Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Ergebnis 1 bis 8 von 8

Thema: Steuerungssysteme mit Hintertür

  1. #1
    Registriert seit
    27.05.2004
    Ort
    Thüringen/Berlin
    Beiträge
    12.218
    Danke
    533
    Erhielt 2.696 Danke für 1.948 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Gruß
    Ralle

    ... there\'re 10 kinds of people ... those who understand binaries and those who don\'t …
    and the third kinds of people … those who love TIA-Portal
    Zitieren Zitieren Steuerungssysteme mit Hintertür  

  2. Folgende 2 Benutzer sagen Danke zu Ralle für den nützlichen Beitrag:

    dentech (30.10.2012),zotos (29.10.2012)

  3. #2
    Registriert seit
    07.03.2004
    Beiträge
    4.369
    Danke
    946
    Erhielt 1.158 Danke für 831 Beiträge

    Standard

    Ich finde nicht nur den Beitrag sondern das ganze Thema interessant. Grundsätzlich scheint das Thema Sicherheit im Bezug auf Maschinensteuerungen in 1. Linie auf Arbeitssicherheit und Co. beziehen also das möglichst wenig Personen und Sachschaden entsteht. Der Punkt sich gegen Angriffe und Sabotage zu schützen wird durchweg vernachlässigt.

    Du hast doch mal auf der Basis von libnodave mal ein BDE geschrieben. Ist Dir aufgefallen welche "Macht" man mit solchen Tools hat? Da ist der SPS Stopp ggf. noch ein kleineres Problem (ich kenne da einige Steuerungen die das automatische Urlöschen automatisiert hatten).

    Die Kommentare bei heise sind auch hoch interessant. Wenn man physikalischen Zugriff auf eine Maschine hat kann man diese deutlich leichter sabotieren als sich mit der Kommandozeile ab zu quälen. CPU Stopp und Löschen kann man bei einigen Steuerungen über so einen kleinen Kippschalter an der CPU durchführen und von der Gefahr die von leicht zugänglichen Hauptschalter ausgeht ganz zu schweigen.

    Ich denke man kommt um einen Schutz der Netzzugänge nicht drumherum. Die meisten Kunden die ich so habe sind strikt gegen eine offene Internetanbindung der Anlagen. Also Fernwartung nur über Kundenseitige VPN oder gar nicht.

    Diese Funktion von CoDeSys als Hintertür zu bezeichnen zeigt eigentlich nicht die Tragweite auf denn die Hintertür ist garantiert auch gut Dokumentiert und somit ein gut ausgeschilderter Haupteingang ;o)
    If you open your Mind too much, your Brain will fall out.

  4. #3
    Registriert seit
    26.04.2010
    Ort
    Fürth
    Beiträge
    10
    Danke
    1
    Erhielt 2 Danke für 2 Beiträge

    Standard

    @zotos
    Das der Personenschutz im vordergrund steht ist für mich nachvollziehbar, aber das man den Sabotageschutz meines Erachtens völlig ignoriert bei den Herstellern ist eine Katastrophe da dieser auch Aktiv zur Arbeitssicherheit beiträgt.
    Mit freundlichem Gruß

    Manuel König

  5. #4
    Registriert seit
    01.06.2005
    Beiträge
    75
    Danke
    10
    Erhielt 38 Danke für 17 Beiträge

    Standard

    Wir haben gerade eine offizielle Stellungnahme zu dem Thema veröffentlicht:
    http://www.3s-software.com/index.sht...s=Security1012
    Schöne Grüße

    Roland Wagner
    3S-Smart Software Solutions GmbH
    Zitieren Zitieren Offizielle Stellungnahme dazu  

  6. Folgende 3 Benutzer sagen Danke zu Roland Wagner für den nützlichen Beitrag:

    DaHauer (31.10.2012),gravieren (31.10.2012),zotos (31.10.2012)

  7. #5
    Registriert seit
    07.03.2004
    Beiträge
    4.369
    Danke
    946
    Erhielt 1.158 Danke für 831 Beiträge

    Standard

    @mkoenig: Das mit dem Sabotageschutz und der aktiven Sicherheit stimmt sicher in einigen ausgewählten Bereichen (z.B. Verkehr, Energie- und Wasserversorgung....). Hier sind die Vorkehrungen in 1. Linie in der Infrastruktur zu treffen. Keine unnötige Anbindung ans Internet und wenn Notwendig dann halt mit den entsprechenden Sicherheitsmaßnahmen. Die SPS hat genug damit zu tun die Maschine/Anlage und den Prozess zu steuern, da nun die Sicherheit des IT-Systems zu integrieren ist wohl etwas übertrieben.

    Aber ganz so einfach muss man es ja potentiellen Angreifern auch nicht machen ;o)
    If you open your Mind too much, your Brain will fall out.

  8. #6
    Registriert seit
    15.01.2005
    Ort
    In der Mitte zwischen Bayreuth/Weiden
    Beiträge
    6.725
    Danke
    314
    Erhielt 1.519 Danke für 1.282 Beiträge

    Standard

    Zitat Zitat von Roland Wagner Beitrag anzeigen
    Wir haben gerade eine offizielle Stellungnahme zu dem Thema veröffentlicht:
    http://www.3s-software.com/index.sht...s=Security1012
    Ich finde es ja durchaus nett, das 3S sich überhaupt in irgend einer Form äußert,
    aber es sei mir verziehen, dass mit "Hochdruck an der Lösung gearbeitet wird",
    ist wohl auch die sinnfreiste Floskel die man dazu in einer Stellungnahme hat schreiben können.
    Obgleich ich natürlich auch verstehe, das dieser aufgeschreckte Bienenschwarm jetzt natürlich genau solche Floskeln lesen will.

    Fakt ist doch:
    Jedes SPS-System, quasi jeden beliebigen Herstellers, ist sofern es im Netzwerk oder noch schlimmer im Internet hängt,
    offen wie ein Scheunentor, für jeden der nur ein wenig praktische Erfahrung damit hat.

    Insofern sei dann schon die Frage erlaubt, wenn ich die Stellungnahme jetzt mal für bare Münze nehme,
    warum jetzt urplötzlich mit Hochdruck an etwas gearbeitet wird, was im Grunde sowieso jedem SPS-Programmierer klar ist und seit jeher klar war.
    (Sofern der betreffende SPS-Programmierer die Muße hatte sich damit ein wenig auseinanderzusetzen)

    Mfg
    Manuel
    Warum denn einfach, wenn man auch Siemens einsetzen kann!

    Wer die grundlegenden Freiheiten aufgibt, um vorübergehend ein wenig Sicherheit zu bekommen, verdient weder Freiheit noch Sicherheit (B. Franklin).

  9. #7
    Registriert seit
    15.02.2011
    Ort
    Stromness, Scotland, UK
    Beiträge
    339
    Danke
    25
    Erhielt 34 Danke für 33 Beiträge

    Standard

    Gehen wir doch die Sache etwas ruhiger an, ich sehe aktuell gar kein grosser Handlungsbedarf.
    Aus meiner Sicht sind SPS (Runtime) und IT Sicherheit zu trennen. Solange niemand ins SPS-Netz kommt, besteht auch keine Gefahr.
    Der Schutz des "Maschinennetz" sollte aus meiner Sicht Aufgabe von IT-Profis sein. Es gibt ja genügend Produkte auf dem Markt, die ein Netz sicher schützen. Eine SPS gehört NIE ungeschützt ins Internet!
    Ich denke, es ist besser, wenn die SPS prinzipiell keine hochstehenden IT-Schutzsysteme beinhaltet. Dies soll die IT-Branche für uns übernehmen. Zudem wandelt sich die IT-Technik und die nötigen Sicherheitssysteme so schnell, dass ich all paar Jahre meine SPS updaten/wechseln muss. Die IT-Infrastruktur ändert sich ja viel öfters als die Anlagensteuerung! Besserer Schutz bedeutet meist auch Abstriche bei den Möglichkeiten...

  10. Folgender Benutzer sagt Danke zu gloeru für den nützlichen Beitrag:

    Roland Wagner (05.11.2012)

  11. #8
    Registriert seit
    01.06.2005
    Beiträge
    75
    Danke
    10
    Erhielt 38 Danke für 17 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Ich finde es ja durchaus nett, das 3S sich überhaupt in irgend einer Form äußert,
    aber es sei mir verziehen, dass mit "Hochdruck an der Lösung gearbeitet wird",
    ist wohl auch die sinnfreiste Floskel die man dazu in einer Stellungnahme hat schreiben können.
    Obgleich ich natürlich auch verstehe, das dieser aufgeschreckte Bienenschwarm jetzt natürlich genau solche Floskeln lesen will.
    Prinzipiell stehen wir genau auf dem Standpunkt von gloeru:
    Aus meiner Sicht sind SPS (Runtime) und IT Sicherheit zu trennen. Solange niemand ins SPS-Netz kommt, besteht auch keine Gefahr.
    Woran arbeiten wir dann gerade mit Hochdruck? Es ist eben so, dass ein Passwortschutz in CODESYS V2.3 in einer bestimmten Runtime-Version zwar verfügbar, aber nicht per Default aktiviert ist. Damit haben wir dem Einen oder anderen eine Sicherheit fehlerhaft vormittelt, die nicht da war. Und genau daran arbeiten wir mit Hochdruck: dass per Default der eingebaute Schutz auch funktioniert.
    Das hat aber nichts damit zu tun, dass durch diesen Passwort-Schutz keine IT-Sicherheit im klassischen Sinn gewährleistet werden kann.
    Jeder von uns, der seinen PC mit einem Passwort schützt, verwendet doch dennoch zusätzlich Firewall&Co, weil uns klar ist, dass das Passwort nur eine erste Hürde für den Zugriff auf die Daten ist. Jeder kann diesen Passwortschutz z.B. mit einer bootfähig Knoppix-CD sofort umgehen - und hat dann wieder Zugriff auf die Daten.
    Schöne Grüße

    Roland Wagner
    3S-Smart Software Solutions GmbH

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •