Blackfort Technology
IT-Security · Fachbeitrag12. Mai 2026·Christian Gebhardt

Siemens S7 PLC XSS-Schwachstellen: Sicherheitsupdate nötig

Kritische XSS-Schwachstellen in Siemens SIMATIC S7 PLCs Web Server entdeckt. Authentisierte Angreifer können Cross-Site Scripting Attacken durchführen.

Blackfort auf LinkedIn folgen

Sicherheitsvorfälle, technische Analysen und Einblicke aus der Praxis — direkt in Ihrem LinkedIn-Feed.

Jetzt folgen →
Industrielle Steuerungsanlage mit Siemens SIMATIC PLCs und Sicherheitswarnungen

Überblick zur Sicherheitswarnung

Das CERT-Bund hat am 12. Mai 2026 die Sicherheitswarnung WID-SEC-2026-1474 veröffentlicht. Betroffen sind die Web Server der Siemens SIMATIC S7 PLCs – eine Produktreihe, die in nahezu jeder europäischen Fertigungs- und Prozessanlage als zentrales Steuerungs- und Automatisierungssystem im Einsatz ist. Die Schwachstellen ermöglichen es authentisierten, entfernten Angreifern, Cross-Site Scripting (XSS) Angriffe gegen Benutzer des integrierten Web Servers durchzuführen.

Auch wenn die Ausnutzung eine Anmeldung am Web Server voraussetzt, ist das Risiko in produktiven OT-Umgebungen nicht zu unterschätzen: Angreifer, die durch Phishing, schwache Passwörter oder kompromittierte Service-Accounts an Zugangsdaten gelangen, können über die Schwachstellen Sitzungen anderer Operatoren kapern und so Zugriff auf Konfigurations- und Diagnose-Funktionen erlangen.

Wichtige Eckdaten

Advisory-ID: WID-SEC-2026-1474 (CERT-Bund)

Betroffene Komponente: Web Server der Siemens SIMATIC S7 PLCs

Schwachstellenklasse: Cross-Site Scripting (CWE-79) – mehrere Instanzen

Voraussetzung: Authentisierter, entfernter Zugriff auf den Web Server

Auswirkung: Übernahme von Sitzungen, Datenmanipulation, Phishing-Schwenk in der OT

Technische Einordnung der XSS-Lücken

Der in vielen S7-Varianten (S7-1200, S7-1500 und vergleichbare Baureihen) integrierte Web Server dient zur Diagnose, zur Anzeige von Anwender-Webseiten und zur Konfiguration. Cross-Site Scripting bedeutet, dass nicht ausreichend kontextspezifisch kodierte Benutzereingaben oder PLC-Variablen als HTML/JavaScript im Browser eines anderen authentisierten Benutzers ausgeführt werden. In einem OT-Kontext ist das deutlich kritischer als auf einer klassischen Business-Webanwendung – jeder Operator-Browser ist eine Brücke zwischen IT- und OT-Netz.

XSS-TypEinschleusungswegTypische Auswirkung
Reflected XSSURL- und Formularparameter im Web ServerPhishing-Link, Diebstahl der Session-Cookies
Stored XSSAnwender-Webseiten, PLC-Variablen-AnzeigenPersistente Skriptausführung im Engineering-Browser
DOM-basierte XSSClient-seitige Diagnose-FunktionenManipulation angezeigter Statusinformationen
OT-spezifisches Risiko

Ein erfolgreicher XSS-Angriff im SIMATIC-Web-Server zielt selten auf den klassischen „Cookie-Diebstahl“ ab. Das eigentliche Risiko ist die Manipulation angezeigter Prozesswerte oder das Auslösen von Aktionen im Namen eines berechtigten Operators – inklusive Schreib- und Steuerbefehlen, sofern die Sitzung die entsprechenden Rechte besitzt.

Realistisches Angriffsszenario

Die Hürde „authentisierter Angreifer“ wirkt auf den ersten Blick beruhigend. In der Praxis zeigt sich jedoch, dass in vielen Anlagen Standardpasswörter, geteilte Service-Accounts oder gleichlautende Zugänge zwischen Engineering-Workstation und Web Server existieren. Ein typischer Angriffsverlauf gegen einen verwundbaren S7-Web-Server sieht wie folgt aus:

Angriffsablauf

  1. 1Erstzugang in das OT-Netz über VPN, Fernwartungszugang oder kompromittiertes Engineering-Notebook.
  2. 2Authentisierung am S7-Web-Server mit gestohlenen oder Standard-Zugangsdaten (z. B. Wartungstechniker-Account).
  3. 3Einschleusen eines XSS-Payloads über einen verwundbaren Parameter oder eine Anwender-Webseite.
  4. 4Versand eines präparierten Diagnose-Links per E-Mail oder Ticket-System an einen privilegierten Operator.
  5. 5Skriptausführung im Browser des Operators – Diebstahl von Session-Token oder Auslösen unbeabsichtigter Aktionen.
  6. 6Lateral Movement aus der OT zurück in IT-Systeme über die kompromittierte Engineering-Sitzung.

Sofortmaßnahmen für Betreiber

Bis das von Siemens bereitgestellte Firmware-Update flächendeckend eingespielt werden kann, sollten Betreiber kurzfristig kompensierende Maßnahmen umsetzen. Im Vordergrund steht, den Zugriff auf den Web Server auf das absolut notwendige Minimum zu reduzieren und die Authentisierungsbasis zu härten.

01

Web Server prüfen

Inventarisieren Sie alle S7-CPUs mit aktiviertem Web Server und deaktivieren Sie ihn dort, wo er nicht zwingend benötigt wird.

02

Netzzugriff segmentieren

Schränken Sie den Zugriff auf den Web Server über Firewall-Regeln auf dedizierte Engineering- und Operator-Stationen ein.

03

Zugangsdaten härten

Ersetzen Sie Standard- und Sammel-Accounts durch persönliche Konten mit minimal notwendigen Rechten und starken Passwörtern.

04

Patch-Prozess starten

Verfolgen Sie die offiziellen Siemens ProductCERT Advisories und planen Sie das Firmware-Update inklusive Validierungstests.

Schneller Selbsttest im Netz

Mit einem einfachen nmap-Scan lassen sich aktive S7-Web-Server im OT-Segment auffinden. Den Scan ausschließlich aus einer dedizierten Wartungs-VLAN und in enger Abstimmung mit der Instandhaltung ausführen.

nmap auf S7 Web Server
# Auffinden offener HTTP/HTTPS-Dienste auf typischen S7-Netzsegmenten
nmap -p 80,443 -sV --script=banner,http-title \
     --max-rate 50 10.20.30.0/24

# Optional: gezielte TLS-Konfigurationspruefung
nmap -p 443 --script ssl-enum-ciphers 10.20.30.0/24

Langfristige Härtung und Compliance

Die WID-SEC-2026-1474 ist exemplarisch für eine wachsende Zahl von Schwachstellen in industriellen Web-Komponenten. Wer seine Anlage nicht nur reaktiv patchen, sondern strukturell absichern will, sollte die Erkenntnisse in ein fortlaufendes Vulnerability- und OT-Security-Management überführen – auch im Hinblick auf die Anforderungen der NIS2-Richtlinie und IEC 62443.

Bezug zu NIS2 und IEC 62443

NIS2 verlangt von wesentlichen und wichtigen Einrichtungen ein Schwachstellen- und Patchmanagement, das auch OT-Komponenten umfasst. IEC 62443-3-3 und -4-2 fordern explizit eine Härtung von Webdiensten in IACS-Komponenten. Eine dokumentierte Reaktion auf Advisories wie WID-SEC-2026-1474 ist damit nicht nur Security-Best-Practice, sondern auch Nachweis der Compliance.

Ergänzend sollten Betreiber prüfen, ob ihr aktuelles NIS2-Umsetzungsprogramm auch operative Schwachstellen wie diese abdeckt – inklusive Meldewegen an Behörden, Lieferanten und interne Stakeholder.

Fazit

Die XSS-Schwachstellen im Web Server der Siemens SIMATIC S7 PLCs sind ein deutlicher Hinweis darauf, dass auch vermeintlich „interne“ Komponenten der OT konsequent als angreifbar betrachtet werden müssen. Die Kombination aus authentisiertem Zugriff, exponiertem Web-Interface und privilegiertem Engineering-Browser erzeugt ein Risiko, das weit über klassische IT-XSS hinausgeht. Betreiber sollten den Advisory von CERT-Bund zum Anlass nehmen, ihren S7-Bestand zu inventarisieren, den Web Server zu härten und ihre Patch- und Schwachstellenprozesse zu schärfen.

Drei Dinge für die nächsten 30 Tage

1. Inventar aller S7-CPUs mit aktivem Web Server – inklusive Firmwarestand.

2. Zugriffsbeschränkung auf den Web Server (Firewall, VLAN, Jumphost).

3. Patch- und Reviewplan für die offizielle Siemens-Firmware verabschieden.

Hinweis

Dieser Artikel basiert auf öffentlichen Sicherheitsmeldungen des CERT-Bund. Unternehmen sollten offizielle Siemens-Sicherheitsbulletins konsultieren und professionelle Sicherheitsberatung in Anspruch nehmen.

Kontakt aufnehmen

IT-Security für Ihr Unternehmen

Blackfort Technology begleitet Unternehmen bei NIS2-Compliance, OT-Security und der Absicherung kritischer Infrastrukturen – von der Analyse bis zur Umsetzung.

Beratungsgespräch anfragenUnsere Leistungen