passwortsicherheit garantiert. Für den Sicherheitsexperten Schäfers ein überfälliger Schritt: "Was bei den meisten Anbietern von E-Mail-Adressen seit Jahren Standard ist, kommt erst jetzt auch bei Wasserwerken zum Einsatz."

Mit dem Update werden auch die in früheren Versionen standardmäßig eingerichteten Konten "Gast" und "Benutzer" deaktiviert. In drei der 127 von Neef und Schäfers gefundenen Installationen war ein Login mit dem Benutzername "Gast" und dem Passwort "gast" möglich. Dort hatten die Betreiber wohl ein Passwort für das standardmäßig eingerichtete Gast-Konto gesetzt, mit einem gesetzten Passwort ist jedoch auch ein Login über das Internet möglich.

Umstritten ist auch ein standardmäßig eingerichtetes, aber inaktives Konto "FlowChief". Dieses ermöglicht, sofern es aktiviert wird, Mitarbeitern von Flowchief, zu Administrationszwecken auf die Installation zuzugreifen. Auf verschiedenen Installationen mit demselben Versionsstand wird laut dem Hersteller das gleiche Kennwort verwendet.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Laut der Firmenwebseite bietet Flowchief eine "durchgängig webfähige Überwachung und Bedienung über beliebige stationäre und mobile Bediengeräte". Die Anlagen jedoch direkt an das Internet anzubinden, ist gefährlich. Die Rechner zur Steuerung der Anlagen sind oft nicht besonders leistungsstark. Werden sie über das Internet mit Anfragen überhäuft, können sie schnell unter der Last zusammenbrechen. Durch einen solchen DDoS-Angriff ließe sich das Prozessleitsystem des Wasser- oder Klärwerkes nicht mehr erreichen, es könnte nicht mehr ferngesteuert, der Zustand des Werkes, die Qualität des Wassers nicht mehr überprüft werden. Im schlimmsten Fall könnten sich Fehler ereignen, die Tausende Haushalte von der Trinkwasserversorgung abschneiden oder die Qualität des Wassers gefährden.

Dass die Sicherheit nicht immer ausreichend berücksichtigt wird, liegt aber nicht nur in der Verantwortung der Softwarehersteller. Flowchief bietet seinen Kunden zwar etliche Sicherheitseinstellungen, darunter beispielsweise Zwei-Faktor-Authentifizierung, verwendet werden diese jedoch kaum. Viele Klär- und Wasserwerke setzen bei der Konfiguration ihrer Systeme im Gegenteil auf einfachen Zugang und Komfort, was meist mit Unsicherheit gleichzusetzen ist. "Die Kunden wollen das so einfach haben", sagt Christian Fink, Leitender Produktmanager von Flowchief. Ressourcenprobleme bei den Anlagenbetreibern dürften hierbei eine Rolle spielen. Doch Bequemlichkeit sollte nicht vor Sicherheit gehen - auch unter widrigen Bedingungen, wie die hessische Gemeinde Hatzfeld zeigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Als Admin Pumpen steuernEs geht auch ohne Steuerung per Internet 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Aktuell auf der Startseite von Golem.de
Windows-Dialoge
Überreste von Windows 3.1 in Windows 11 entdeckt

Windows-Dialoge aus der Zeit von Windows 3.1 sind auch in Windows 11 noch zu sehen.

Windows-Dialoge: Überreste von Windows 3.1 in Windows 11 entdeckt
Artikel
  1. PCR-Testzentren: Persönliche Daten per Google Docs veröffentlicht
    PCR-Testzentren
    Persönliche Daten per Google Docs veröffentlicht

    Die Termine von Tausenden Personen wurden von zwei PCR-Testzentren in Bayern per Google Docs geteilt.

  2. Streaming: Disney+ füllt seine Star-Wars-Lücken auf
    Streaming
    Disney+ füllt seine Star-Wars-Lücken auf

    Fast alles von Star Wars kann man bei Disney+ streamen. Ein paar Kleinigkeiten haben aber noch gefehlt. Am 18. Juni gibt es Nachschub an neuem Alten.
    Von Peter Osteried

  3. Taotronics und Vava: Amazon verbannt noch mehr Marken wegen Fake-Bewertungen
    Taotronics und Vava
    Amazon verbannt noch mehr Marken wegen Fake-Bewertungen

    Nicht nur Ravpower, auch Taotronics und Vava wurden von Amazon aus dem Angebot gestrichen. Der Onlinehändler geht stärker gegen Fake-Bewertungen vor.

Demigod 21. Feb 2019

Hallo, folgendes Problem besteht bei diesem Thema. Wenn eine Firma das Prozessleitsystem...

Drizzt Do-Urden 07. Jan 2019

Es kommt darauf an was abgeschaltet wird. Wenn man bei Hochwasser die sogenannten...

Anonymer Nutzer 26. Dez 2018

ja, aber wozu soll man denn sonst den bürgermeister kennen, und wenn einen keiner zu...

SanderK 24. Dez 2018

Gewagte Thesen ;-) Was it angeht, aber durchaus Treffend. Man sieht halt nix davon, wenn...

SvD 23. Dez 2018

Da wird also in einer - lt. Artikel - sehr "geforderten" Gemeinde ein System bezahlt...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • GP Anniversary Sale - Teil 4: Indie & Arcade • Weekend Deals (u. a. Seagate ext. HDD 4TB 89,90€) • 10% auf Gaming-Produkte bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) [Werbung]
    •  /