Industrieanlagen mit OPC UA systematisch schlecht konfiguriert

Um herauszufinden, wie es um die Sicherheit von Industrieunternehmen bestellt ist, hat sich die Forschergruppe exemplarisch mit dem Standard OPC UA befasst, der von verschiedenen großen Anbietern implementiert wird. Die Ergebnisse ihrer Arbeit stellen sie im Rahmen der virtuellen ACM Internet Measurement Conference 2020 vor. Bei der Veranstaltung treffen sich IT-Forscher, die sich mit Messungen und Datenanalyse rund um das Internet beschäftigen.

Für den Scan nutzten die Forscher den Open-Source-Portscanner zmap und schrieben eine Erweiterung, die das OPC-UA-Binärprotokoll auf Port 4840 spricht. Bei wöchentlichen Scans über sieben Monate begegneten ihnen im gesamten IPv4-Bereich etwa 1100 Anlagen, vor allem von den großen deutschen Herstellern Beckhoff und Wago und dem österreichischen Hersteller Bachmann. Grundsätzlich kann man OPC UA sicher betreiben, zeitgemäße Verschlüsselung und Authentifizierung sind im Standard vorgesehen. Auch das BSI kam 2017 zu dem Schluss, dass ein sicherer Betrieb möglich sei.

In einer quantitativen Auswertung haben sie ihre Beobachtungen zusammengefasst. Die Ergebnisse sprechen von teils fahrlässiger Einrichtung: 24 Prozent der Server waren schlicht ohne Zugangsbeschränkung eingerichtet, 25 Prozent aller Server boten als Hash-Verfahren noch SHA1 an, das spätestens seit 2017 als unsicher gilt.

Wenig Sorgfalt legten die Betreiber auch bei den Zertifikaten für die verschlüsselte Konfiguration an. 99 Prozent waren selbstsigniert, nur 2 stammten von einer CA. Das ist grundsätzlich kein Problem. Die Forscher entdeckten aber, dass einzelne Zertifikate systematisch auf unzählige Geräte kopiert wurden. Eines fanden sie gleich auf 385 Servern – der kontaktierte Hersteller berichtete, dass die Distributoren und Anwender das Handbuch nicht gelesen haben. Dort werde davon explizit abgeraten. Der Hersteller nahm den Hinweis aber zum Anlass, seine Kunden zu informieren. Nach Angaben der Forscher blieb das Rundschreiben auch nach drei Monaten ohne messbaren Effekt. Insgesamt beobachtete das Team über den Beobachtungszeitraum nur kleine Schwankungen.

8% sorgfältige Konfigurationen

Aus der Gesamtheit aller gefundenen Systeme machten nur 8 Prozent alles richtig, hatten Zugriffsschutz aktiviert, erlaubten nur sichere und zeitgemäße kryptografische Verfahren und nutzten auch passende Zertifikate. Bei 92 Prozent hätten es Angreifer leicht gehabt, Schaden anzurichten. Die Forscher bemühten sich, anhand gefundener Indizien den Betreiber ausfindig zu machen. In 50 Fällen gelang das auch. Die Systeme gehörten unter anderem zu Kläranlagen, Parkhausverwaltungen und Hotels.

Die Ergebnisse dieser quantitativen Untersuchung decken sich mit der qualitativen Auswertung von zmap-Scans nach SMB-Laufwerken, MQTT-Brokern und Siemens-S7-Steuerungen, die die c't-Redaktion Mitte Oktober veröffentlicht hatte. Unter den zigtausdend Treffern, welche die Redaktion bei ihren Scans fand und auswertete, waren unter anderem Nahverkehrsverbünde, Kinos, Snackautomaten, Hotels und darüber hinaus zahlreiche Siemens-Steuerungen, die sich nicht leicht einem Betreiber zuordnen lassen.

Die Untersuchungen beweisen, dass es in vielen Unternehmen offenbar an Verständnis oder Bereitschaft mangelt, auch nur die grundlegendsten Handgriffe für IT-Sicherheit umzusetzen. Weit verbreitet scheint auch der Irrglaube, dass ein Dienst im Internet quasi geheim sei, weil es über 4 Milliarden IPv4-Adressen gebe.

[Update vom 27.10.2020, 13:25] Der Hersteller Bachmann kommt aus Österreich, nicht aus Deutschland. Die Stelle im Artikel ist korrigiert.

Um Missverständnisse zu vermeiden: Die Autoren der Studie stufen selbstsignierte Zertifikate nicht als unsicher ein. Dieser Eindruck sollte auch im Artikel nicht vermittelt werden. Es handelt sich um eine wertfreie Feststellung. Die entsprechende Stelle im Artikel wurde präzisiert.

(jam)