Heartbleed: Siemens muss verbreitetes SCADA-System patchen

Martin Schindler,
Heartbleed (Bild: Codenomicon)

Noch immer sind einige Industrie-Steuerungs-Programme von Siemens von der SSL-Schwachstelle betroffen. Über das Leck können Angreifer nun auch aus Industriesystemen pikante Informationen auslesen.

Siemens SIMATIC

Siemens behebt mit einem Advisory in dem SCADA-System SIMATIC WinCC Open Architecture ein Sicherheitsleck, das über den Heartbleed-Bug in OpenSSL in der Software auftritt.

SCADA steht für Supervisory Control and Data Acquisition. Die SIMATIC-Software wird in vielen Branchen für die Steuerung von Prozessen, Maschinen oder Fertigungsanlagen eingesetzt.

WinCC OA sowie eLAN-8.2 bis 8.3.3 hat Siemens bereits am Freitag gepatcht. Dafür hat es die Version WinCC OA 3.12-P006 veröffentlicht. Diese Version behebt den Fehler in WinCC OA 3.12, die laut Siemens einzige betroffene Version.

Des Weiteren sind die Produkte S7-1500 V1.5, CP1543-1 V1.1 und APE 2.0 unter bestimmten Bedingungen betroffen. An Patches für diese Produkte arbeite Siemens derzeit. eLAN-Anwender, dieses Produkt ist betroffen, wenn RIP aktiviert ist, können das Leck auch beheben, indem sie auf die Version 8.3.3 migrieren.

Darüber hinaus schlägt Siemens noch weitere Workarounds für die Minimierung des Risikos vor. So rät der Hersteller in dem Advisory, den Zugriff auf Webserver in S7-1500 zu beschränken oder zu deaktivieren. In CP1543-1 sollte der Zugriff auf FTPS beschränkt oder deaktiviert werden.
Anwender von APE 2.0 können zudem die OpenSSL Installation auf Version 1.0.1g aktualisieren. Details dazu liefert Siemens auf der Seite RuggedCom.

Heartbleed gilt als einer der schwerwiegendsten Sicherheitsfehler der vergangenen Jahre. Der Fehler tritt in OpenSSL auf, einer weit verbreiteten Implementierung von TLS und SSL (Transport Layer Security/ Secure Socket Layer). Server, die OpenSSL zur Verschlüsselung nutzen, können über den Bug Informationen wie Passwörter oder Anmeldedaten Preis geben.

In erster Linie sind natürlich Web-Server von dem Problem betroffen. Daneben sind auch Router, Appliances, mobile Anwendungen und nun eben auch industrielle Steuerungen von dem Problem betroffen. Damit gefährdet Heartbleed nicht nur Web-Server und mobile Anwendungen, sondern auch kritische Infrastrukturen wie Kraftwerke oder Industrieanlagen.

Tipp: Wie gut kennen Sie Hightech-Firmen, die an der Börse notiert sind? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Lesen Sie auch : Cyberangriffe zum Anfassen