Original-URL des Artikels: https://www.golem.de/news/schwachstellen-aufgedeckt-per-weblogin-ins-klaerwerk-1812-138363.html    Veröffentlicht: 21.12.2018 12:01    Kurz-URL: https://glm.io/138363

Schwachstellen aufgedeckt

Per Weblogin ins Klärwerk

Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.

Zwischen Nürnberg und Regensburg liegt das bayrische Örtchen Postbauer-Heng mit dem Motto "... ganz schön lebenswert". Neben einem Schloss mit vielseitigem kulturellen Programm und einer S-Bahn-Anbindung nach Nürnberg gibt es dort eine Kläranlage für das Abwasser der Gemeinde. Diese Kläranlage ist per Webinterface mit dem Internet verbunden - ein Fehler. Zwei Jahre nach ihrer ersten aufsehenerregenden Recherche zur Sicherheit von kritischen Infrastrukturanlagen versuchten die Sicherheitsexperten Sebastian Neef und Tim Philipp Schäfers erneut, in Prozessleitsysteme von Industrieanlagen einzudringen. Im Klärwerk von Postbauer-Heng ist es ihnen gelungen - mit vollen Administratorrechten. Die Anlage war nicht die einzige, die besorgniserregende Sicherheitsmängel aufwies.

Zutritt verschafften sich die Golem.de-Autoren und Internetwache-Betreiber über das Prozessleitsystem Flowchief, auf das sie bei einer Vorrecherche gestoßen waren. Es wird von Klär- und Wasserwerken zur Steuerung ihrer Anlagen genutzt. Die Software arbeitet mit einer Weboberfläche, in der die technischen Innereien der Industrieanlagen abgebildet werden, sich kontrollieren und steuern lassen. "Wir haben dann nach Wasser- und Klärwerken gesucht, deren Flowchief-Installationen über das Internet erreichbar sind", erklärt Neef.

Hierzu nutzten sie den Datenbestand des Webbprojektes Scans.io, das Informationen zu Webservern aus dem gesamten Internet zur Verfügung stellt. Sie fanden 127 Wasser- und Klärwerke, auf deren Login-Seiten sie über das Internet zugreifen konnten. "Auf den ersten Blick sah alles besser aus als gedacht", sagt Schäfers. Die Verbindung zu den Flowchief-Installationen wird per TLS/SSL verschlüsselt. Die 2016 gefundenen Steuerungen eines anderen Herstellers waren größtenteils unverschlüsselt im Internet.

Nutzernamen sind schon vorausgefüllt

Doch auch Verschlüsselung hilft nichts, wenn die Zugangsdaten bereits eingetragen sind. Neef und Schäfers wundern sich, als sie das erste Mal eine Flowchief-Installation mit vorausgefüllten Nutzernamen entdecken: In dem Feld steht WW, für Wasserwerk. Aus Spaß tippen sie WW als Passwort ein und klicken auf Login. Sie staunen nicht schlecht, als sie anschließend Zugriff auf die Verwaltungsoberfläche des Wasserwerk Michelau haben. Die schematischen Darstellungen von Wasserbehältern, Rohrleitungen und Pumpwerken erinnern an Webseiten aus den 90er Jahren.

Bei ungefähr 25 Installationen finden die beiden die Nutzernamen vorausgefüllt vor. Einen Brute-Force-Angriff, also das massenhafte Ausprobieren von Passwörtern, unternehmen sie nicht. "Das wäre gegen unsere Ethik, da es über die normale Benutzung von Webseiten stark hinausgeht und Systeme überlasten kann", betont Schäfers. Zudem bremse die Software einen Brute-Force-Angriff durch kleine Pausen zwischen mehreren Loginversuchen aus.

Neef und Schäfers geben die IP-Adresse einer Kläranlage in ihren Browser ein. Das Weblogin des Prozessleitsystems öffnet sich, der Nutzername ist bereits vorausgefüllt. Das Passwort ist identisch, sie können auf die Weboberfläche zugreifen. Diesmal sind sie allerdings nicht Gast oder Benutzer, sondern Administrator - mit weitreichenden Rechten.

Als Admin Pumpen steuern

Die verschiedenen Stationen des Abwassers lassen sich im Prozessleitsystem durchlaufen. Vom Kombibecken zur Schlammeindickung bis zum Schlammstapelbehälter sind alle Stationen abgebildet. Voraussichtlich 4.500 m³ Klärschlamm entstehen laut einer Schätzung im Mitteilungsblatt der Gemeinde im Jahr 2018. Ein Tanklaster-Icon in der Verwaltungssoftware illustriert den Abtransport des Klärschlamms. Auf einem Infofeld steht "0,0 l/s". Der Schlamm bleibt im Behälter.

Wie hoch soll der Füllstand des Sandfangs sein? Bei welchem Füllstand soll die Sandfangpumpe angefahren werden? Neef und Schäfers wissen nicht genau, welche Auswirkungen die einzelnen Felder auf die Kläranlage haben, doch sie könnten diese und viele andere Werte selbst setzen und etwaige Warnmeldungen einfach quittieren.

Die Beschaffenheit der Anlage und des Abwassers können sie nicht nur live betrachten, sie können sich die Werte auch zum Wunschzeitpunkt oder in einer Tages-, Monats- oder Jahreszusammenfassung anzeigen lassen: Die verarbeitete Abwassermenge, der Nitrat- oder Ammoniumgehalt, der pH-Wert in den verschiedenen Klärstufen, selbst der Stromverbrauch des Gebläses bei der Wasserbelebung lassen sich einsehen.

Besonders kritisch wird es bei der Benutzerverwaltung: Die Passwörter der angelegten Nutzer könnten einfach geändert und damit die bisherigen Nutzer ausgesperrt werden. Bei einem Fehler oder Notfall kann die Software die Mitarbeiter auf der hinterlegten Mobilfunknummer per SMS oder Telefonanruf alarmieren - je nachdem, wer gerade Bereitschaftsdienst hat. Auch diese Optionen könnten mit Admin-Zugriff geändert werden. Neef und Schäfers hätten die komplette Anlage von den Pumpen bis zu den Nutzern übernehmen können.

Auch weitere Kläranlagen sind anfällig. In der Kläranlage am Starnberger See lässt sich die Beleuchtung über das Prozessleitsystem steuern. Mit einem Klick kann im Werkstattgebäude oder in einem der Büros der Verwaltung das Licht ausgeschaltet werden.

In der Kläranlage Wallersdorf konnte die Pumpe in einem Pumpwerk in unmittelbarer Nähe zu einem BMW-Werk gesteuert werden. Was für Auswirkungen das Ausschalten der Pumpe für die BMW-Mitarbeiter hätte haben können, möchte man sich nicht vorstellen.

Bedrohungslage: Gelb

Ihre Funde meldeten Neef und Schäfers dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das wiederum die einzelnen Anlagenbetreiber informierte. Innerhalb von 48 Stunden wurden alle Zugänge geschlossen.

Noch am Tag der Meldung informierte das BSI alle Betreiber kritischer Infrastrukturen aus dem Sektor Wasser in einer "BSI IT-Sicherheitsinformation" über "unzureichende Absicherungen von Prozessleittechnik". Gleichzeitig wurde die "IT-Bedrohungslage" im Bereich Wasser von "Grau" auf "Gelb" angehoben. Darunter versteht das BSI eine "IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs".

Auch Flowchief reagierte bereits auf die Recherche.

Flowchief bekommt sichere Standardeinstellungen

Das Fürther Unternehmen Flowchief bietet sein Prozessleitsystem außer für Klär- und Wasserwerke auch für andere Branchen wie Hochwasserschutz, Erneuerbare Energien, Industrie und Facilitymanagement an. Es wirbt mit "Datensicherheit auf Höhe modernster Standards". Die Berichterstattung von Golem.de über die Sicherheitslücken bei einem österreichischen Konkurrenten habe sein Unternehmen aufmerksam verfolgt, erklärt Andreas Ziegler, Geschäftsführer von Flowchief. Da es seit 2013 standardmäßig auf TLS/SSL-Verschlüsselung setze und Standards im Bereich der IT-Security berücksichtige, habe sich Flowchief jedoch gut aufgestellt gesehen.

Auch bei den neuen Funden reagierte das Unternehmen umgehend und suchte den Kontakt zu Neef und Schäfers. Kurze Zeit später gibt Flowchief ein Softwareupdate heraus, das einige Kritikpunkte beseitigt. Beispielsweise wird erst mit dem Update standardmäßig eine Passwortrichtlinie eingeführt, die ein Mindestmaß an Passwortsicherheit garantiert. Für den Sicherheitsexperten Schäfers ein überfälliger Schritt: "Was bei den meisten Anbietern von E-Mail-Adressen seit Jahren Standard ist, kommt erst jetzt auch bei Wasserwerken zum Einsatz."

Mit dem Update werden auch die in früheren Versionen standardmäßig eingerichteten Konten "Gast" und "Benutzer" deaktiviert. In drei der 127 von Neef und Schäfers gefundenen Installationen war ein Login mit dem Benutzername "Gast" und dem Passwort "gast" möglich. Dort hatten die Betreiber wohl ein Passwort für das standardmäßig eingerichtete Gast-Konto gesetzt, mit einem gesetzten Passwort ist jedoch auch ein Login über das Internet möglich.

Umstritten ist auch ein standardmäßig eingerichtetes, aber inaktives Konto "FlowChief". Dieses ermöglicht, sofern es aktiviert wird, Mitarbeitern von Flowchief, zu Administrationszwecken auf die Installation zuzugreifen. Auf verschiedenen Installationen mit demselben Versionsstand wird laut dem Hersteller das gleiche Kennwort verwendet.

Laut der Firmenwebseite bietet Flowchief eine "durchgängig webfähige Überwachung und Bedienung über beliebige stationäre und mobile Bediengeräte". Die Anlagen jedoch direkt an das Internet anzubinden, ist gefährlich. Die Rechner zur Steuerung der Anlagen sind oft nicht besonders leistungsstark. Werden sie über das Internet mit Anfragen überhäuft, können sie schnell unter der Last zusammenbrechen. Durch einen solchen DDoS-Angriff ließe sich das Prozessleitsystem des Wasser- oder Klärwerkes nicht mehr erreichen, es könnte nicht mehr ferngesteuert, der Zustand des Werkes, die Qualität des Wassers nicht mehr überprüft werden. Im schlimmsten Fall könnten sich Fehler ereignen, die Tausende Haushalte von der Trinkwasserversorgung abschneiden oder die Qualität des Wassers gefährden.

Dass die Sicherheit nicht immer ausreichend berücksichtigt wird, liegt aber nicht nur in der Verantwortung der Softwarehersteller. Flowchief bietet seinen Kunden zwar etliche Sicherheitseinstellungen, darunter beispielsweise Zwei-Faktor-Authentifizierung, verwendet werden diese jedoch kaum. Viele Klär- und Wasserwerke setzen bei der Konfiguration ihrer Systeme im Gegenteil auf einfachen Zugang und Komfort, was meist mit Unsicherheit gleichzusetzen ist. "Die Kunden wollen das so einfach haben", sagt Christian Fink, Leitender Produktmanager von Flowchief. Ressourcenprobleme bei den Anlagenbetreibern dürften hierbei eine Rolle spielen. Doch Bequemlichkeit sollte nicht vor Sicherheit gehen - auch unter widrigen Bedingungen, wie die hessische Gemeinde Hatzfeld zeigt.

Es geht auch ohne Steuerung per Internet

Allein in Hessen existieren laut einer IHK-Studie für 423 Kommunen knapp 400 Wasserversorgungsunternehmen. Gerade kleinere Kommunen stünden unter personellen Herausforderungen, heißt es in der Studie, zudem seien die Netze teilweise in einem schlechten Zustand und manche Kommunen in einem defizitären Umfeld. Ein Beispiel dafür ist die hessische Gemeinde Hatzfeld.

Diese musste zwischenzeitlich sogar mit dem Feuerwehrschlauch mit Trinkwasser versorgt werden, weil das Wasser knapp wurde. Der damals zuständige Wassermeister habe stets "hart an der Grenze gearbeitet", kommentierte Hatzfelds Bürgermeister in einem Zeitungsbericht. Erst im vergangenen Jahr wurde das Trinkwasserproblem der Gemeinde durch die Zusammenarbeit mit anderen Kommunen gelöst, Hatzfed wurde an Bad Berleburg angeschlossen.

Dass unter solchen Rahmenbedingungen die Sicherheit der Prozessleitsysteme nicht an erster Stelle steht, verwundert nicht. Sicherheit dürfte häufig nur als ein weiteres Problem, vielleicht sogar ein geringeres, wahrgenommen werden. "Dass kleine Kommunen eher in eine Schule als in die Sicherheit ihrer Wasserversorgung investieren, kann ich mir schon vorstellen", sagt Achim Vorbau, Leiter der Wasserversorgung in Bad Berleburg.

Auch in Hatzfeld fanden Neef und Schäfers einen Fehler: Sie konnten sich als Gast anmelden und den Aufbau der Anlage betrachten. Viel anstellen konnten sie mit dem Gast-Status allerdings nicht. In Hatzfeld und in Bad Berleburg wird das Prozessleitsystem Flowchief nur zur Überwachung, nicht aber zur Steuerung eingesetzt. "Aus Sicherheitsgründen", betont Vorbau. Das System meldet nur den aktuellen Status, die Steuerung ist nicht über das Internet zu erreichen.

Dass der Komfort darunter leidet, nimmt Vorbau hin. "Der Nachteil ist, wenn etwas ist, muss man hinfahren", sagt Vorbau. Noch bis vor 15 Jahren sei der Wasserversorger von den Kunden informiert worden, wenn sie kein Wasser mehr erhalten hätten - würde das Prozessleitsystem ausfallen, würde man eben wieder darauf zurückfallen. Diese Einstellung wünschen sich Neef und Schäfers auch für andere Verantwortliche von Klär- und Wasserwerken. Hoffnung scheint es zu geben: Das Sicherheitsbewusstsein der Kunden sei in den vergangenen Jahren gestiegen, sagt der Flowchief-Produktmanager Fink - wohl auch aufgrund von Medienberichten.  (mtr)


Verwandte Artikel:
Patscherkofel: Gondelbahn mit Sicherheitslücken   
(19.04.2018, https://glm.io/133930 )
IT-Sicherheitsgesetz 2.0: Mehr Befugnisse für Sicherheitsbehörden   
(03.04.2019, https://glm.io/140443 )
BSI: Hackerangriffe bedrohen Energieversorger   
(14.06.2018, https://glm.io/134968 )
BSI: Mehr Sicherheitsvorfälle bei kritischer Infrastruktur   
(18.02.2019, https://glm.io/139449 )
BSI-Lagebericht: Die bösen Hacker und das fliegende Einhorn   
(11.10.2018, https://glm.io/137075 )

© 1997–2019 Golem.de, https://www.golem.de/