Thought Leadership
Sicherheitssoftware stuft Patch-Dateien für das Gebäude-Managementsystem Siemens Desigo CC fälschlicherweise als Schadsoftware ein.
Der Technologiekonzern Siemens hat eine Kundenwarnung bezüglich seiner Gebäude-Management-Plattform Desigo CC herausgegeben. Patch-Dateien für die Programmversionen 7 bis 9 werden derzeit von mehreren Antiviren-Lösungen fälschlicherweise als Schadsoftware eingestuft. Das System Desigo CC dient der zentralen Steuerung und Überwachung von Gebäubesubsystemen wie Heizung, Lüftung, Klima, Beleuchtung, Brandschutz und Sicherheitseinrichtungen. Überprüfungen auf der Analyseplattform VirusTotal bestätigten, dass diverse Sicherheits-Engines die Update-Dateien als bösartig blockieren. Siemens arbeitet mit den betroffenen IT-Sicherheitsanbietern an einer Korrektur der fehlerhaften Klassifizierung.
Als technische Ursache für die Fehlalarme vermutet Siemens eine ausführbare Datei namens patchHelper, die ein kompiliertes PowerShell-Skript enthält. Dieses Skript führt während des Installationsprozesses Dateioperationen durch, nimmt Änderungen an der Systemregistrierung vor und benötigt für die Ausführung erweiterte Administratorrechte. Diese Verhaltensweisen werden von den heuristischen Erkennungsmechanismen der Antiviren-Pragrame als verdächtig eingestuft. Das Skript wird in dieser Form bereits seit mehreren Monaten unverändert in den Updates ausgeliefert, die Fehlalarme traten jedoch erst jetzt auf.
Überprüfung der digitalen Signaturen durch den Hersteller
Um eine tatsächliche Kompromittierung der Lieferkette auszuschließen, hat der Hersteller eine interne Überprüfung eingeleitet.
„Alle relevanten Dateien wurden manuell mit den Entwicklungs-Repositories verglichen. Es wurden keine Unterschiede oder böswilligen Modifikationen gefunden. Darüber hinaus wurden die digitalen Signaturen als gültig verifiziert und zeigten keine Anzeichen von Manipulation.“
Siemens
Wiederholte Kompatibilitätsprobleme mit Schutzprogrammen bei Siemens
Es handelt sich bei dem Vorfall somit um ein reines Erkennungsproblem der externen Schutzsoftware. Auch Fehlalarme im industriellen Umfeld gab es bei Siemens bereits in der Vergangenheit. Im Vorjahr kam es zu einem ähnlichen Vorfall, bei dem das Antiviren-Programm Microsoft Defender legitime Komponenten der industriellen Prozessleitsysteme aus der Simatic-PCS-Produktlinie fälschlicherweise blockierte.
(red)
