Können Sie noch einmal kurz zusammenfassen, worum sich die Vorwürfe des c\’t-Artikels im Kern drehen?
Steib: Saia PCD-Steuerungen sind mit einem Webserver ausgestattet, über den Visualisierungen und Anlagenbedienungen realisiert werden. Meist wird zur Bedienung lokal an der Anlage ein dazu passendes Webpanel installiert. Im Sinne einer größtmöglichen Offenheit baut die zugrunde liegende Technik konsequent auf weltweit eingeführte IT-Standards. Daher kann neben einer Bedienung über lokale Webpanel auch z.B. mit PCs die Visualisierung abgerufen werden; hierzu ist lediglich ein Webbrowser wie z.B. der Microsoft Internet Explorer oder Firefox notwendig. Man kann eine PCD-Steuerung auch direkt ans Internet anschließen, muss dann aber natürlich mit den in der IT üblichen Sicherheitstechniken (z.B. VPN, Firewall, Proxyserver) den Zugang absichern. Nun sind eine beträchtliche Anzahl von Steuerungen im Web identifiziert worden, bei denen diese unbedingt notwendigen Sicherheitsvorkehrungen nicht getroffen wurden.
An welcher Stelle müssen Sie dem Autor des Artikels zustimmen?
Steib: Also wir waren schon erstaunt, wie viele Steuerungen tatsächlich ungeschützt über das Internet zugänglich waren. Obwohl wir schon immer auf die Notwendigkeit geeigneter Schutzmaßnahmen hingewiesen haben, scheint es Defizite beim Bewusstsein bzgl. Security in der Automatisierungsbranche zu geben. Hier besteht Handlungsbedarf. Vor diesem Hintergrund ist auch der kritisierte \’Passwortschutz\‘ der Steuerungen zu sehen, der nie dazu gedacht war, das System abzusichern. Vielmehr handelt es sich hierbei um eine rollenbasierte Bedienerführung. Beim einen oder anderen Anwender ist dabei wohl der Eindruck entstanden, es handele sich hierbei um eine Schutzmaßnahme gegen unbefugte Zugriffe aus dem Internet. Das müssen wir in Zukunft besser kommunizieren.
Was sehen Sie generell anders als der Autor des Artikels?
Steib: Da ist zunächst einmal die grundlegende Einschätzung des Sachverhaltes: Die aufgetretenen Sicherheitslücken werden ausschließlich dem Produkt angelastet. Diese Sichtweise greift nach unserer Auffassung zu kurz. Saia PCD-Steuerungen waren und sind ausschließlich für den Einsatz in einer geschützten IT-Umgebung konzipiert. Sollen Steuerungen auch übers Internet erreichbar sein, sind diese mit den eingangs genannten, IT-üblichen Maßnahmen zu schützen. Ist dies nicht der Fall, handelt es sich um einen nicht bestimmungsgemäßen Einsatz unserer Produkte. Wir haben schon immer und sehr früh unseren Kunden empfohlen, Saia PCD-Steuerungen nur in einem sicheren IT-Umfeld zu betreiben. Dies kommt auch in einem von uns verfassten Whitepaper aus dem Jahre 2007 zum Ausdruck, in welchem dem Thema ein ganzes Kapitel gewidmet ist; übrigens entstand diese Publikation aus einer vierteiligen Artikelreihe des SPS-MAGAZINs, von der sogar ein Podcast veröffentlicht wurde. Wenn von beeindruckend hohen Zahlen im Netz ungeschützter Steuerungen berichtet wird, entsteht leicht der Anschein, es handle sich bei dem Vorfall um ein generelles Problem bei unseren Produkten. Allerdings relativiert sich dieser Eindruck, wenn man die Gesamtzahl von installierten PCD-Steuerungen berücksichtigt. Insgesamt gehen wir von derzeit etwa 200.000 in Betrieb befindlicher Steuerungen aus. Demgegenüber entsprechen weltweit 600 tatsächlich nachgeprüfte, offene Webzugänge einem Prozentsatz von 0,3%. In absoluten Zahlen ist das natürlich viel zu viel und wir wollen das Thema nicht herunterspielen, jedoch zeigt dieser Prozentsatz, dass die Mehrheit unserer Steuerungen korrekt eingesetzt wird. Ein weiterer Punkt ist die mangelnde Berücksichtigung des Geschäftsumfeldes in dem wir uns bewegen. Wer immer nur die Konsumentenbrille auf hat, für den steckt das Problem natürlich vor allem im Produkt. Da ist es auch ganz richtig zu fordern, alle möglichen und unmöglichen Fehlbedienungen oder Einsatzszenarios bereits im Produkt abzufangen. Wir verkaufen jedoch gar nicht an Endverbraucher sondern ausschließlich an Firmen mit Fachkenntnis in der Automation. Dabei handelt es sich um von uns unabhängige, selbständige Systemintegratoren oder OEM, welche unsere Produkte im Rahmen von Automatisierungsprojekten verbauen. Das umfasst Projektierung, Programmierung und Installation unserer Steuerungen. Die eigentliche Funktion einer Anwendung wird ja erst durch das Engineering bzw. die Programmierung realisiert; da kann man schon eine gewisse Expertise voraussetzen. Der nur kleine Prozentsatz an ungeschützten Steuerungen zeigt ja auch, dass dies in der Regel so ist.
Wäre es nicht dennoch besser, mehr IT-Sicherheit in Steuerungen einzubauen?
Steib: Natürlich wäre es wünschenswert die gesamte Sicherheitsproblematik gleich auf der Steuerung zu lösen, allerdings entpuppt sich ein solches Vorgehen schnell als kontraproduktiv. Die primäre Aufgabe einer Steuerung ist eine Anlage, Maschine oder einen Prozess möglichst unterbrechungsfrei zu steuern. Stillstandszeiten sind gar nicht gern gesehen und bedeuten Produktionsausfall oder eine reduzierte Verfügbarkeit einer Installation – das kostet Geld. Nun wissen wir alle aus eigener Erfahrung z.B. als PC-Anwender, dass in punkto Sicherheit immer wieder nachgebessert werden muss. Regelmäßige Sicherheitspatches sind an der Tagesordnung. Niemand will jedoch andauernd Produktion und Verfügbarkeit herunterfahren, nur um seine Steuerungen upzudaten. Eine solche Vorstellung geht an jeglicher industrieller Realität vorbei. Daher empfehlen wir dringend eine strikte Entkopplung von sicherheitsrelevanten IT-Komponenten und der Steuerungstechnik. Eine Firewall oder ein VPN-Router lässt sich selbst dann updaten oder tauschen, während die Produktion noch läuft bzw. die Anlage in Betrieb ist; bei einer Steuerung geht das nicht.
Welche Maßnahmen haben Sie in der Zwischenzeit ergriffen?
Steib: Eine erste Maßnahme war, bei den offenen Webzugängen die betreffenden Systemintegratoren zu ermitteln. Diese haben wir dann sofort per Brief angeschrieben und dringend empfohlen, die betroffenen Steuerungen besser zu schützen oder gegebenenfalls ganz vom Netz zu nehmen. Wenige Tage später haben wir zusätzlich unseren gesamten Kundenstamm via Email über die Sachlage informiert und dieselben Empfehlungen ausgesprochen. Zeitgleich haben wir einen Leitfaden verfasst, der konkret aufzeigt, wie offene Webzugänge geschützt werden. Den Leitfaden haben wir bei unseren Kundeninformationen mitgeschickt und er ist auf unserer Support-Site publiziert.
Was werden Sie in Zukunft anders machen?
Steib: Der Vorfall hat gezeigt, dass das Thema Security in der Automatisierungsbranche und insbesondere in der Gebäudeautomation noch nicht ganz angekommen ist. Wir wollen daher die Anwender verstärkt bezüglich Sicherheit in vernetzten Installationen sensibilisieren. Z.B. werden unsere Handbücher und Kundenschulungen zukünftig um ein eigenes Kapitel bezüglich der Handhabung von Steuerungen im Internet ergänzt.
Werden Sie an den Sicherheitsfähigkeiten der Steuerungen etwas ändern?
Steib: Zunächst einmal wollen wir Augenmaß behalten und das Kind nicht gleich mit dem Bade ausschütten. Wie bereits erwähnt ist ja die überwiegende Mehrzahl unserer Steuerungen korrekt installiert. Dennoch werden wir unseren Passwort-Mechanismus verbessern. Auch haben wir im Sinne einer möglichst einfachen Handhabung bereits schon heute integrierte Sicherheitsfunktionen in der Default-Einstellung deaktiviert – neu werden Steuerungen ab Werk nur noch mit aktiviertem Schutz geliefert. Wir werden aber weiterhin an unserer bisherigen Philosophie – der Trennung von Security und Steuerungsfunktion – festhalten. Unsere Steuerungen bleiben robuste, zuverlässige Steuerungen und mutieren nicht zu Security-Appliances, die fortwährend upgedated werden müssen.
