{"id":6890,"date":"2019-03-26T14:56:56","date_gmt":"2019-03-26T13:56:56","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=6890"},"modified":"2025-11-20T11:25:13","modified_gmt":"2025-11-20T10:25:13","slug":"schutz-kritischer-infrastrukturen-klaerwerk-vollstaendig-gehackt","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/schutz-kritischer-infrastrukturen-klaerwerk-vollstaendig-gehackt\/","title":{"rendered":"Schutz kritischer Infrastrukturen: Kl\u00e4rwerk vollst\u00e4ndig gehackt"},"content":{"rendered":"

Die IT-Sicherheit beim Schutz kritischer Infrastrukturen (KRITIS) ist leider in vielen F\u00e4llen ungen\u00fcgend. Das zeigten zuletzt die Sicherheitsforscher Sebastian Neef und Tim Philipp Sch\u00e4fers, als sie via Web die komplette Steuerung eines Kl\u00e4rwerks \u00fcbernehmen konnten<\/a>.<\/p>\n

Sicherheitsforscher \u00fcbernehmen Kl\u00e4ranlage<\/h2>\n

Die Sicherheitsforscher und Golem.de-Autoren Sebastian Neef und Tim Philipp Sch\u00e4fers recherchierten nicht zum ersten Mal zum Schutz kritischer Infrastrukturen \u00fcber Sicherheitsm\u00e4ngel in Industrieanlagen. Vor zwei Jahren machten die beiden Forscher schon einmal Schlagzeilen \u00fcber den \u201eleichtfertigen Umgang mit kritischen Infrastrukturen<\/a>\u201c.<\/p>\n

Tim Philipp Sch\u00e4fer<\/a> versteht sich selbst als Hacker vom alten Schlag. Er ist Co-Founder des Whitehat-Hacking-Projekts internetwache.org<\/a>. Sebastian Neef ist Inhaber der IT Solutions Neef, die neben Security-Checks auch Vortr\u00e4ge und Live-Hacks anbietet. Beide schreiben f\u00fcr einschl\u00e4gige Medien wie Golem.de.<\/p>\n

Bei den Recherchen von vor zwei Jahren stie\u00dfen die Sicherheitsforscher auf das Prozessleitsystem Flowchief. Kl\u00e4r- und Wasserwerke nutzen dieses System zum Steuern ihrer Anlagen. Flowchief arbeitet mit einem Web-Interface, in dem die technischen Details der Industrieanlagen nicht nur abgebildet werden, sondern sich auch kontrollieren und steuern lassen. Neef erkl\u00e4rte: \u201eWir haben dann nach Wasser- und Kl\u00e4rwerken gesucht, deren Flowchief-Installationen \u00fcber das Internet erreichbar sind\u201c.<\/p>\n

Prozessleitsystem als Einfallstor<\/h3>\n

Der Datenbestand des Projekts Scans.io, welches Informationen zu Webservern im Web zur Verf\u00fcgung stellt, wurde f\u00fcr die Recherchen genutzt. Sagenhafte 127 Kl\u00e4r- und Wasserwerke fanden die Forscher, bei denen es m\u00f6glich war, via Internet auf die Login-Seiten zuzugreifen. Sch\u00e4fers war noch guter Hoffnung: \u201eAuf den ersten Blick sah alles besser aus als gedacht\u201c. Denn immerhin war die Verbindung zu den Flowchief-Installationen per SSL\/TLS<\/a> verschl\u00fcsselt. Die Recherchen aus 2016 ergaben, dass die Steuerungen anderer Hersteller gr\u00f6\u00dftenteils unverschl\u00fcsselt vorlagen.<\/p>\n

Prozesseinstellungen und Nutzerverwaltung auf dem Pr\u00e4sentierteller<\/h3>\n

Dass Verschl\u00fcsselung Daten sch\u00fctzt, hat sich herumgesprochen \u2013 das n\u00fctzt jedoch gar nichts, wenn Zugangsdaten bereits vor eingetragen sind. Bei der ersten Flowchief-Installation mit vorausgef\u00fclltem Nutzernamen wunderten sich die Sicherheitsforscher: WW stand da – f\u00fcr \u201eWasserwerk\u201c. Spa\u00dfeshalber gaben die Forscher \u201eWW\u201c auch als Passwort ein \u2013 und staunten nicht schlecht, als sie Zugriff erhalten hatten. Schematisch wurden Wasserbeh\u00e4lter, Pumpwerke oder Rohrleitungen dargestellt.<\/p>\n

Das Tragische: Das war kein Einzelfall. Vorausgef\u00fcllte Nutzernamen fanden die Forscher bei rund 25 Installationen vor. So geschah es auch, als sie die IP-Adresse eines Kl\u00e4rwerks im Browser eingaben. Es \u00f6ffnete sich das Web Login des Prozessleitsystems – mit vorausgef\u00fclltem Nutzernamen. Wieder entsprach das Passwort dem Nutzernamen, schon konnten die Forscher auf die Weboberfl\u00e4che zugreifen.<\/p>\n

Nun k\u00e4me man als sicherheitsorientierter Nutzer auf den Gedanken, man habe sinnvolle Zugriffsberechtigungen vergeben. Weit gefehlt: Die Forscher konnten sich als Administrator einloggen und weitreichende Rechte nutzen.<\/p>\n

Alle Stationen, die das Abwasser durchl\u00e4uft, wurden abgebildet. Die Verwaltungssoftware illustriert zudem den Abtransport von Kl\u00e4rschlamm. Neef und Sch\u00e4fers hatten zwar keine Idee, was die Einstellungen zum F\u00fcllstand des Sandfangs zu bedeuten hatten oder wie hoch der F\u00fcllstand sein sollte, um die Sandfangpumpe anzufahren. Aber diese und zahlreiche weitere Werte konnten sie selbst setzen und Warnmeldungen einfach eliminieren.<\/p>\n

Besonders kritisch jedoch war die Tatsache, dass sie Zugriff auf die Nutzerverwaltung hatten. Es w\u00e4re ein Leichtes gewesen, die Passw\u00f6rter der User zu \u00e4ndern und sie so auszusperren. Auch die Bereitschafts-Optionen der Mitarbeiter konnten mit dem Admin-Zugriff ge\u00e4ndert werden – letztlich hatten die Forscher Zugriff auf alle Details von den Pumpen bis hin zu den Nutzern.<\/p>\n

BSI und Softwarehersteller steuern gegen<\/h3>\n

Neef und Sch\u00e4fers haben ihre Funde dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) gemeldet. Dieses wiederum informierte einzelne Anlagenbetreiber. Binnen 48 Stunden waren s\u00e4mtliche Zug\u00e4nge geschlossen. Dennoch: das Thema bleibt! Deshalb informierte das BSI die Betreiber kritischer Infrastrukturen aus dem Wasser-Sektor \u00fcber die \u201eunzureichende Absicherung von Prozessleittechnik\u201c.<\/p>\n

Weiter hob man die Bedrohungslage im Sektor Wasser von \u201eGrau\u201c auf \u201eGelb\u201c, worunter das BSI eine \u201eIT-Bedrohungslage mit verst\u00e4rkter Beobachtung von Auff\u00e4lligkeiten unter tempor\u00e4rer Beeintr\u00e4chtigung des Regelbetriebs\u201c versteht.<\/p>\n

Auch der F\u00fcrther Softwarehersteller Flowchief reagierte bereits. Man habe sich gut aufgestellt gesehen, da seit 2013 standardm\u00e4\u00dfig via SSL\/TLS verschl\u00fcsselt werde und man entsprechende Standards in der IT-Security ber\u00fccksichtige. Nur kurz nach den aktuellen Funden gab Flowchief ein Softwareupdate heraus, welches einige der Kritikpunkte beseitigen konnte. Nun existiert unter anderem eine Passwortrichtlinie, um ein Mindestma\u00df an Passwortsicherheit garantieren zu k\u00f6nnen.<\/p>\n

Kl\u00e4rwerke vom Netz nehmen?<\/h2>\n

Es ist gef\u00e4hrlich, dass Anlagen wie Kl\u00e4rwerke direkt ans Internet angebunden sind. H\u00e4ufig sind die Steuerungsrechner der Anlagen nicht sonderlich leistungsstark. Das macht sie empfindlich f\u00fcr DDoS-Angriffe<\/a>, bei denen die Rechner \u00fcbers Internet mit Anfragen \u00fcberh\u00e4uft werden. Sie k\u00f6nnten schnell unter dieser Last zusammenbrechen.<\/p>\n

Es ist jedoch nicht nur der Softwarehersteller selbst, der umdenken muss. Mit Zwei-Faktor-Authentifizierung und anderen sicherheitsrelevanten Einstellungen ist auch Flowchief ausger\u00fcstet. Leider setzen die meisten Betreiber von Kl\u00e4r- und Wasserwerken auf Einfachheit und Komfort – zwei Attribute, die die Systeme nicht gerade sicher machen. Oftmals z\u00e4hlt f\u00fcr die Anwender solcher Software Bequemlichkeit mehr als Sicherheit.<\/p>\n

Das Thema Sicherheit dieser Prozessleitsysteme steht nicht an erster Stelle, wird oft stiefm\u00fctterlich behandelt. Verwundern kann das nicht, stehen zahlreiche Wasserversorgungsunternehmen unter personellem und finanziellem Druck.<\/p>\n

Dass es auch anders geht, zeigen wenige Ausnahmen wie die hessische Gemeinde Hatzfeld. Durch den Anschluss an Bad Berleburg konnten schon einige Risiken einged\u00e4mmt werden. Hatzfeld und Bad Berleburg nutzen das Prozessleitsystem Flowchief zudem ausschlie\u00dflich zur \u00dcberwachung. Die Steuerung des Prozessleitsystems ist aus Sicherheitsgr\u00fcnden nicht \u00fcbers Internet erreichbar.<\/p>\n

Fazit: Schutz kritischer Infrastrukturen<\/h2>\n

Von Wasser- und Kl\u00e4rwerken sind Millionen von Menschen abh\u00e4ngig. Kostendruck, aber auch Bequemlichkeit und bedauerlicherweise h\u00e4ufig auch Ahnungslosigkeit sorgen daf\u00fcr, dass vielfach auf ein hohes Ma\u00df an Sicherheit verzichtet wird. Nat\u00fcrlich m\u00fcssen Software-Anbieter f\u00fcr ein gewisses Ma\u00df an Sicherheit sorgen. Die Angebote dieser Software-Anbieter m\u00fcssen jedoch auch durch die Betreiber kritischer Infrastrukturen angenommen werden.<\/p>\n

Gl\u00fccklicherweise findet nach und nach ein Umdenken statt. Durch die wertvolle Arbeit von Sicherheitsforschern wie Neef und Sch\u00e4fers, aber auch durch die Aufgekl\u00e4rtheit und ein gesteigertes Sicherheitsbewusstsein von Kunden. Mit entsprechenden Awareness-Ma\u00dfnahmen f\u00fcr Mitarbeiter und Betreiber der KRITIS wird dieses Umdenken anhalten und die Sicherheitsstandards verbessern. Auch die SSL-Verschl\u00fcsselung wird beim Schutz kritischer Infrastrukturen weiterhin eine wichtige Rolle spielen, auch wenn Sie in diesem Fall durch die schlechten Sicherheitsma\u00dfnahmen ausgehebelt wurde.<\/p>\n