Auslöser der Fehlalarme ist laut Siemens vermutlich ein PowerShell-Skript, das als ausführbare Datei kompiliert wurde. Es ist in einem „patchHelper“ enthalten, der mit den Desigo-CC-Patches ausgeliefert wird. Nach Einschätzung des Herstellers könnten Dateisystem-Operationen, Änderungen an der Registry und die Ausführung mit erhöhten Rechten von Sicherheits-Engines als verdächtig oder bösartig bewertet werden.
Siemens betont in einem Hinweis, dass die betroffenen Dateien überprüft wurden. „Alle relevanten Dateien wurden manuell mit den Entwicklungs-Repositories verglichen. Es wurden keine Unterschiede oder bösartigen Veränderungen festgestellt. Außerdem wurden die digitalen Signaturen als gültig verifiziert und zeigten keine Hinweise auf Manipulation“, teilte das Unternehmen mit.
Auffällig ist laut Siemens, dass das Skript seit mehreren Monaten unverändert im Einsatz ist, aber erst jetzt als Schadsoftware markiert wird. Warum die Erkennung erst jetzt auftritt, geht aus dem Hinweis nicht hervor.
Die Fehlklassifizierung betrifft Patchdateien für Desigo CC in den Versionen 7 bis 9. Siemens erklärte, man arbeite mit Cybersicherheitsanbietern zusammen, um das Problem bei den betroffenen Sicherheitsprodukten zu beheben. Der Hersteller verweist dabei auch auf Tests bei VirusTotal, die die Erkennung durch mehrere Engines bestätigt hätten.
Desigo CC ist ein Gebäudemanagementsystem, das verschiedene technische Gewerke in einer zentralen Plattform bündelt. Dazu zählen laut Siemens unter anderem Heizung, Lüftung und Klimatisierung, Beleuchtung, Sicherheitsfunktionen, Brandschutz und Stromversorgung.
Es ist nicht das erste Mal, dass Siemens auf Probleme im Zusammenspiel mit Sicherheitssoftware anderer Anbieter hinweist. Im vergangenen Jahr hatte das Unternehmen Kunden bereits über ein Problem informiert, das Microsoft Defender Antivirus und Simatic-PCS-Produkte betraf.