Herr Malcherek, über 1000 mit Saia-Reglern ausgestattete Anlagen – darunter Blockheizkraftwerke, Brauereien und sogar ein Gefängnis – sollen laut dem Security-Portal von Heise eine eklatante Sicherheitslücke beim Passwortschutz gezeigt haben. Was sagen Sie zu dazu?

Ernst Malcherek, Saia-Burgess: „IT-Sicherheit bedeutet nicht nur Mehraufwand und Kosten, sondern stellt auch einen Wert dar.“

© Saia-Burgess

Malcherek: Das Thema eignet sich natürlich für Schlagzeilen und ein entsprechendes Echo in der Presse. Allerdings ist der vorliegende Sachverhalt viel zu ernst, um für eine simple Sensationshascherei herzuhalten; da wünschten wir uns eine mehr fundierte Berichterstattung. Wenn zum Beispiel von über 1000 Anlagen mit offenen Webzugängen gesprochen wird, dann handelt es sich hierbei wohl um Treffer, welche der für die Recherche verwandte Suchdienst liefert. Wir haben uns die Mühe gemacht und sind jeder von der Suchmaschine gemeldeten Steuerung einzeln nachgegangen, was dann noch zu 600 aktiven Steuerungen führte – der Rest ging ins Leere. Unberücksichtigt bleiben auch Steuerungen, die zu Demons­trationszwecken bewusst offen im Netz stehen oder Anlagen, die meist über mehrere Steuerungen verfügen. Die tatsächliche Anzahl zugänglicher Anlagen und Installationen dürfte also um einiges tiefer liegen. Trotzdem: 600 ungeschützte Steuerungen sind selbstverständlich viel zu viel.

Was in der ganzen Diskussion leider viel zu wenig Beachtung findet, ist unser Geschäftsmodell: Wir beliefern Fachfirmen, die in der Automation tätig sind – und nicht etwa Konsumenten. Unsere Steuerungen sollten also von Fachleuten eingesetzt und durch En­gineering und Programmierung gemäß den jeweiligen Anforderungen individuell angepasst werden. Das umfasst meist auch die Integration in ein gegebenes IT-Umfeld, welches in der Regel schon ausreichend abgesichert ist.

Mit anderen Worten: Unsere Steuerungen sind nur für den Einsatz in einer geschützten IT-Umgebung konzipiert; für einen direkten Anschluss ans Internet sind dementsprechend in der IT gängige Sicherungsmaßnahmen wie etwa ein Router mit Firewall und VPN anzuwenden. Diese Absicherung ist bei den im Web identifizierten Steuerungen nicht gemacht worden. Der in die Kritik geratene Passwortschutz war jedenfalls nie dazu bestimmt, das System abzusichern; vielmehr handelt es sich hierbei lediglich um eine rollenbasierte Benutzerführung.

Trotzdem wurde Saia vorgehalten, auch fast ein halbes Jahr nach Kenntnis von den Problemen noch kein Sicherheits-Update zur Verfügung stellen zu können.

Malcherek: Ohne uns herausreden zu wollen: Wir sehen hier wie gesagt we­niger eine Sicherheitslücke im Produkt. Wir haben schon immer darauf hingewiesen, dass unsere Steuerungen entsprechend geschützt werden müssen. Es liegt im Ermessen des Systemintegrators – also unserer Kunden – ob derlei Maßnahmen ergriffen werden. Wir selbst können da nur auf die Gefahr offener Webzugänge hinweisen, was wir in Zukunft auch verstärkt tun werden. Nach Bekanntwerden des Aus­maßes der un­geschützten Steuerungen haben wir die betroffenen Systemintegratoren sofort schriftlich informiert und gebeten, Gegenmaßnahmen zu ergreifen. Allerdings können wir einen nicht bestimmungsgemäßen Einsatz unserer Produkte schlussendlich schwerlich unterbinden. Man muss es aber auch so sehen: 600 offene Webzugänge sind sicherlich eine beeindruckende Zahl. Jedoch gehen wir heute von rund 200.000 im Feld installierter PCD-Steuerungen aus, was in etwa 0,3 % der ungeschützt über das Web zugäng­lichen Steuerungen entspricht. Dies zeigt doch, dass die meisten unsere Steuerungen richtig einsetzen.

Im Übrigen werden wir weiterhin an der strikten Trennung zwischen IT-Security und Steuerungstechnik festhalten. Denn eine Verlagerung der Security-Funktion in die Steuerung zieht unweigerlich die Notwendigkeit regelmäßiger Updates nach sich – was mit den damit verbundenen Stillstandzeiten in der Automation keiner will. Dennoch haben wir jetzt nach ausgiebigen Tests und einer seriösen Pilotphase bei ausgesuchten Kunden ein Security-Upgrade für unsere Steuerungen veröffentlicht. Neben einem verbesserten Passwortschutz umfasst dies vor allem die Aktivierung bereits vorhandener Schutzfunktionen der Steuerungen in der Default-Einstellung. Aber nochmal: Das Sicherheits-Upgrade ersetzt nicht externe Security-Komponenten wie Firewall oder VPN, wenn die Steuerung direkt ans Internet angeschlossen werden soll.

Ist das Thema Passwort-Schutz nur die Spitze des Eisberges weiterer Security-Probleme? Oder anders gefragt: Könnte sich das Thema „smarte Gebäudetechnik“ zum Bumerang entwickeln?

Malcherek: Die Problematik liegt weniger in der Technik oder im Können der Anwender. Gerade in der Gebäudetechnik herrscht eine komplexe Gemengelage unterschiedlichster Interessen: da gibt es Systemintegratoren, Planer, Generalunternehmer, Investoren, Betrei­ber und so weiter. Ein Systemintegrator baut das ein, was der Planer plant. Der wiederum nimmt nur ins Leistungsverzeichnis auf, was vom Errichter gefordert wird. Wenn in dieser Kette IT-Sicherheit nie Thema war, wird auch kein VPN installiert. Deswegen „smarte Gebäudetechnik“ in Frage zu stellen, geht sicherlich zu weit; allerdings muss in einer modernen Gebäudeautomation auch IT-Sicherheit einen Platz haben.

Welche Maßnahmen müssten mit Blick in die Zukunft konkret getroffen werden, um solche Negativ-Schlagzeilen künftig zu verhindern?

Malcherek: IT-Sicherheit scheint in der Automatisierungsbranche noch nicht den Stellenwert einzunehmen, der ihr gebührt. Generell ist das Bewusstsein für Angriffe aus dem Internet nicht sonderlich entwickelt oder man will es gar nicht wissen. Dies beginnt schon mit dem Auftraggeber, der oft die Konsequenzen einer Fernwartung per Internet gar nicht abschätzen kann. Aufklärung tut not und hier müssen wir alle an einem Gebäudeprojekt Beteiligten für das Thema sensibilisieren beziehungsweise sie verstärkt auf die Risiken offener Webzugänge hinweisen und Maßnahmen zum Schutz von Steuerungen vorschlagen. Das reicht von praxiserprobten Anleitungen und geht bis zur Empfehlung von geeigneten Routern für einen industriellen Einsatz.

Das Thema hat weite Kreise gezogen und sogar zu einer Parlamentarischen Anfrage der Grünen geführt. Die Partei wollte von der Bundesregierung er­fahren, welche Maßnahmen geeignet wären, um die Hersteller von IT- und Steuerungssystemen künftig stärker in die Verantwortung zu nehmen. Wie ist die Antwort der Bundesregierung ausgefallen?

Malcherek: Wir wurden vom Bundesamt für Sicherheit und Informationstechnik*) zu einer Stellungnahme auf­gefordert, in der wir auch unseren Standpunkt darlegen konnten. Wie wir favorisiert die Bundesregierung eine strikte Trennung von Industrieanlagen und Internet beziehungsweise Firmennetz. In der Praxis bedeutet das die Realisierung von Internet-Anschaltungen über dedizierte IT-Sicherheitskomponenten. So gesehen besteht bei unseren Steuerungen keine Sicherheitslücke, daher kommt das BSI auch zu dem Schluss, das Problem sei gelöst.

Ungeachtet dessen fordern die Grünen, dass die Anbieter für mögliche Security-Mängel ihrer Produkte auch das Haftungsrisiko tragen. Bereitet Ihnen dies Sorge?

Malcherek: So lange man sich in der Presse unverhohlen damit brüsten kann, gegen § 202a**) Strafgesetzbuch zu verstoßen, mache ich mir da keine Sorgen. Aber Spaß beiseite: Wir sind nicht der Meinung, dass es weiterer Gesetze bedarf. Nehmen Sie beispielsweise unsere Steuerungen: Ab Werk machen die zunächst einmal gar nichts. Erst durch Konfiguration und Programmierung realisiert der Anwender die Automatisierungsfunktion inklusive eventueller Internet-Anschaltung. Wenn dabei dann Grundsätze der IT-Sicherheit nicht berücksichtigt werden, kann man das wohl kaum dem Produkt anlasten. Was wäre denn eigentlich ein Security-Mangel? Wenn eine Steuerung keine Firewall oder VPN enthält? Das käme dann einem Motorrad gleich, das man nicht ohne Helm und Lederkombination verkaufen darf!

Die ganze Debatte ist im Umfeld der Gebäudeautomation entstanden. Fürchten Sie, dass die geschilderten Prob­leme künftig auch im Umfeld der In­dustrieautomation verstärkt auftreten werden?

Malcherek: Im Vergleich zur Gebäudeautomation herrschen in der Industrie klarere Strukturen und homogenere Interessenslagen vor. Aber auch hier werden schnell mal Ports für eine Fernprogrammierung geöffnet. Ohne geeignete Sicherheitsvorkehrungen bleibt dann nur auf ein wenig verbreitetes Wissen über Steuerungstypen und deren Programmierwerkzeuge beim potenziellen Angreifer zu hoffen.❏

  *) Bundesamt für Sicherheit und Informationstechnik – kurz BSI
**) § 202a – Ausspähen von Daten: Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Die vermeintliche Sicherheitslücke

Für diesen potenziellen Angriffspunkt stehen die Saia-Regler in der Kritik:

Saia PCD-Steuerungen verfügen über einen internen Webserver, der zur Visualisierung beispielsweise von Anlagen genutzt werden kann. Für eine Bedienung ist dann nur noch ein Web-Browser mit Java-Unterstützung notwendig. Dabei kann auf eine Bediener­führung zurückgegriffen werden, die mittels Passwörter gesteuert wird. Bisher wurden die Passwörter zur Verifizierung in Klartext aus der Steuerung an den Browser übermittelt. Mit einem Mindestmaß an IT-Kenntnissen war es möglich, diese Passwörter auszulesen. Mit dem nun erschienenen Security-Upgrade erfolgt die Überprüfung der Passwörter in der Steuerung, das heißt sie werden nicht mehr an den Browser übertragen. Zusätzlich werden die Benutzereingaben neu verschlüsselt an die Steuerung gesendet.