2038-Problem wird zur CERT-Sicherheitslücke: WAGO im Fokus

Im Jahr 2025 hat CERT@VDE die ersten beiden dokumentierten CERT-Sicherheitslücken zum 2038-Problem (Y2K38-Bug) in der Industrie veröffentlicht. Betroffen sind Geräte des Herstellers WAGO:

• SPS, Edge Controller und Touch Panels (VDE-2025-007, CVE-2025-0101)
• Managed Switches der Serie 0852 (VDE-2025-020, CVE-2025-1235)

Diese Produkte werden in vielen Branchen und insbesondere in kritischen Infrastrukturen (KRITIS) eingesetzt – etwa in der Energieversorgung, Wasserwirtschaft, Fertigung oder im Verkehr.

Mit diesen Meldungen wird das 2038-Problem erstmals zu einem konkreten Sicherheitsfall. Was lange nur als theoretisches Risiko beschrieben wurde, zeigt sich nun in real eingesetzten Geräten: Falsche Zeitstempel oder der Ausfall von Steuerungsfunktionen können direkte Auswirkungen auf Produktionsprozesse und Versorgungsnetze haben.

Die CERT@VDE-Veröffentlichungen machen deutlich: Das 2038-Problem ist nicht nur ein Software-Bug, sondern eine relevante Sicherheitslücke für Industrie und KRITIS-Betreiber.

Mit den Advisorys VDE-2025-007 und VDE-2025-020 hat CERT@VDE konkrete Schwachstellen in WAGO-Geräten beschrieben und mit CVE-Nummern versehen. Damit liegt erstmals eine offizielle sicherheitsrelevante Bewertung des 2038-Problems vor. Beide Fälle gehen auf eine Integer Overflow-Schwäche (CWE-190: Integer Overflow or Wraparound) zurück, die durch den Überlauf des 32-Bit-Zeitwertes entsteht.

• VDE-2025-007 (CVE-2025-0101)
  • Schweregrad: 6.5 (mittel)
  • (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
  • Betroffene Geräte: WAGO SPS (PFC100, PFC200, CC100), TP600 Touch Panels, Edge Controller.
  • Weakness: Integer Overflow / Wraparound (CWE-190).
  • Beschreibung: Ein Benutzer mit geringen Rechten kann das Datum auf den 19. Januar 2038 setzen und so das 32-Bit-Limit überschreiten. Dadurch arbeiten bestimmte Funktionen unerwartet oder fallen ganz aus – sowohl während des Betriebs als auch nach einem Neustart.
  • Lösung: Update der Firmware
• VDE-2025-020 (CVE-2025-1235)
  • Schweregrad: 4.3 (niedrig)
  • Betroffene Geräte: WAGO Managed Switches Serie 0852.
  • Weakness: Integer Overflow (CWE-190).
  • Beschreibung: Beim Erreichen des Jahres 2038 springt die Systemzeit auf 1970 zurück. Die Switch-Funktionen laufen weiter, jedoch sind alle Log-Zeitstempel fehlerhaft, was die Nachvollziehbarkeit einschränkt.
  • Lösung: WAGO bietet kein Firmware-Update an; Betreiber müssen organisatorische und technische Maßnahmen ergreifen.

CERT@VDE weist ausdrücklich darauf hin, dass die Schwachstellen aktiv ausgelöst werden können – durch manuelle Datumseinstellungen oder über manipulierte NTP-Signale.

Das 2038-Problem – auch Y2K38-Bug genannt – beruht auf einer Einschränkung der 32-Bit-Zeitdarstellung. Viele Systeme speichern die Sekunden seit dem 1. Januar 1970 als vorzeichenbehafteten 32-Bit-Integer.

Am 19. Januar 2038 um 03:14:07 UTC erreicht dieser Zähler seinen Höchstwert von 2.147.483.647 Sekunden. Der nächste Tick führt zu einem Integer Overflow (CWE-190): Die Zahl wird negativ interpretiert, und die Systemuhr springt auf den 13. Dezember 1901 zurück.

Welche Folgen das hat, hängt vom Gerät ab:

• Manche Systeme stürzen ab oder verarbeiten Zeitangaben fehlerhaft.
• Andere – wie die WAGO-Switches – setzen die Uhr auf den Start der Unix-Epoche (1970) zurück.
• In allen Fällen entstehen falsche Zeitstempel und Funktionsstörungen, die sich direkt auf Steuerungs- und Sicherheitsprozesse auswirken.

CERT steht für Computer Emergency Response Team. Solche Teams sammeln, prüfen und veröffentlichen Informationen zu Schwachstellen, oft in Abstimmung mit Herstellern und Behörden. Sie vergeben CVE-Nummern (Common Vulnerabilities and Exposures) und bewerten Risiken nach dem CVSS-Standard.

CERT@VDE ist das deutsche CERT für Industrieautomation und OT-Systeme. Es wird vom Verband der Elektrotechnik, Elektronik und Informationstechnik (VDE) betrieben und unterstützt Hersteller wie WAGO, Betreiber und KRITIS-Organisationen beim Umgang mit Sicherheitslücken.

Mit den Advisorys VDE-2025-007 und VDE-2025-020 hat CERT@VDE das 2038-Problem erstmals als Sicherheitslücke dokumentiert – mit CVE-IDs, CVSS-Scores und Handlungsempfehlungen.

Das ist ein Meilenstein, weil damit klar wird:

• Das 2038-Problem ist nicht nur eine technische Anomalie, sondern ein Sicherheitsrisiko, das Angreifer aktiv auslösen können.
• Betreiber von kritischen Infrastrukturen müssen die Schwachstelle in ihre Sicherheits- und Compliance-Prozesse aufnehmen.
• Hersteller sind gefordert, zeitnah Firmware-Updates oder Gegenmaßnahmen bereitzustellen.

Damit hat CERT@VDE das Thema von der Ebene „potenzieller Fehler“ auf die Ebene einer klassifizierten Sicherheitslücke gehoben. Wir von BEOZ Association begrüssen diesen Schritt.

CERT@VDE stuft die Schwachstellen bei WAGO ausdrücklich als Sicherheitslücken ein – und nicht nur als technischen Bug. Der Grund: Das 2038-Problem kann aktiv ausgenutzt oder unbeabsichtigt ausgelöst werden und beeinträchtigt damit grundlegende Schutzziele.

Manipulierbarkeit
Ein Benutzer mit geringen Rechten oder ein manipuliertes NTP-Signal genügt, um den Fehler sofort auszulösen.

Verfügbarkeit
Steuerungen (SPS, Panels, Edge Controller) können dadurch ausfallen oder fehlerhaft arbeiten – sowohl während des Betriebs als auch nach einem Neustart.

Integrität
Bei Switches springen die Zeitstempel auf 1970 zurück. Damit verlieren Logs und Protokolle ihre Verlässlichkeit, was Sicherheitsüberwachung und Forensik erschwert.

Risiko für KRITIS
In der Energieversorgung, Wasserwirtschaft, Fertigung oder im Verkehr sind verlässliche Zeitangaben unverzichtbar. Fehlerhafte Zeitdaten können hier unmittelbare Folgen für Sicherheit und Compliance haben.

👉 Damit betrifft das 2038-Problem gleich zwei Elemente der CIA-Trias: Availability und Integrity.

Die Schwachstellen betreffen zentrale Automatisierungs- und Netzwerktechnik von WAGO, die in vielen Industrien und auch in kritischen Infrastrukturen (KRITIS) im Einsatz sind:

• SPS-Steuerungen (PFC100, PFC200, CC100):
  Sie bilden das Herzstück zahlreicher Anlagen – von Wasserwerken und Kläranlagen über Umspannwerke in der Energieversorgung bis hin zur industriellen Fertigung. WAGO-Controller steuern Pumpen, Schaltanlagen oder Produktionsmaschinen und sind dadurch unverzichtbar für reibungslose Prozesse.
• Edge Controller und Touch Panels der Serie TP600:
  Diese Geräte verbinden klassische Steuerung mit lokaler Datenverarbeitung und Bedienoberflächen. Sie werden genutzt in Produktionshallen, Kraftwerken, Verkehrs- und Tunnelanlagen oder auch im Schiffbau. Dort ermöglichen sie die direkte Visualisierung von Prozessdaten und die schnelle Reaktion auf Störungen vor Ort.
• Managed Switches der Serie 0852:
  Sie sind das Rückgrat industrieller Netzwerke. Eingesetzt in Fabriken, Wind- und Solarkraftwerken oder Wasserwerken sorgen sie dafür, dass Steuerungen, Sensoren und Leitsysteme zuverlässig miteinander kommunizieren. Dank spezieller Zertifizierungen eignen sie sich auch für den Einsatz in Umspannwerken.

Damit wird klar: Die Schwachstellen treffen nicht nur einzelne Komponenten, sondern Geräte, die in Kernprozessen von Energie, Wasser, Verkehr und Industrie eingesetzt werden. Gerade weil diese Systeme oft unauffällig im Hintergrund arbeiten, ist ihre Zuverlässigkeit entscheidend – und ihre Anfälligkeit für das 2038-Problem besonders brisant.

WAGO hat auf die beiden CERT@VDE-Meldungen reagiert und für einen Teil der betroffenen Geräte Firmware-Updates bereitgestellt. Steuerungen wie die PFC-Serie sowie Panels und Edge Controller lassen sich durch neue Versionen (u. a. FW29 ≥ 4.7.1 und FW22 Patch 2 ≥ 03.10.11) absichern. Die Dateien stehen im WAGO Download Center bereit. Betreiber, die Sonder- oder kundenspezifische Firmware einsetzen, müssen sich direkt an den Support wenden.

Anders sieht es bei den Managed Switches der Serie 0852 aus: Hier gibt es keinen Patch. WAGO begründet das damit, dass die Switching-Funktion auch nach dem Fehler erhalten bleibt. Problematisch bleiben allerdings die falschen Zeitstempel in den Logdateien, die für Sicherheit und Nachvollziehbarkeit eine zentrale Rolle spielen.

Für Betreiber bedeutet das: Ein Teil der Systeme kann technisch abgesichert werden, andere erfordern organisatorische Maßnahmen. Besonders wichtig sind eine saubere Absicherung von NTP-Quellen, eine restriktive Rechteverwaltung für Zeiteinstellungen und ein wachsames Monitoring der Logdaten. Nur durch die Kombination von Updates und Betriebskontrollen lässt sich das Risiko beherrschen.

Mit den Veröffentlichungen von CERT@VDE ist das 2038-Problem erstmals auf die Ebene einer CERT-Sicherheitslücke gehoben worden. Aus Sicht der BEOZ Association ist das ein wichtiger Schritt: Erst wenn Schwachstellen offiziell klassifiziert und bewertet werden, nehmen Betreiber sie in ihre Sicherheits- und Compliance-Prozesse auf.

Der Fall WAGO zeigt exemplarisch, wie tief das Problem in die industrielle Praxis hineinreicht. Doch klar ist auch: WAGO wird nicht der einzige Hersteller sein, dessen Geräte durch den 32-Bit-Überlauf betroffen sind. Unzählige Steuerungen, Panels und Netzwerkknoten nutzen ähnliche Zeitmodelle und könnten in den kommenden Jahren vergleichbare Fehler aufweisen.

Deshalb begrüßen wir es ausdrücklich, dass das Thema nun im CERT-Kontext angekommen ist. Denn nur so entsteht die notwendige Transparenz, die Betreiber brauchen, um rechtzeitig zu reagieren – und um das 2038-Problem CERT Sicherheitslücke nicht erst am 19. Januar 2038, sondern schon heute ernst zu nehmen.

Ein interessanter Nebenaspekt findet sich in der offiziellen Veröffentlichung von CERT@VDE zur Schwachstelle CVE-2025-0101. Dort wird als Weakness CWE-109: Integer Overflow or Wraparound angegeben.

Tatsächlich beschreibt jedoch CWE-190 den Integer Overflow korrekt. CWE-109 existiert zwar in der Datenbank, verweist aber auf ein anderes Problem.

Ob es sich hier um einen Tippfehler oder eine Verwechslung handelt, bleibt offen – inhaltlich ändert es nichts: Die Ursache ist eindeutig der Überlauf des 32-Bit-Zeitwertes.

Wir schreiben diesen Zahlendreher also lieber nicht dem 2038-Bug selbst zu.