„Das Bewusstsein für IT-Sicherheit scheint in der Branche bis jetzt eine eher untergeordnete Rolle zu spielen.“ Peter Steib

„Das Bewusstsein für IT-Sicherheit scheint in der Branche bis jetzt eine eher untergeordnete Rolle zu spielen.“ Peter SteibRedaktion IEE

Worin genau besteht die Sicherheitslücke, die die c‘t öffentlich ­gemacht hat?

Mir gefällt der Ausdruck ‚Sicherheitslücke‘ nicht – eher handelt es sich um einen nicht bestimmungsgemäßen Gebrauch. Saia-PCD-Steuerungen haben einen integrierten Webserver, mit dem auch Anlagenbedienungen realisiert werden. Für eine Vor-Ort-Bedienung bieten wir hierzu passende Panels an; diese Konstellation stellt den Regelfall dar. Weil unsere Technik auf weltweit eingeführten IT-Standards basiert, kann man eine Saia-PCD-Steuerung auch ans Internet anschließen, um die Anlage aus der Ferne zu bedienen. Dann muss man aber natürlich für einen entsprechenden Zugriffsschutz sorgen; wie Firewall, VPN, Proxy-Server mit SSL-Verschlüsselung und Authentifizierung. Die c‘t hat etliche unserer Steuerung im Web gefunden, wo das nicht der Fall war.

In diesem Kontext ist auch der in die Kritik geratene sogenannte ‚Passwortschutz‘ zu sehen, der überwunden wurde. In Wirklichkeit handelt es sich um eine rollen­basierte Benutzerführung und erhebt nicht den Anspruch das System abzusichern. Unsere Steuerungen werden nur in Schaltschränken und Räumen betrieben, zu denen lediglich ein bekannter Bediener- und Anwenderkreis Zugang hat. Da ist das völlig ausreichend.

War Ihnen vor der Anfrage der c‘t bekannt, dass Hacker diese Lücke ausnutzen könnten?

Nochmals: Saia PCD-Steuerungen waren und sind ausschließlich für den Einsatz in einer geschützten IT-Umgebung konzipiert. Soll die Steuerung auch von extern über Internet zugänglich sein, sind geeignete, im IT-Umfeld übliche Sicherungsmaßnahmen zu ergreifen. Insofern kann nicht von einer expliziten Sicherheitslücke die Rede sein.

Haben Sie Ihre Anwender darauf aufmerksam gemacht, dass der Zugriff auf die Steuerung ohne ein sicheres Netz drumherum unsicher ist?

Wir haben unseren Kunden schon sehr früh nachdrücklich empfohlen, dass ein sicherer Schutz nur mit den üblichen externen IT-Komponenten zu erzielen ist. Zum Beispiel haben wir in ­einem Whitepaper aus dem Jahre 2007 dem Thema ein ganzes Kapitel gewidmet; auch ist in unserem Produktkatalog ein entsprechender Hinweis zu finden. Im Rahmen von Produktschulungen weisen wir immer wieder auf das Thema Security hin.

Vielleicht sollten wir den Begriff Anwender genauer definieren: Unsere Kunden sind von uns unabhängige, selbständige Systemintegratoren oder OEMs, die unsere Produkte im Rahmen von Automatisierungsprojekten programmieren und beim Endkunden installieren. In der Regel kennen wir die Anwendungen und Endkunden nicht. Bei den Systemintegratoren handelt es sich um Firmen mit Fachkenntnis in der Automatisierungstechnik, die ja heute auch Kommunikation und Netzwerktechnik umfasst.

Wenn Sie sagen, dass Sie mit Fachkräften zusammen arbeiten, die wissen sollten, was sie tun, schieben Sie dann Ihre Verantwortung nicht auf die Anwender ab? Nicht jeder ist ein Security-Experte.

Man muss heutzutage nicht Security-Experte sein um zu wissen, dass man im Internet nicht ohne Sicherheitsvorkehrungen unterwegs sein sollte. Aber es ist schon richtig, das Bewusstsein für IT-Sicherheit scheint in der Branche bis jetzt eine eher untergeordnete Rolle zu spielen. Da besteht wohl trotz der eingangs ­erwähnten Maßnahmen unserseits Handlungsbedarf, noch mehr auf die Gefahren ungeschützter Web-Zugänge hinzuweisen – was wir auch tun werden.

Was waren Ihre ersten Schritte nachdem Sie auf die Lücke aufmerksam gemacht wurden?

Wir haben selbst recherchiert und ungeschützte Steuerungen identifiziert. Bei den meisten Installationen ist es uns gelungen, die betreffenden Systemintegratoren zu ermitteln. Diese haben wir explizit per Briefpost auf die Sachlage hingewiesen und dringend empfohlen, geeignete Schutzmaßnahmen zu ergreifen oder nötigenfalls die Steuerung vom Internet zu nehmen.

Zusätzlich haben wir vorsorglich unseren gesamten Kundenstamm per ­E-Mail informiert. In diesem Zusammenhang entstand ein Leitfaden mit konkret vorgeschlagenen Maßnahmen zur Entschärfung der Situation, der auf unsere Support-Site ­publiziert ist. Derzeit arbeiten wir an einem Sicherheits-Update für unsere Steuerungen, der vor allem einen verbesserten Passwort-Mechanismus für die Benutzerführung enthält. Außerdem führen wir Tests mit verschiedenen VPN-Routern durch, die wir mit einer zusätzlichen Anleitung unseren Kunden empfehlen wollen.

Wie viele Anlagen sind betroffen? Die c‘t spricht von rund 1.000.

Wir haben unsere eigene Recherche zunächst mit den gleichen Werkzeugen wie die c‘t durchgeführt. Was in der Tat mehr als 1.000 Treffer ergab. Bei näherem Hinsehen stellte sich heraus, dass davon aber nur circa 600 Steuerungen tatsächlich aktiv waren. Nun muss man wissen, dass Steuerungen auch gewollt offen zu Demonstrationszwecken ins Internet gestellt werden, allein wir unterhalten rund 20 derartige Steuerungen.

Insgesamt gehen wir von etwa 200.000 installierten und in Betrieb befindlichen Steuerungen aus. Bezogen auf die gesamte installierte Basis bedeutet dies 0,3 % ungeschützte Web-Zugänge. Es liegt uns fern, den Sachverhalt zu verharmlosen, allerdings zeigt dieser Prozentsatz, dass die überwiegende Mehrzahl unserer Produkte korrekt installiert und betrieben werden.

Welche Konsequenzen ziehen Sie aus dem Security-Vorfall?

Zugunsten einer einfachen Handhabung hatten wir bereits integrierte Sicherheitsfunktionen ab Werk deaktiviert. Neu ist jetzt in der Default-Einstellung ein aktivierter Schutz. Unsere Entwicklungsabteilungen sind angehalten, bei Neuentwicklungen und Updates den Security-Gedanken immer mit zu berücksichtigen. Allerdings bleiben unsere Steuerungen Steuerungen und werden nicht zu Security-Appliances mutieren. Ganz besonderes Augenmerk werden wir auf die Sensibilisierung bezüglich IT-Sicherheit bei unseren Kunden richten. In der Regel ist es ja so, dass der Systemintegrator nur das einbaut, was der Planer vorgibt, und dieser wiederum das plant, was der Endkunde bestellt. In dieser Kette muss das Thema Web-Sicherheit wesentlich besser verankert werden. Hier wollen wir ansetzen.