-> Hier kostenlos registrieren
Und hiermit wird dann auch noch jeder zum kaputtsteuern der Anlage eingeladen, der Zugriff zum Netzwerk der SPS hat.
Das "hiermit" habe ich für's Forum gewürfelt und den Baustein-Code auch auf's Wesentliche reduziert. Aber selbst wenn nicht, ich weiß nicht, ob du die einschlägigen Bibliotheken kennst (Deiner Signaturzeile nach kennst du dich sicher perfekt in dem Bereich aus) und was damit möglich ist. Wenn jemand Zugriff auf das SPS-Netzwerk / Port 102 erlangt, egal wie, dann ist doch irgendwo eh alles zu spät (Stuxnet lässt grüßen)? Da muss der Angreifer auch keine DB-Nummern mehr kennen, denn im Zweifel hat der Angreifer sogar die Programmiersoftware. Sprich, mit oder ohne PC-Wartungsmodus ist eine Netzwerktrennung dringend notwendig.
Wie würdest du selbst vorgehen?
-ausschließlich wie in Post #13? Wenn ja welchen Sicherheitsgewinn bringt das gegenüber der Zeigervariante? (Mal davon abgesehen, dass man mit deiner Variante besonders sensible Ausgänge von der PC-Steuerung ausschließen könnte - theoretisch zumindest)
-hunderte Taster in den Schaltschranktüren verteilen?
-zusätzliche Sicherheit einbauen, z.B. den Wartungssteuerungsmodus (FB-Aufruf) zusätzlich von einem Handschalter abhängig machen?
-gar nicht machen und mit großer Ausfallzeit das defekte Teil aus der Anlage ausbauen, gesondert außerhalb laufen lassen und einstellen, um dann festzustellen, dass es im eingebauten Zustand etwas verwunden doch wieder nicht läuft?
...
Ich bin für eine konstruktive Diskussion offen, weiß dein Fachwissen sehr zu schätzen und bin auch nicht beratungsresistent wenn man mir Vor- und Nachteile plausibel erklärt. Der Bereich Netzwerksicherheit ist dann auch eher wieder mein Gebiet.
@ducati: Für wesentliche Sachen haben wir es so wie du beschreibst (siehe weiter oben). Das Problem sind eher "unwichtige" Ausgänge, für die bisher kein Handmodus nötig war. Dieser ließe sich relativ einfach implementieren, deren schiere Anzahl schreckt aber sehr ab und macht viel Arbeit - daher suchte ich eine Lösung mit geringerem Aufwand. Wenn mir jemand plausibel erklärt, warum es so besser ist, kann ich das auch jederzeit ändern. Noch sehe ich sicherheitstechnisch aber wenig Unterschiede. Ein Angreifer, der auf ISO on TCO / Port 102 Zugriff hat und Merker ändern kann, kann auch nicht-Wartungssteuerungs-Merker ändern und damit erhebliches Chaos anrichten.