Aber wer meint, seine SPS durch die vermeintlichen OPC-UA Sicherheitsmechanismen ins WWW hängen zu dürfen, dem ist eh nicht mehr zu helfen. Und ich habe mich immer gefragt, was das wohl für welche sind deren Steuerungen sich bei Shodan finden lassen, die haben doch sicher noch nie was mit SPS zu tun gehabt.
Ich glaub es läuft eher umgekehrt. Man will immer mehr in der Anlage miteinander vernetzen. Man will keine getrennten Physikalischen Netzwerke mehr. Darum sollte sich auch der SPS Programmierer Gedanken machen was er auf seiner Seite absichern kann sollte die IT welche das Netzwerk aufbaut, Scheisse bauen.
Das man nicht mehr alles auf getrennten Anlagennetzen will kann ich durchaus nachvollziehen. Da möchte ich mal erzählen wie das vor 20 Jahren in der Verkehrstechnik lief und wie sich das mittlerweile entwickelt.
Früher^TM: hatte jedes Gewerk sein eigenes Physikalisches Netzwerk das ausfallsicher sein sollte. Ventilation, Beleuchtung, Brandanlage, Verkehrslenkung, Notrufanlage etc. Jeder hat einen LWL Ring durch mehrere Kilometer Tunnel und Strassenstrecke aufgebaut mit jeder 100ten LWL Ringswitches in jeder Zentrale. Extrem viele Bauteile. Man brauchte Dutzende LWL Fasern weil jeder Unternehmer welche brauchte. Weil Brand und Ventilation ja auch Daten austauschen mussten, musste trotzdem immer noch ein zusätzlicher CP rein für eine direkte Kupferquerkommunikation der Anlagen.
Heute: Der Weg geht zu einer Ausfallsicheren IT infrastruktur mit Backbones zusätzlichen kommunikationswegen falls einer ausfällt. Das Netzwerk ist also ungleich aufwändiger und die Teile wesentlich komplizierter weil eben VLANS aufgebaut werden müssen und auch übergeordnete Steuerzentralen in anderen gebäuden informationen erhalten müssen.
Es soll halt nicht mehr jeder Unternehmer ein rudimentäres Anlagennetz aufbauen bei dem es sowieso nicht sicher ist ob es jemanden gibt der sich wirklich damit auskennt. Sondern die sollen einen Antrag stellen für ihre Geräte wohin die kommunizieren sollen, welche Datenmengen etc. und die bekommen dann zugriff zum WAN. Aber um die Ausfallsicherheit und Einbruchssicherheit ebenjenigen soll sich eine spezialisierte Firma kümmern. Und diese Firma sagt halt auch: Es gibt keine Ports in die man einfach was einstecken kann, Es gibt keine querschiessenden CPUs die einfach irgendwohin kommunizieren welcher Virenscanner auf einem IPC zu installieren ist etc.
Darum kommt es nicht so gut wenn man deren Forderung begegnet mit: "wir wollen eine Unspezifizierte S7 Verbindung zu einer anderen Anlage machen mit Put/Get das wir da den Brand auslösen können. Weil das haben wir schon immer so gemacht."