Um herauszufinden, wie es um die Sicherheit von Industrieunternehmen bestellt ist, haben sich Forscher des Fraunhofer FKIE und der RWTH Aachen exemplarisch mit dem Standard OPC UA befasst, der von verschiedenen großen Anbietern implementiert wird. 92 Prozent der bei wöchentlichen Scans über sieben Monate hinweg im Internet aufgefundenen etwa 1100 Steuerungen auf Basis dieses Standards waren unsicher eingerichtet.
Bei diesen 92 Prozent hätten es Angreifer leicht gehabt, Schaden anzurichten. Die Ergebnisse, die im Rahmen der virtuellen ACM Internet Measurement Conference 2020 vorgestellt wurden, sprechen von teils fahrlässiger Einrichtung: 24 Prozent der Server liefen ohne Zugangsbeschränkung, 25 Prozent boten als Hash-Verfahren noch SHA1 an, das spätestens seit 2017 als unsicher gilt. Wenig Mühe gaben sich die Betreiber auch mit den Zertifikaten für die verschlüsselte Konfiguration – 99 Prozent waren selbstsigniert, nur zwei stammten von einer Certificate Authority (CA) also einer vertrauenswürdigen Instanz.
Offenbar sind einzelne Zertifikate systematisch auf unzählige Geräte kopiert wurden. Eines fand sich gleich auf 385 Servern. Der kontaktierte Hersteller berichtete, dass die Distributoren und Anwender das Handbuch nicht gelesen haben können. Dort werde von einer solchen Praxis explizit abgeraten.
Nur 8 Prozent aller gefundenen Systeme hatten alles richtig gemacht: Sie hatten Zugriffsschutz aktiviert, erlaubten nur sichere und zeitgemäße kryptografische Verfahren und nutzten passende Zertifikate. Die Forscher bemühten sich, anhand gefundener Indizien die Betreiber unsicherer Installionen ausfindig zu machen. In 50 Fällen gelang das. Die Systeme gehörten u.a. zu Kläranlagen, Parkhausverwaltungen und Hotels.
Grundsätzlich lassen sich, wie auch das BSI 2017 feststellte, OPC UA sicher betreiben, zeitgemäße Verschlüsselung und Authentifizierung sind im Standard vorgesehen. Die Untersuchungen zeigten, so das Resümee der Forschungsgruppe, dass es in vielen Unternehmen offenbar an Verständnis oder Bereitschaft mangele, auch nur die grundlegendsten Handgriffe für IT-Sicherheit umzusetzen.