Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Ergebnis 1 bis 10 von 10

Thema: Schadsoftware auf Siemens SPS

  1. #1
    Registriert seit
    10.02.2013
    Beiträge
    3
    Danke
    0
    Erhielt 1 Danke für 1 Beitrag

    Ausrufezeichen


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hi,

    ein Freund hat mich auf einen Vortrag von Mike Brüggemann und Ralf Spenneberg vom 32C3 von 27.Dez 2015 aufmerksam gemacht. Ich habe mir das gerade mal angeschaut und das was ich dort gesehen habe ist für mich durchaus sehr interessant... eventuell auch für andere

    https://media.ccc.de/v/32c3-7229-plc...r#video&t=3514

    Sicherheit und SPS das wird bei Industrie 4.0 echt lustig werden.
    Zitieren Zitieren Schadsoftware auf Siemens SPS  

  2. Folgender Benutzer sagt Danke zu Jochen123 für den nützlichen Beitrag:

    Slaine (06.01.2016)

  3. #2
    Registriert seit
    18.09.2004
    Ort
    Münsterland/NRW
    Beiträge
    4.728
    Danke
    729
    Erhielt 1.161 Danke für 972 Beiträge

    Standard

    Dazu gibts hier auch schon eine Diskussion

    Scada-Sicherheit: Siemens-PLC wird zum Einbruchswerkzeug
    Ab Beitrag 6

    Edit
    Link geändert

  4. #3
    Registriert seit
    17.07.2009
    Ort
    Am Rande der Ostalb
    Beiträge
    5.534
    Danke
    1.152
    Erhielt 1.253 Danke für 982 Beiträge

    Standard

    Zitat Zitat von Jochen123 Beitrag anzeigen
    Sicherheit und SPS das wird bei Industrie 4.0 echt lustig werden.
    Dazu braucht es keine Industrie 4.0
    Das Thema hast du heute schon.
    Genauso wie auch heute schon genügend Lösungen zur Absicherung existieren.
    Nur machts halt kaum einer, weil a) zu blöd b) zu faul oder c) zu bequem.
    Beinahe jeder halbwegs aktuelle Netwerkswitch hat die Möglichkeit VLANs, Accesslisten und / oder gesicherte Verbindungen einzurichten.
    Die Möglichkeiten sind onboard und kosten nix extra. Aber wenn man sie halt nicht nutzt ...

    Gruß
    Dieter

  5. Folgender Benutzer sagt Danke zu Blockmove für den nützlichen Beitrag:

    WVS (06.01.2016)

  6. #4
    Registriert seit
    03.04.2008
    Beiträge
    6.205
    Danke
    237
    Erhielt 817 Danke für 691 Beiträge

    Standard

    @Dieter: Stimmt, es gibt viele Möglichkeiten ein Netz sicher zu machen.
    Aber hier gilt wieder der Satz:
    Das ist der Unterschied zwischen Wunsch und Wirklichkeit.
    Versuche einmal einem Kunden zu erklären, dass er eben mehr Aufwand hat, um auf sein Maschinennetzwerk zu zugreifen.

    Wenn ich mir bei dem berühmten Autobasler, mit dem NOX aus dem Auspuff, denke, dann gehen mir die Haare aus.
    Bei mindestens 50% der Anlagen die ich kenne, kann man problemlos mit einem USB Stick oder einer einfachen Netzwerkverbindung die Kontrolle über die Anlage übernehmen.

    Ist Industrie 4.0 wirklich die Zukunft? (Aber das ist ein anderes Thema)


    bike
    "Any fool can write code that a computer can understand.
    Good programmers write code that humans can understand."
    --Martin Fowler

  7. #5
    Registriert seit
    17.07.2009
    Ort
    Am Rande der Ostalb
    Beiträge
    5.534
    Danke
    1.152
    Erhielt 1.253 Danke für 982 Beiträge

    Standard

    @bike
    Wenn du eine kompetente Netzwerkabteilung im Hintergrund hast, dann hast du gar nicht mehr Aufwand beim Zugriff.
    Die Verwaltungstools der namhaften Netzwerkhardware-Hersteller ermöglichen eine zentrale Konfiguration.
    Deshalb ist meines Erachtens die Hauptursache schlichtweg Faulheit und Blödheit.

    Gruß
    Dieter

  8. Folgende 2 Benutzer sagen Danke zu Blockmove für den nützlichen Beitrag:

    vollmi (05.01.2016),WVS (06.01.2016)

  9. #6
    Registriert seit
    22.11.2006
    Ort
    CH
    Beiträge
    3.647
    Danke
    788
    Erhielt 654 Danke für 497 Beiträge

    Standard

    Zitat Zitat von Blockmove Beitrag anzeigen
    @bike
    Wenn du eine kompetente Netzwerkabteilung im Hintergrund hast, dann hast du gar nicht mehr Aufwand beim Zugriff.
    Die Verwaltungstools der namhaften Netzwerkhardware-Hersteller ermöglichen eine zentrale Konfiguration.
    Deshalb ist meines Erachtens die Hauptursache schlichtweg Faulheit und Blödheit.
    Mühsam wirds denke ich, wenn man als SPS Programmierer auch noch die Kompetenz anneignet die NetzwerkEDV für Systemübergreifende Anlagen anzueignen.

    Aber ist wohl so. Heute soll man Profi sein in SPS Technik, SCADA, Netzwerk und am besten auch noch Psychater. Gibt nicht soviele die in allen Bereichen kompetent sind, aber ziemlich viele die meinen es zu sein.

    Man kriegt relativ schnell mal ein Automatisierungsnetzwerk ins Internet, auch als VPN von aussen zugreifbar. Wenn man aber dann zusätzlich noch eine Domäne, Benutzer, getrennte Netzwerke, Portsicherheit etc komissionieren will. Dann ist die Materie eben doch etwas komplexer als es aussieht.

    Es ist halt auch nicht mehr so, das bei grösseren Projekten mit verteilten Anlagen jede anlage ihre eigenen Optikfasern bekommt um ein physikalisch separates Netzwerk aufzubauen. Heute werden eher grössere Switche eingebaut wo alle Anlagen drauf sind und das Netzwerk dahinter entsprechend aufwändig aufgebaut ist um Ausfallsicherheit zu garantieren. Und solche Netzwerke will der Laie im idealfall nicht mehr selber managen.

    Für den Nichtnetzwerkprofi (wie mich) finde ich diese Fernwartungsrouterlösungen wie von Secomea und Co recht sinnvoll wenn die Anlage Emails versenden soll oder aus dem Internet Bedienung erwünscht ist. Da muss man sich nicht so ein enormes Grundwissen aneignen, trotzdem ist die Sicherheit schon recht hoch.

    mfG René

  10. #7
    Registriert seit
    17.07.2009
    Ort
    Am Rande der Ostalb
    Beiträge
    5.534
    Danke
    1.152
    Erhielt 1.253 Danke für 982 Beiträge

    Standard

    Rene du hast Recht mit deinen Aussagen.
    Bei verteilten Anlagen oder z.B. Leittechnik ist das Thema Netzwerksicherheit komplex.
    Sowas können wir SPSler nicht abdecken. Hier müssen Netzwerkspezialisten mit ins Boot.
    Und das schon frühzeitig. Durch geeignete Komponenten-Auswahl kann man sehr viel Geld und Zeit sparen.
    Aber dieses Denken muss sich eben erst durchsetzen.

    Gruß
    Dieter

  11. #8
    Registriert seit
    08.02.2007
    Ort
    A-2320
    Beiträge
    2.255
    Danke
    244
    Erhielt 332 Danke für 303 Beiträge

    Standard

    Was macht eine AS im www?
    Das ist die Frage!

    Es gibt genug mehr oder weniger unüberlistbare Möglichkeiten das zu verhindern- schaltbare Switches, z.B.- zwecks Fernwartung z.B., oder wie meist bei uns über manuelle Eingriffe und Teamviewer.
    Eine AS hat im www nichts zu suchen!

    Wenn eine Kommunikation ins www notwendig ist, dann bitte über einen entsprechenden Rechner mit entsprechenden Protokoll.


    Beispiel:
    Fahrdaten werden vom SAP via ASCII RS232 mittels proprietärem Protokoll (sic!) an Server geschickt, dieser wertet aus und schickt Daten an AS.
    Viel Spass beim Hacken.

    Ich lehne mich mal raus und sage: für Hacker nicht lösbar.


    PS: wie man die EngineeringStationen (die irgendwie am www hängen) schützt weiss ich auch nicht- am besten vom www-Lan physikalisch abhängen siehe oben (manuell oder schaltbarer Switch).

  12. #9
    Registriert seit
    22.11.2006
    Ort
    CH
    Beiträge
    3.647
    Danke
    788
    Erhielt 654 Danke für 497 Beiträge

    Standard

    Ich denke bevor man sich gedanken über die Sicherheit durch Hacker macht die sich hardcore in Netzwerke reinhacken, sollte man sich mal über die in vielen Firmen üblichen standardpasswörter die unverändert seit den 80ern verwendet werden um rootrechte auf SCADAsystemen, SPSen, VPN, TEAMVIEWER zu kriegen.

    Hat schonmal jemand die S7-1200 mit CP 1243-7 LTE EU KOMMUNIKATIONSPROZESSOR ZUM ANSCHLUSS VON SIMATIC S7-1200 AN LTE NETZ MIT EUROP. FREQ eingesetzt? Ich liebäugle grad amit um eine abgesetzte Station in ein Automatisationsnetz zu bringen die so weit weg ist, dass ein Ethernetkabel enorme Kosten verursachen würde. Die S7-1200 soll dann direkt mit anderen S7 CPUs kommunizieren über S7 oder TCP Protokoll.
    Schonmal jemand gemacht?

    mfG René

  13. #10
    Registriert seit
    30.12.2014
    Beiträge
    39
    Danke
    22
    Erhielt 4 Danke für 4 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Ich meine auch, dass dieses Problem etwas hochgeschaukelt wird. Netzwerksicherheit war schon immer ein Thema.
    Die Trennung des Intranets vom Internet ist sowieso oberste Pflicht.

    Ich glaube, das Problem ist, dass die Hersteller (Siemens vorneweg) das Klickibunti als seligmachend anpreist und jeder meint, er müsse alles immer überall auf seinem I-phone sehen und steuern können. Das dann aber aktiv Sicherheit betrieben werden muss, was auch Geld kostet, das wird meist "vergessen".

Ähnliche Themen

  1. Antworten: 0
    Letzter Beitrag: 04.01.2015, 17:31
  2. TIA Fragenkatalog zu TIA an Siemens auf dem SPS-Forumstreffen
    Von rostiger Nagel im Forum Simatic
    Antworten: 145
    Letzter Beitrag: 03.07.2013, 11:35
  3. Antworten: 0
    Letzter Beitrag: 05.09.2012, 20:57
  4. Antworten: 18
    Letzter Beitrag: 22.04.2009, 09:51
  5. Mitsubishi SPS & Siemens SPS Verbindung via TCP/IP
    Von KayCzeromin im Forum Sonstige Steuerungen
    Antworten: 4
    Letzter Beitrag: 18.01.2007, 15:27

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •