Sonstiges Simatic Firmware Updates - nur bei Fehlern oder Sicherheitsrelevant?

trobo

trobo

Level-2
Beiträge
466
Reaktionspunkte
182
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen!

Aus aktuellem Anlass wollte ich mal eure Meinung hören, wie Ihr oder eure Firma mit so etwas umgeht? Informiert Ihr eure Kunden bei Updates der Firmware?
Macht Ihr regelmäßig Firmware Updates bei Kunden oder immer nur nach Bedarf wenn es zu einer Fehlfunktion kam?

Wenn ich teils an Kunden von uns schon denke wie generell die Netzwerkhaushaltung (keiner weis so richtig welches netz was wie wo macht...) ist will ich gar nicht von "Firmware updaten" reden....
Immer dem Motto treu "Never touch a running system".

Eigentlich sollte sich ja der Sinn für solche Angriffsszenarien gesschärft haben, besonders seit Stuxnet auch wenn das erstmal "nur" ein klassicher Computerwurm war.

www.heise.de

Siemens: Wichtige Updates für Simatic S7 beseitigen Remote-Angriffsmöglichkeit

Jetzt updaten: Eine Lücke in den speicherprogrammierbaren Steuerungen (SPS) S7-1200 & S7-1500 könnte für Angriffe auf Industrieanlagen missbraucht werden.
www.heise.de www.heise.de

Eigentlich möchte Ich unsere Kunden immer ein Stück mehr sensibilisieren für Sicherheit und was es bedeutet, besonders was man an einfachen Dingen jetzt schon mit leichtigkeit umsetzen kann um mal eine Grundsicherheit zu gewährleisten. (Also grobe Konfigurationsfehler ausbügeln, zu lockere Offenheit begrenzen etc)
 
Also ich mache es so:

Alte 300/400ér CPU´s lasse ich laufen, außer sie haben wirklich noch einen der uraltesten Stände.
Ansonsten ist das eher nach dem Motto ( wenn es jetzt 10 Jahre lief dann lassen wir es mal lieber so. )

CP´s versuche ich immer hochzurüsten, da aus meiner Sicht hier die meißten Problemchen auftreten ( bei veralteter FW ).

1500ér Anlagen die eh noch nicht so lange laufen rüste ich auf jeden Fall hoch ( alles, CPU, E/A, CP´s..... ) da hier doch teilweise
sehr viele Probleme in der FW drin stecken.

Informiert Ihr eure Kunden bei Updates der Firmware?
Zum Vergrößern anklicken....
Nein, sowas mache ich wenn ich mal wegen einer Änderung vor Ort bin. Der Endkunde bekommt davon
meist nichts mit. Außer der Instandhalter.

Ich muss dazu sagen, keine unserer Anlagen hängt im Firmennetz / Internet...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Wie ist das eigentlich mit den Firmwareupdates wenn man ein nicht aktuelles TIA hat.
Wir benutzten zur Zeit noch die Version V15.1 . Mir ist bewusst, dass TIA evtl. nicht alle neuen Features unterstützt, die neueste FW nicht im HW Katalog ist und auch vor dem Übertragen eine Meldung bzgl. der unterschiedlichen Firmware-Versionsstände kommt. Macht es trotzdem Sinn eine 1500er CPU in dem Kontext auf dem neuesten Stand zu halten? Wie lautet hierzu die Aussage von Siemens?
 
Wenn in der Firmware Bugs behoben wurden (Gerade bei dem integrierten OPC-Server hat sich in den letzten Versionen einiges getan) wirkt sich das auch aus, wenn du ein älteres TIA benutzt.
 
Gerade bei den ET200SP-CPUs habe ich im Verdacht dass es hier Probleme bei der Netzwerkperformance gibt, trotz geringer Teilnehmeranzahl und niedriger Taktung. Wir sind am überlegen deswegen ein FW Update bei diesen Geräten durchzuführen, haben aber keine Lust auf irgendwelche Spirenzchen bei der erneuten Inbetriebnahme der CPU, da diese ja dadurch komplett resettet wird.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Fluffi schrieb:
Wie ist das eigentlich mit den Firmwareupdates wenn man ein nicht aktuelles TIA hat.
Wir benutzten zur Zeit noch die Version V15.1 . Mir ist bewusst, dass TIA evtl. nicht alle neuen Features unterstützt, die neueste FW nicht im HW Katalog ist und auch vor dem Übertragen eine Meldung bzgl. der unterschiedlichen Firmware-Versionsstände kommt. Macht es trotzdem Sinn eine 1500er CPU in dem Kontext auf dem neuesten Stand zu halten? Wie lautet hierzu die Aussage von Siemens?
Zum Vergrößern anklicken....
Das Thema hast du gerade ja schon bei TIA 15.1.
Neue CPUs werden mit FW2.8 ausgeliefert.
TIA 15.1 kann nur FW2.6.
Du kannst die aktuelle 1500 in TIA als 2.6 projektieren und bekommst beim Übertragen des Projekts nur eine Warnmeldung.
Hochrüsten des Projekts auf V16 ist nicht erforderlich.
Ähnlich soll es sich mit FW2.9 verhalten.
Hab ich selber aber noch probiert.
Von unserer IT wird die aktuelle Sicherheitslücke als kritisch eingestuft. Wir werden also updaten müssen.
 
Blockmove schrieb:
Von unserer IT wird die aktuelle Sicherheitslücke als kritisch eingestuft. Wir werden also updaten müssen.
Zum Vergrößern anklicken....
Wenn die SPS nach dem Firmwareupdate im Detail nicht vorhersehbare Funktionen an der Anlage anders ausführt, wird das von mir als kritisch für die Anlage eingestuft.
Also ich würd mir das bei wichtigen Anlagen 3 Mal überlegen...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Zusamme,

lustigerweise vergrößeret sich der Arbeitsspeicher der 1518 auch unter Tia V14 beim übertragen kommt eine Warnung das man gerade zu viel Speicher killt aber übertragen geht und nutzen kann man den Speicher auch. Hier kann sich ein Update dann durchaus lohnen

Gruß tia
 
Naja das aktuelle FW-Update schließt Sicherheitslücken.
Wenn ich´s recht im Kopf hab, braucht es für den Angriffeinen offenen Port 102 ohne Passwort.
Also zb. S7-Kommunikation.
Wenn ein Angreifer also darauf Zugriff hat, kann er schon genug anrichten.
Eine Anlage darüber stillzusetzen oder zu Schrotten ist kein Problem.
Mit dem FW-Update klebe ich das Schlüsselloch zu, während das Scheunentor offen steht.
Aber mach das den Kaspern von der IT-Security klar.
 
Blockmove schrieb:
Also zb. S7-Kommunikation.
Wenn ein Angreifer also darauf Zugriff hat, kann er schon genug anrichten.
Eine Anlage darüber stillzusetzen oder zu Schrotten ist kein Problem.

Aber mach das den Kaspern von der IT-Security klar.
Zum Vergrößern anklicken....
hatte grad erst ne 1500er, wo jemand das CPU-Passwort gesetzt hat, kannte natürlich nach 3 Jahren niemand mehr :rolleyes:
Die Anlage war dadurch so sicher, dass alle Aktualdaten verloren waren, da man die DBs nicht mehr abziehen konnte...
Wenigstens konnte man den CPU-Schutz im TIA -Projekt entfernen, ohne das Passwort zu kennen. In der SPS musste man dazu aber die SMC löschen 🙈

Nurnoch Kopfschütteln den ganzen Tag... Brauch mal wieder ne Nackenmassage :ROFLMAO:
 
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
hatte grad erst ne 1500er, wo jemand das CPU-Passwort gesetzt hat, kannte natürlich nach 3 Jahren niemand mehr :rolleyes:
Die Anlage war dadurch so sicher, dass alle Aktualdaten verloren waren, da man die DBs nicht mehr abziehen konnte...
Wenigstens konnte man den CPU-Schutz im TIA -Projekt entfernen, ohne das Passwort zu kennen. In der SPS musste man dazu aber die SMC löschen 🙈

Nurnoch Kopfschütteln den ganzen Tag... Brauch mal wieder ne Nackenmassage :ROFLMAO:
Zum Vergrößern anklicken....
Das Problem hast du ja aber auch bei den klassischen s7-300/400 Wenn das Passwort nicht mehr da ist, geht nix mehr.
Und ohne Passwortschutz macht es einem die S7-1500 ja doch sehr einfach ein Projekt abzuziehen, inklusive Symbolen, Kommentaren und Strukturen. Das wäre so als würde man der Konkurrenz seinen Projekt Ordner übergeben.

Bei der 300er musste man da doch recht reengineeren um das Programm zu verstehen. Heute steht das alles schön leserlich in der CPU.
 
vollmi schrieb:
Das Problem hast du ja aber auch bei den klassischen s7-300/400 Wenn das Passwort nicht mehr da ist, geht nix mehr.
Und ohne Passwortschutz macht es einem die S7-1500 ja doch sehr einfach ein Projekt abzuziehen, inklusive Symbolen, Kommentaren und Strukturen. Das wäre so als würde man der Konkurrenz seinen Projekt Ordner übergeben.

Bei der 300er musste man da doch recht reengineeren um das Programm zu verstehen. Heute steht das alles schön leserlich in der CPU.
Zum Vergrößern anklicken....
ja schon klar. Ich halte generell nix von Passwortschutzen aller Art im SPS-Umfeld. Früher oder später fällt es jemandem auf die Füße. Schön, wenn die Hacker nicht auf die CPU kommen. Aber wenn die Anlage steht und der Instandhalter nicht drauf kommt ist halt auch doof. Der zweite Fall ist halt deutlich warscheinlicher...
Die SPS gehört nicht unüberlegt in irgendwelche Netze, ist halt meine Meinung. Und wenn dann in ein sicheres/getrenntes Netz bzw. mit Router/VLAN/VPN...
 
ducati schrieb:
ja schon klar. Ich halte generell nix von Passwortschutzen aller Art im SPS-Umfeld. Früher oder später fällt es jemandem auf die Füße. Schön, wenn die Hacker nicht auf die CPU kommen. Aber wenn die Anlage steht und der Instandhalter nicht drauf kommt ist halt auch doof. Der zweite Fall ist halt deutlich warscheinlicher...
Die SPS gehört nicht unüberlegt in irgendwelche Netze, ist halt meine Meinung. Und wenn dann in ein sicheres/getrenntes Netz bzw. mit Router/VLAN/VPN...
Zum Vergrößern anklicken....
Ich lade dich gern mal zu einer Diskussion mit unserer IT-Security ein :)

Glaub mir ... Danach brauchst du mehr als ne Nackenmassage
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Blockmove schrieb:
Ich lade dich gern mal zu einer Diskussion mit unserer IT-Security ein :)

Glaub mir ... Danach brauchst du mehr als ne Nackenmassage
Zum Vergrößern anklicken....
Projektsitzung mit Bauherr und seiner IT.
IT: Okay ihr müsst eure CPUs mit einem Antrag an unser Netzwerk anbinden, ihr bekommt ein eigenes VLAN für die WAN Kommunikation. die Remotes müssen einen eigenen Port bekommen da ist uns eure IPstruktur egal.
Es ist nur OPC erlaubt.
Ich: Okay kein Problem. X1 für unsere Anlage X2 für WAN über IT. Wozu musste ich noch den zusätzlichen CP einplanen?
Anlagenanbieter 2: Der ist für uns wir haben ein direktes Ethernetkabel zu eurer Anlage, falls WAN stirbt. Wir schreiben per PUT/Get von uns aus auf eure Anlage. Dazu müsst ihr unsere DB quellen einbinden und mit diesen arbeiten. und PUT GET freigeben.
Ich: Seufz
 
vollmi schrieb:
Ich: Okay kein Problem. X1 für unsere Anlage X2 für WAN über IT. Wozu musste ich noch den zusätzlichen CP einplanen?
Anlagenanbieter 2: Der ist für uns wir haben ein direktes Ethernetkabel zu eurer Anlage, falls WAN stirbt. Wir schreiben per PUT/Get von uns aus auf eure Anlage. Dazu müsst ihr unsere DB quellen einbinden und mit diesen arbeiten. und PUT GET freigeben.
Ich: Seufz
Zum Vergrößern anklicken....
Ja, grundsätzlich bin ich auch für direkte Verbindung (ohne IT) mit separatem CP zw. den Anlagen die unbedingt Daten austauschen MÜSSEN. Nur würd ich dann nicht PUT/GET sondern BSEND BRCV verwenden... bzw. PN/PN-Koppler.
 
Wir betreiben kritische Infrastrukturen und sind ISO27001 zertifiziert. Bei uns gab es keine Diskussion über das Update der FW - Es wird konsequent hochgerüstet und die neuen Features (Schutz vertraulicher PLC-Konfigurationsdaten, Nur Secure PG/PC- und HMI-Kommunikation wird zugelassen, PLC-Zugriffschutz (ok, den gab es vorher schon), globale Security-Einstellungen, usw.)
PUT/GET ist in Rente, Kommunikation zu anderen Anlagen oder Systemen über OPC-UA oder secure Open User Communication.
 
Zurück
Oben