Schutz kritischer Infrastrukturen: Klärwerk vollständig gehackt

Die IT-Sicherheit beim Schutz kritischer Infrastrukturen (KRITIS) ist leider in vielen Fällen ungenügend. Das zeigten zuletzt die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers, als sie via Web die komplette Steuerung eines Klärwerks übernehmen konnten.

Sicherheitsforscher übernehmen Kläranlage

Die Sicherheitsforscher und Golem.de-Autoren Sebastian Neef und Tim Philipp Schäfers recherchierten nicht zum ersten Mal zum Schutz kritischer Infrastrukturen über Sicherheitsmängel in Industrieanlagen. Vor zwei Jahren machten die beiden Forscher schon einmal Schlagzeilen über den „leichtfertigen Umgang mit kritischen Infrastrukturen“.

Tim Philipp Schäfer versteht sich selbst als Hacker vom alten Schlag. Er ist Co-Founder des Whitehat-Hacking-Projekts internetwache.org. Sebastian Neef ist Inhaber der IT Solutions Neef, die neben Security-Checks auch Vorträge und Live-Hacks anbietet. Beide schreiben für einschlägige Medien wie Golem.de.

Bei den Recherchen von vor zwei Jahren stießen die Sicherheitsforscher auf das Prozessleitsystem Flowchief. Klär- und Wasserwerke nutzen dieses System zum Steuern ihrer Anlagen. Flowchief arbeitet mit einem Web-Interface, in dem die technischen Details der Industrieanlagen nicht nur abgebildet werden, sondern sich auch kontrollieren und steuern lassen. Neef erklärte: „Wir haben dann nach Wasser- und Klärwerken gesucht, deren Flowchief-Installationen über das Internet erreichbar sind“.

Prozessleitsystem als Einfallstor

Der Datenbestand des Projekts Scans.io, welches Informationen zu Webservern im Web zur Verfügung stellt, wurde für die Recherchen genutzt. Sagenhafte 127 Klär- und Wasserwerke fanden die Forscher, bei denen es möglich war, via Internet auf die Login-Seiten zuzugreifen. Schäfers war noch guter Hoffnung: „Auf den ersten Blick sah alles besser aus als gedacht“. Denn immerhin war die Verbindung zu den Flowchief-Installationen per SSL/TLS verschlüsselt. Die Recherchen aus 2016 ergaben, dass die Steuerungen anderer Hersteller größtenteils unverschlüsselt vorlagen.

Prozesseinstellungen und Nutzerverwaltung auf dem Präsentierteller

Dass Verschlüsselung Daten schützt, hat sich herumgesprochen – das nützt jedoch gar nichts, wenn Zugangsdaten bereits vor eingetragen sind. Bei der ersten Flowchief-Installation mit vorausgefülltem Nutzernamen wunderten sich die Sicherheitsforscher: WW stand da – für „Wasserwerk“. Spaßeshalber gaben die Forscher „WW“ auch als Passwort ein – und staunten nicht schlecht, als sie Zugriff erhalten hatten. Schematisch wurden Wasserbehälter, Pumpwerke oder Rohrleitungen dargestellt.

Das Tragische: Das war kein Einzelfall. Vorausgefüllte Nutzernamen fanden die Forscher bei rund 25 Installationen vor. So geschah es auch, als sie die IP-Adresse eines Klärwerks im Browser eingaben. Es öffnete sich das Web Login des Prozessleitsystems – mit vorausgefülltem Nutzernamen. Wieder entsprach das Passwort dem Nutzernamen, schon konnten die Forscher auf die Weboberfläche zugreifen.

Nun käme man als sicherheitsorientierter Nutzer auf den Gedanken, man habe sinnvolle Zugriffsberechtigungen vergeben. Weit gefehlt: Die Forscher konnten sich als Administrator einloggen und weitreichende Rechte nutzen.

Alle Stationen, die das Abwasser durchläuft, wurden abgebildet. Die Verwaltungssoftware illustriert zudem den Abtransport von Klärschlamm. Neef und Schäfers hatten zwar keine Idee, was die Einstellungen zum Füllstand des Sandfangs zu bedeuten hatten oder wie hoch der Füllstand sein sollte, um die Sandfangpumpe anzufahren. Aber diese und zahlreiche weitere Werte konnten sie selbst setzen und Warnmeldungen einfach eliminieren.

Besonders kritisch jedoch war die Tatsache, dass sie Zugriff auf die Nutzerverwaltung hatten. Es wäre ein Leichtes gewesen, die Passwörter der User zu ändern und sie so auszusperren. Auch die Bereitschafts-Optionen der Mitarbeiter konnten mit dem Admin-Zugriff geändert werden – letztlich hatten die Forscher Zugriff auf alle Details von den Pumpen bis hin zu den Nutzern.

BSI und Softwarehersteller steuern gegen

Neef und Schäfers haben ihre Funde dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Dieses wiederum informierte einzelne Anlagenbetreiber. Binnen 48 Stunden waren sämtliche Zugänge geschlossen. Dennoch: das Thema bleibt! Deshalb informierte das BSI die Betreiber kritischer Infrastrukturen aus dem Wasser-Sektor über die „unzureichende Absicherung von Prozessleittechnik“.

Weiter hob man die Bedrohungslage im Sektor Wasser von „Grau“ auf „Gelb“, worunter das BSI eine „IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs“ versteht.

Auch der Fürther Softwarehersteller Flowchief reagierte bereits. Man habe sich gut aufgestellt gesehen, da seit 2013 standardmäßig via SSL/TLS verschlüsselt werde und man entsprechende Standards in der IT-Security berücksichtige. Nur kurz nach den aktuellen Funden gab Flowchief ein Softwareupdate heraus, welches einige der Kritikpunkte beseitigen konnte. Nun existiert unter anderem eine Passwortrichtlinie, um ein Mindestmaß an Passwortsicherheit garantieren zu können.

Klärwerke vom Netz nehmen?

Es ist gefährlich, dass Anlagen wie Klärwerke direkt ans Internet angebunden sind. Häufig sind die Steuerungsrechner der Anlagen nicht sonderlich leistungsstark. Das macht sie empfindlich für DDoS-Angriffe, bei denen die Rechner übers Internet mit Anfragen überhäuft werden. Sie könnten schnell unter dieser Last zusammenbrechen.

Es ist jedoch nicht nur der Softwarehersteller selbst, der umdenken muss. Mit Zwei-Faktor-Authentifizierung und anderen sicherheitsrelevanten Einstellungen ist auch Flowchief ausgerüstet. Leider setzen die meisten Betreiber von Klär- und Wasserwerken auf Einfachheit und Komfort – zwei Attribute, die die Systeme nicht gerade sicher machen. Oftmals zählt für die Anwender solcher Software Bequemlichkeit mehr als Sicherheit.

Das Thema Sicherheit dieser Prozessleitsysteme steht nicht an erster Stelle, wird oft stiefmütterlich behandelt. Verwundern kann das nicht, stehen zahlreiche Wasserversorgungsunternehmen unter personellem und finanziellem Druck.

Dass es auch anders geht, zeigen wenige Ausnahmen wie die hessische Gemeinde Hatzfeld. Durch den Anschluss an Bad Berleburg konnten schon einige Risiken eingedämmt werden. Hatzfeld und Bad Berleburg nutzen das Prozessleitsystem Flowchief zudem ausschließlich zur Überwachung. Die Steuerung des Prozessleitsystems ist aus Sicherheitsgründen nicht übers Internet erreichbar.

Fazit: Schutz kritischer Infrastrukturen

Von Wasser- und Klärwerken sind Millionen von Menschen abhängig. Kostendruck, aber auch Bequemlichkeit und bedauerlicherweise häufig auch Ahnungslosigkeit sorgen dafür, dass vielfach auf ein hohes Maß an Sicherheit verzichtet wird. Natürlich müssen Software-Anbieter für ein gewisses Maß an Sicherheit sorgen. Die Angebote dieser Software-Anbieter müssen jedoch auch durch die Betreiber kritischer Infrastrukturen angenommen werden.

Glücklicherweise findet nach und nach ein Umdenken statt. Durch die wertvolle Arbeit von Sicherheitsforschern wie Neef und Schäfers, aber auch durch die Aufgeklärtheit und ein gesteigertes Sicherheitsbewusstsein von Kunden. Mit entsprechenden Awareness-Maßnahmen für Mitarbeiter und Betreiber der KRITIS wird dieses Umdenken anhalten und die Sicherheitsstandards verbessern. Auch die SSL-Verschlüsselung wird beim Schutz kritischer Infrastrukturen weiterhin eine wichtige Rolle spielen, auch wenn Sie in diesem Fall durch die schlechten Sicherheitsmaßnahmen ausgehebelt wurde.