NIS2 (!?) End-to-end Kryptierung wird gefordert.

[JesperMP]

Zuviel Werbung?
-> Hier kostenlos registrieren

Vielleicht hat jemand davon gehört.
Es gibt ein neuen EU-Direktiv "NIS2" (link: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555&qid=1697111135199), welche die Anforderungen für Sicherheitsmassnahmen be Zugang von Maschinensteuerungen viel erhöht. NIS2 ist auch Teil von den neuen MRL, was bedeutet ab 2027 sind die Anforderungen Pflichtig.
Es ist die Hintergrund von die sichere TLS welches auftaucht, in die SPSen und in die HMIs. Auch OPC DA geht nicht mehr weil es nicht kryptiert ist.

Es beeinflusst die Zugang von SPSen, HMIs, aber auch konfigurierbare Geräte wie FUs und programmierbare Sicherheitsrelais. Siemens Smartservice. Und OPC DA geht nicht mehr, es muss OPC UA sein.

Es interessiert mich:
Wie viele macht schon was dafür ?
Wie praktisch mit die Hantierung von z.B. die Zerifikate ?
Gibt es eine 'NIS2 für Dummies' ? Es gibt ja ein offiziellen Guide für die MRL. Ich habe das NIS2 Direktiv durchgelesen, aber muss sagen es ist für mich ganz unlesbar.

 

[ducati]

Ich hab das letztens auch gelesen und bin der Meinung, dass wird im riesen Chaos enden.
Prinzipiell ist erstmal der Endkunde gefordert, um ein funktionierendes "Verwaltungssystem" aufzubauen. Aktuell haben die meisten unserer Kunden keine wirklich funktionierende Softwarestandsverwaltung, geschweige denn ein funktionierendes Passwortmanagement.
Immer wenn ich irgendwie an ne Anlage komme, wo es Passworte gibt, kennt die keiner oder es sind allgemeine Standardpassworte.
Selbst die Kunden, die theoretisch eine Benutzerverwaltung haben, schaffen es nicht, mich dort anzulegen. Das selbe wie mit Schlüsseln für Türen oder Zutrittsberechtigungskarten...

Am Ende wirds so sein wie immer, es gibt ein tolles neues Gesetz, aber kaum jemand hält sich dran.

Unterstützung und Lösungen für die NIS2-Richtlinie

Industrielle-Cybersecurity-Lösungen und Unterstützung für die kommende NIS2-Richtlinie in der EU

www.siemens.com

im Übrigen geht das schon Ende 2024 damit los...

Die NIS 2 ist eine aktualisierte Version der NIS, die bessere Leitlinien und mehr Klarheit über die Cybersicherheits-Anforderungen der EU bietet. Sie erweitert den Anwendungsbereich wesentlicher und wichtiger Einrichtungen, legt die Haftung der Unternehmensleitung fest, beschreibt, wie Kontrollen durchgeführt werden sollten, und regelt, wie Verstöße gemeldet werden sollten. Zum ersten Mal haften Geschäftsführer mit ihrem Privatvermögen, wenn sie die gesetzlichen Vorschriften nicht einhalten. Zusammenfassend lässt sich sagen, dass die NIS 2 eine verbesserte Version der NIS ist, die umfassendere und detailliertere Cybersecurity-Richtlinien bietet.

 

[Blockmove]

Zuviel Werbung?
-> Hier kostenlos registrieren

Sowas ist für nen normalen SPSler oder Instandhalter überhaupt nicht mehr handelbar.
Mein Vorschlag: Abwälzen auf die IT.
In jeden Schaltschrank für 400€ ne Hardwarefirewall oder nen VPN-Router zwischen SPS und Firmennetz und gut ist.
Soll sich doch die IT mit der Verwaltung und Gültigkeit von Zertifikaten rumschlagen.
Bei Problemen kann der Instandhalter normal an der CPU einstecken wie bisher auch schon.

 

[JesperMP]

In jeden Schaltschrank für 400€ ne Hardwarefirewall oder nen VPN-Router zwischen SPS und Firmennetz und gut ist.

Nur dann kommt die IoT Dingbums welches direkt in die Steuerungen schnüffelt und Daten abspeichert und analysiert. Ob in die Cloud oder eine Firmenserver. Dies ist zur Zeit ganz die Mode auch bei uns. Dann geht die einfache Abschottung nicht.

 

[JesperMP]

Am Ende wirds so sein wie immer, es gibt ein tolles neues Gesetz, aber kaum jemand hält sich dran.

Da es ein Teil von MRL wird, dann können wir es nicht einfach ignorieren.

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Da es ein Teil von MRL wird, dann können wir es nicht einfach ignorieren.

An die MRL hällt sich ja auch nur manchmal jemand

 

[ducati]

In jeden Schaltschrank für 400€ ne Hardwarefirewall oder nen VPN-Router zwischen SPS und Firmennetz und gut ist.

Bei Problemen kann der Instandhalter normal an der CPU einstecken wie bisher auch schon.

das wär genau die interessante Frage, wenn ich die Hardware-Firewall hätte, darf ich dann wirklich das Passwort in SPS und Panel weglassen?
Oder bei Anlagen ohne IT-Anbindung, dürfte die SPS dann ohne Passwort betrieben werden?

Immerhin sind da ja trotzdem Rj45-Buchsen dran

Und was wäre, wenn ich mich mit meinem Laptop der ne LTE-Karte hat, an die SPS dranhänge? Wird dann mein Chef seine Häuser los?

Fragen über Fragen...

wir haben nen Kunden, da ist das genau so gelöst, Anbindung der SPS über Router ans Firmennetz/Leitsystem. Aber der hat halt überall nur das Defaultpasswort und ausserdem wird der 102er Port überall durchgeroutet... Das alte Leitsystem hatte noch TCPIP-Protokoll mit eigenem Protokoll. Das neue pollt per PUTGET auf dem 102er Port... Wenn Du also im Firmennetz bist, kommst Du auf jede SPS, trotz Router... und auch bei den neuen 1500er Steuerungen...

 

[rostiger Nagel]

Und was wäre, wenn ich mich mit meinem Laptop der ne LTE-Karte hat, an die SPS dranhänge? Wird dann mein Chef seine Häuser los?

Ist das Betriebsklima wirklich so schlecht bei euch?

Das ist doch wieder einen Norm, die das Automatisieren wieder
nur schwer macht. Ich sehe schon das „Miles and More“ Konto steigen.
Entweder hast du dich an die Norm gehalten und kommst mit keiner
Fernwartung mehr auf die Maschine oder wie beschrieben sind alle
Passwörter weg und man muß es dann irgendwie mit riesigen Aufwand
richten.

Alleine dieser Mist von Siemens mit den Zertifikaten auf CPU Ebene
macht doch schon genug Schwierigkeiten.

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ist das Betriebsklima wirklich so schlecht bei euch?

Ja schon, aber was hat das mit dem Zitat zu tun

 

[gerribaldi]

Ein Stück weit kann ich euch verstehen und auch manches nachvollziehen. Allerdings gibt es ein paar Punkte, die ich mal kurz einwerfen möchte.

- Wenn die Fernwartung ordentlich konfiguriert und eingerichtet ist, kommen Dienstleister auf die Steuerungen wo Sie hinmüssen, egal ob da Passwörter gefordert sind oder nicht. Das ist bei uns aktuell so und war auch in meiner alten Firma so. Da gab es nie Probleme
- Als Versorgungsunternehmen werden wir schon seit Jahren mit diversen Gesetzen konfrontiert. U.a. müssen wir eine Asset-Verwaltung aller OT Kisten haben, am besten noch mit Version der FW + Software. Nur kann ich diese gar nicht überall einsehen bzw. bekomme die nicht weil ich nicht weis was der Lieferant da alles mit reingewurschtelt hat. Mit der neuen NIS/MLR soll es dann so sein, dass ich vom Lieferant eine SBOM erhalte. Wird nun eine Lücke gefunden, kann ich in die SBOM schauen und sehe sofort, ob ich patchen muss oder nicht bzw. kann zum Lieferant und Ihm sagen bitte patchen (oder andere passende Maßnahmen durchführen).
- Security ist ja eigentlich ein ganzheitlicher Ansatz. Das bedeutet auch, dass man das Passwort auch setzt, wenn die Anlage nicht an einem Netzwerk hängt oder auch wenn eine Firewall verbaut ist. Standardpasswörter sollte man eh Grundsätzlich ändern.
- Ziel von NIS2 ist u.a., dass alles was IP spricht auch ordentlich geschützt sein sollte - Stichwort Security by Design. Ja, vieles was da drin steht bedeutet einen Sack voll mehr Arbeit - aber auf der anderen Seite werden Produkte auch ein Stück besser. Und da immer mehr vernetzt wird und immer mehr miteinander kommuniziert, ist es halt leider notwendig, hier auch für Sicherheit zu Sorgen (freiwillig passiert hier selten was...). Weil Sicherheit ist immer aufwendig und kostet Geld - beides nicht gerade Punkte, wo bei vielen Begeisterung auslösen.

 

[Oberchefe]

Mit der neuen NIS/MLR soll es dann so sein, dass ich vom Lieferant eine SBOM erhalte. Wird nun eine Lücke gefunden, kann ich in die SBOM schauen und sehe sofort, ob ich patchen muss oder nicht bzw. kann zum Lieferant und Ihm sagen bitte patchen (oder andere passende Maßnahmen durchführen).

Das bringt doch nicht wirklich etwas, das haben wir ja bei Log4j gesehen. Da wurden erst mal viele mögliche Probleme gemeldet, die sich im Nachhinein wieder als nicht zutreffend herausgestellt haben, selbst Siemens wusste da nicht wirklich sofort Bescheid. Außerdem ist das ja nicht einfach so, dass man eine Biblithek benutzt und alles ist klar. Es kann eine Bibliothek wieder andere Bibliothek nutzen und diese wiederum andere Bibliotheken, Wie will das jemals jemand einfach nachvollziehen können? Und wenn dann alle aus Angst von Abhängigkeiten wieder alles selber machen, drohen uns noch viel größere Sicherheitslücken.

Das eigentliche Problem ist doch, dass so mancher irgendwelche Steuerung direkt ins Internet gehängt hat, Blockheizkraftwerke waren dabei noch die harmloseren Fälle. Und gerade hier waren es bevorzugt Öffentliche Ver-/Entsorger, Kraftwerksbetreiber usw.

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Grundsätzlich hast Du wenig Sorgen, wenn Du genügend gute Leute ihre Arbeit gut machen lässt.
Noch mehr sich ständig ändernde unkonkrete Regeln die niemand versteht und wo auch kein gutes Personal dafür da ist, bringen in der Praxis garnichts.
Theoretisch hört dich das natürlich alles gut an
Könnt mir nicht vorstellen, wer bei uns so nen SBOM schreiben sollte
Vielleicht gibts in dem Gesetz ja ne Vorlage dazu, die man nur ausfüllen bräuchte

 

[JesperMP]

Ich sehe es wie gerribaldi.
Erstens macht es Sinn die Security zu erhöhen. Nur eine Stufe (hinter Router und gut ist) und feste Passwörter ist nicht genug. Auch den Gefahr von tragbare Medien (USB Sticks) wurde genannt. Generell ist die Security überall zu locker. Fakt ist dass die IT Risici werden schlimmer über die Zeit. Die gute alte Zeiten kommen nicht zurück.
Zweitens, es wird Pflicht, also muss man sich damit beschäftigen egal ob man es sinnvoll findet oder nicht. Auch bei die MRL kommt man nie 100% ins Ziel. Aber es macht ein Unterschied ob man gar nichts gemacht hat, oder man eine ernsthafte Einsatz gemacht hat,
Deswegen suche ich wie man praktisch mit das Thema umgeht.

 

[Lars Weiß]

Schätze es wird Zeit das dieses Thema ein eigenes Forum bekommt.

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Nur damit ich nicht falsch verstanden werde, ich bin dafür, das Security Thema ernst zu nehmen.
Nur wie gesagt, die meisten Unternehmen haben nicht das Personal dafür.
Dann wird alles gesperrt und die Leute dies brauchen kommen halt nicht mehr drann. Aber solang mein Geld monatlich noch aufs Konto kommt, fahr ich dann eben wieder nach Hause Soll die Anlage eben jemand anders wieder zum laufen bringen.

 

[gerribaldi]

Als wir vor 6 Jahren unser ISMS eingeführt haben und unsere ganze OT auf Sicherheit getrimmt haben, hatten wir auch wenig bis gar keine Freunde innerhalb des Betriebes. Vor allem Leute, die täglich damit arbeiten hatten wenig bis gar kein Verständnis für das was wir tun. Und ja, auch bei uns war das Thema Ressourcen (sowohl Personal als auch Zeit / Geld) immer ein Diskussionspunkt. Aber irgendwann sollte man einfach mal starten, auch wenn es das Leben nicht zwingend einfacher macht.

Allerdings hat sich das über die Zeit gewandelt und es ist nun ein Bewusstsein dafür da, dass es nun mal ein gewisses Grad an Sicherheit dazu gehört. Von daher hat sich hier auch das Thema Ressourcen verbessert.
Und gerade im Bereich Versorger hat sich erst durch die gesetzliche "Bitte" hier was zu machen wirklich was bewegt - Stichwort "BHWK im Internet"

Ich denke analog dazu wird es im Maschinenbau vermutlich ähnlich laufen.....

 

[ducati]

Bei Gelegenheit lese ich mir das NIS2 mal durch.
Aber vermutlich wär es besser gewesen, ein Lehrbuch zu schreiben wo drinnsteht, was man zu tun hat und was nicht.
Das allgemeine unkonkrete Juristengefasel geht einfach allen nurnoch auf den Sack...

 

[Tommi]

Zuviel Werbung?
-> Hier kostenlos registrieren

Da es ein Teil von MRL wird, dann können wir es nicht einfach ignorieren.

Die MRL fordert "nur" die Security der Sicherheitssteuerung bzw. der Sicherheitsfunktionen (Not-Halt, Schutztür etc.).
Zumindest habe ich das beim ersten Lesen so verstanden.

Da werden dann vermutlich alle Maschinenbauer eine Firewall in den Schaltschrank bauen und das
in ihrer CE-Risikobeurteilung erwähnen.

IIoT etc. ist damit nicht gemeint.

 

[Twirl]

So wie ich NIS-2 verstanden habe, heißt es für unseren Bereich natürlich fast alle Betreiber oder explizit als kritisch eingestufte Unternehmen, aber auch Maschinenbauer - da zähle ich uns als Anlagenbauer mit dazu - die als „wichtig“ gelten und gemäß den KMU-Regeln als bis Mittel und darüber hinaus gelten.
Noch ist die gesetzliche Umsetzung in Deutschland nicht verfügbar, denke aber , das es „einfach nur“ mit Passwort und Firewallmodul nicht getan sein wird. Dann aber wohl hauptsächlich auf die eigene IT-Landschaft bezogen und nur in Teilbereichen bei der Maschine selbst.
Wichtig wird es wieder schon beim verhandeln des Auftrages mit dem Betreiber abzustimmen ob NIS-2 zutrifft oder nicht und welche Maßnahmen dafür festgelegt wurden - wie sind die Netze zu bilden, darf ich Wireless, IoT Sensoren ja/nein und wahrscheinlich, so simple Sachen wie USB und RJ45 Stecker am Pult ja/nein sowie vieles vieles mehr das ich mir noch nicht vorstellen kann