TIA Aktualisierungen von Hard.- / Software

Zuviel Werbung?
-> Hier kostenlos registrieren
An einer Laufenden Anlage wird üblicherweise kein FW update gemacht. Denn die Anlage läuft ja und man würde allenfalls von Sicherheitsupdates profitieren. Allerdings hat man die Anlage ja mit der verfügbaren Sicherheit in betrieb gesetzt und Löcher dann mit anderen Mitteln geschlossen.

Wenn ich an Anlagen Erweiterungen mache mit Bausteinen die ich in neuerer Firmware oder Tia Versionen geprüft habe. Dann ziehe ich oft hoch.
Dann müssen aber erweiterte Funktionstests durchgeführt werden, das hat sich bewährt.

Bei einigen Kunden sind recht grosse Wartungspakete gebucht. Bei diesen wird bei jedem Wartungsgang TIA, FW etc. hochgezogen und ein Anlagentest durchgeführt. Das ist je nach Grösse durchaus aufwändig. Aber die Sprünge sind bei jährlichen Wartungen auch wesentlich kleiner.
 
In unserem Betrieb laufen einige Steuerungen mit unterschiedlichen Softwareständen.
S7-200er mit MicroWIN
S7-1200 mit TIA irgendwo zwischen V10 und V16 (und alles was ich geschrieben habe auf V19)
Migrationstechnisch fasse da gar nichts an - solange die Maschine nicht eh umgebaut wird.
Die alten Programme haben sich (teilweise) bereits Jahrzehnte bewährt, Probleme sind außerhalb der SPS zu suchen.

Bei größeren Retrofits wird aber alles auf V19 hochgezogen, wenn ich die Software eh anfassen und überarbeiten muss.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Wenn NIS2 und CRA in Kraft treten wird man um ständige Firmware-Updates wohl kaum herumkommen… bis jetzt liefen die Anlagen unserer Kunden meistens mit dem Stand mit dem wir ausgeliefert haben weiter.
 
DeltaMikeAir schrieb:
Warum?
Zum Vergrößern anklicken....
Ein Grundbestandteil von Nis2 ist das patch management und die systempflege auf seite der anwender/integratoren, das bedeutet Systeme müssen auf dem aktuellen Stand sein und auch müssen Sicherheitsupdates zeitnah eingespielt werden.

Cra gilt für die Herstellerseite, dort ist vorgeschrieben dass für Produkte mindestens fünf Jahre Sicherheitsupdates bereitgestellt werden müssen, zudem muss die Software so konzipiert sein, dass Aktualisierungen _sicher_ durchgeführt werden können

So ganz im Groben
 
Zuviel Werbung?
-> Hier kostenlos registrieren
DCDCDC schrieb:
So ganz im Groben
Zum Vergrößern anklicken....
Das ist mir schon klar, aber:

DeltaMikeAir schrieb:
Muss ich sonst meine Anlage die irgendwo im Eck vor sich hin läuft und keinerlei Netzwerkverbindungen hat abschalten?
Zum Vergrößern anklicken....

DCDCDC schrieb:
das bedeutet Systeme müssen auf dem aktuellen Stand sein und auch müssen Sicherheitsupdates zeitnah eingespielt werden.
Zum Vergrößern anklicken....
Hier läuft noch irgendwo eine 948B, muss ich die auch hochrüsten?
 
DeltaMikeAir schrieb:
Warum? Muss ich sonst meine Anlage die irgendwo im Eck vor sich hin läuft und keinerlei Netzwerkverbindungen hat abschalten?
Zum Vergrößern anklicken....
NIS-2 gelt auch wenn kein Internet oder Netzwerk gibts. Auch gegen z.B. Wechselträger Medien muss geschützt werden.

DeltaMikeAir schrieb:
Hier läuft noch irgendwo eine 948B, muss ich die auch hochrüsten?
Zum Vergrößern anklicken....
Gute Frage. Vielleicht komplett ersetzen anstatt firmware hochrüsten. Alte Anlagen sind ja oft komplett offen, keine Passwortschutz, nichts, weil damals konnte man sich nicht vorstellen das es solche Probleme geben wurde. Aber auch alte Anlagen werden vernetzt oder auf den Internet verbunden.
Wie es sich verhaltet mit alte Anlagen, wenn man auf den heutigen Stand aktualisieren muss weis ich nicht.

Wenn die Anlage für die Infrastruktur wichtig ist, vermute ich man muss entweder komplett auf den neusten Stand bringen oder durch andere Massnahmen die Anlage schützen.
 
DeltaMikeAir schrieb:
Hier läuft noch irgendwo eine 948B, muss ich die auch hochrüsten?
Zum Vergrößern anklicken....
Wenn die noch aktiv arbeitet fällt diese auch unter die Nis2, gibts wohl keine Updates mehr für, also wird/kann das als kritisch eingestuft werden und dementsprechend müssen dann dahingehend Risikomindernde Maßnahmen getroffen werden

Ob die jetzt am Netz hängen oder nicht ist irrelevant (siehe Stuxnet).. Geräte müssen in sich selbst sicher sein und auch als Anwender/Integrator ist bei Geräten im Vakuum dafür zu sorgen, dass sie es auch bleiben
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Super! Um ältere Geräte im Betrieb NIS2-konform zu nutzen, musst du ein strukturiertes Sicherheits- und Risikomanagement aufsetzen, das den fortgesetzten Einsatz dieser Geräte rechtfertigt und absichert.
Hier ist eine praxisnahe Anleitung in 6 Schritten, wie du ältere Geräte dokumentierst und absicherst:

✅ 1. Inventarisierung & Klassifizierung

  • Erstelle ein vollständiges IT-/OT-Inventar (Asset Management), inkl.:
    • Gerätebezeichnung, Typ, Standort, Verantwortlicher
    • Alter, Firmware/Softwarestand, Support-Status
    • Rolle im Betrieb (kritisch / unkritisch)
  • Kennzeichne Altgeräte, bei denen:
    • Der Hersteller keinen Support mehr bietet
    • Keine Sicherheitsupdates mehr kommen
📋 Tipp: Nutze Tools wie IT-Asset-Management-Systeme oder Tabellen, z. B. in Excel oder CMDB.

✅ 2. Risikoanalyse pro Altgerät

  • Bewerte das Sicherheitsrisiko jedes Altgeräts:
    • Angriffsfläche (z. B. Netzwerkzugang, Internetverbindung?)
    • mögliche Auswirkungen bei Kompromittierung (z. B. Produktionsstillstand, Datenverlust)
  • Nutze gängige Methoden wie:
    • CVSS (Common Vulnerability Scoring System)
    • Risiko-Matrix (Eintrittswahrscheinlichkeit × Schadenshöhe)
🧠 Alte Geräte ohne Patches = hohes Risiko → muss begründet oder kompensiert werden.

✅ 3. Kompensationsmaßnahmen implementieren

Wenn ein Austausch (noch) nicht möglich ist:
  • Segmentiere das Netzwerk: Altgeräte nur in isolierten Zonen (z. B. VLAN, OT-DMZ)
  • Firewall-/Zugriffsbeschränkung: Nur definierter Verkehr erlaubt
  • Monitoring & Logging aktivieren: Auffälliges Verhalten erkennen
  • System-Hardening: Unnötige Dienste deaktivieren, USB sperren, sichere Konfiguration
  • Kein Internetzugang für Altgeräte ohne Patches
🔐 Ziel: Risiken technisch und organisatorisch kontrollieren.

✅ 4. Patch-/Updatepolitik dokumentieren

  • Erkläre, warum das Gerät nicht aktualisiert werden kann
  • Führe auf, welche alternativen Schutzmaßnahmen greifen
  • Halte fest, wann und wie das Gerät ersetzt werden soll (Migrationsplan)
📄 Diese Dokumentation ist bei NIS2-Audits essenziell.

✅ 5. Zuständigkeit & Verantwortlichkeit zuweisen

  • Wer ist für das Altgerät verantwortlich?
  • Wer überprüft regelmäßig dessen Sicherheitsstatus?
  • Wer entscheidet über das End-of-Life?
👤 NIS2 fordert klare Verantwortlichkeiten (Security Governance).

✅ 6. Regelmäßige Neubewertung & Reporting

  • Überprüfe alle 6–12 Monate, ob das Gerät:
    • Noch gebraucht wird
    • Inzwischen ersetzt werden kann
    • Neue Risiken bekannt sind
  • Erstelle einen internen Bericht für CISO oder Geschäftsführung
📈 Kontinuität ist entscheidend – ein einmaliges Assessment reicht nicht.

Bonus: Beispiel-Dokumentationsausschnitt (vereinfacht)​

GerätFunktionSupportendeRisikoMaßnahmeNächste Prüfung
SPS S7-300Produktion2018HochVLAN, Firewall, LoggingSep 2025
Win7-TerminalVisualisierung2020MittelUSB gesperrt, offlineDez 2025
 
Zuviel Werbung?
-> Hier kostenlos registrieren
DCDCDC schrieb:
Fast täglich gibts irgendwelche Meldungen zu Ransomware Attacken..
Zum Vergrößern anklicken....
-Welche S5/S7 wurde da infiziert?
-Warum meinen viele, all ihre Anlagen müssen ins Firmennetz samt Internetzugang.

Vielleicht sollte man da mal ansetzen aber da wären wir wieder beim gesunden Menschenverstand.

Aber nein, ohne gesetzliche Regulierung geht es bei uns ja nicht.

-ich soll eine S5 gegen eine 1500'er mit Ethernetport ersetzen weil das sicherer ist 😂
 
Ich wollte mir nur mal Gedanke über Updates für die S7 Steuerungen machen, und jetzt "soll" ich ca 20 S5 Steuerung, die früher im H1 Netz waren und jetzt Ethernet, gegen neue Hardware tauschen!? 👻
Das wäre schon eine leichte Katastrophe. Da muss ich mal unsere IT Jungs ansetzten :ROFLMAO:
 
Zuviel Werbung?
-> Hier kostenlos registrieren
War von mir auch nicht ganz ernst gemeint, das ist ja fast wie...... ihr müsste alle E-Autos fahren um die Welt zu retten 🙃

Aber, IT Sicherheit ist ein Riesen Thema und wird immer komplizierter, gerade im Umgang mit der Handhabung.

Auch die neueren Modelle haben so ihr "Fehler"

www.enlyze.com

Siemens S7-1200 / S7-1500 vulnerability CVE-2022-38465

I will translate a
www.enlyze.com www.enlyze.com
 
DeltaMikeAir schrieb:
Ich würde noch empfehlen, nie sofort ein Update/Firmware für irgendwas ( z.B. TIA ) bei frischer Verfügbarkeit zu installieren sondern wenigstens 3, eher 6 Monate zu warten. Hat sich schon oft gelohnt ( Stichwort Hotfix, zurückgezogene Software, zurückgezogene Firmware.... ).
Zum Vergrößern anklicken....
Das ist dieselbe Logik wie, dass man nur noch Sonderangebote kaufen sollte. Funktioniert nur, solange sich nur wenige daran halten.
Es liegt wohl auf der Hand, dass die Systeme längst so komplex geworden sind, dass es unmöglich ist alle Fälle in allen Kombinationen zu testen.

DeltaMikeAir schrieb:
-Welche S5/S7 wurde da infiziert?
-Warum meinen viele, all ihre Anlagen müssen ins Firmennetz samt Internetzugang.

Vielleicht sollte man da mal ansetzen aber da wären wir wieder beim gesunden Menschenverstand.

Aber nein, ohne gesetzliche Regulierung geht es bei uns ja nicht.

-ich soll eine S5 gegen eine 1500'er mit Ethernetport ersetzen weil das sicherer ist 😂
Zum Vergrößern anklicken....

Du bist halt der Beste und Schlaueste, was soll man da noch entgegnen.

Anlagen müssen ins Firmennetz, um die Effizienz der Abläufe zu steigern, ohne die man in Deutschland schon lange nicht mehr wettbewerbsfähig wäre. Und das wäre auch kein Problem, gäbe es nicht solche Betonköpfe, die glauben in 2025 sollten noch Leute mit Notizzetteln durch die Hallen rennen und die Daten der einzelnen Produktionsanlage notieren, um es anschließend in Excel einzutippen, zur Auswertung.
Und dass man die Brandmauer nur im Bundestag braucht, aber nicht in der IT.

So Dinge wie vorbeugende Instandhaltung, Maschinendiagnose, Schäden erkennen bevor sie zum Ausfall führen... das geht ohnehin nur mit KI in der Cloud. Kein lokaler Rechner hat die Leistung und vor allem nicht die Daten, um das zu leisten.

Aber lass deine S5 ruhig drin. Die Chinesen freuen sich, je weiter zurück wir Deutschen fallen ;)
 
Also ich würd mal behaupten, dass durch das ganze Sicherheitsgedödel, vergessene Passworte, ausgelaufene Zertifikate, verstellte Uhrzeiten, schief gegangene Updates... mehr Anlagenstillstände auftreten als durch Hackerangriffe.
Was jetzt nicht heisst, dass man jedes Wasserwerk offen ins Internet hängen sollte.

Gesunder Menschenverstand anstatt voreilender Gehorsam würde dem Land an vielen Stellen guttun.

Demnächst müssen wir auch alle Autos nach 5 Jahren verschrotten, wenn der Hersteller keine automatischen Onlineupdates mehr liefert. Könnte ja die Oma mit dem Enkel die Katze vom Nachbarn...

Kranke Welt überall 🤷
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
DCDCDC schrieb:
Cra gilt für die Herstellerseite, dort ist vorgeschrieben dass für Produkte mindestens fünf Jahre Sicherheitsupdates bereitgestellt werden müssen
Zum Vergrößern anklicken....
Was auch voll sinnvoll für Industrieanlagen ist, welche mind. 20 Jahre laufen.... 🤮

Deutschland macht sich damit nicht wettbewerbsfähig sondern sichert nur den Status quo, dass jetzt eben alle 5 Jahre alle SPSn ausgetauscht werden. Das hat mit Innovation nichts zu tun sondern damit, alte Pfründe am leben zu erhalten. Ja Lobbyarbeit halt 🤷

Und die neuen Industriebetriebe siedeln sich sowieso wo anders ohne die Regularien an.
 
xMisterDx schrieb:
Anlagen müssen ins Firmennetz, um die Effizienz der Abläufe zu steigern, ohne die man in Deutschland schon lange nicht mehr wettbewerbsfähig wäre. Und das wäre auch kein Problem, gäbe es nicht solche Betonköpfe, die glauben in 2025 sollten noch Leute mit Notizzetteln durch die Hallen rennen und die Daten der einzelnen Produktionsanlage notieren, um es anschließend in Excel einzutippen, zur Auswertung.
Und dass man die Brandmauer nur im Bundestag braucht, aber nicht in der IT.
Zum Vergrößern anklicken....
Es gibt sicher Anwendungsfälle in denen es sinnvoll ist, Anlagen ins Firmennetzwerk zu integrieren, aber auch genauso viele wo es keinen Sinn macht.
Meiner Meinung nach, sollte dann auch das Firmennetzwerk so eingerichtet werden, dass kein Zugriff von außen auf die SPS notwendig ist. Nicht aus jeder SPS eine Sicherheitsfestung machen die sich 24h am Tag gegen alle Hackerangriffe wehren kann. Andere Alternative wäre eine separate Baureihe die all diese Sicherheitsfunktionen integriert hat. Dann könnte die "unsichere" SPS vielleicht auch ein paar Euro´s günstiger sein.
Es ist mir eh unverständlich, warum jedes Programm oder Tool immer meint alles erschlagen zu müssen und sich nicht auf seine Kernaufgabe beschränkt. Als Beispiel WORD, ich bin mir sicher 90% der Anwender könnten noch mit Word 2.0 arbeiten um ihre Aufgaben zu erledigen.
 
ducati schrieb:
Gesunder Menschenverstand anstatt voreilender Gehorsam würde dem Land an vielen Stellen guttun.
Zum Vergrößern anklicken....
👍
Vielleicht tut sich ja mit der neuen Regierung etwas. Die von mir erwähnte und erst vor ein paar Jahren eingeführte Bonpflicht steht angeblich komplett auf der Kippe.

ducati schrieb:
Deutschland macht sich damit nicht wettbewerbsfähig sondern sichert nur den Status quo
Zum Vergrößern anklicken....
Mit diesem eingeschränkten Denken von manchen sicherlich ja. Und dieses "Alle Anlagen müssen ins Netz, immer die neuesten SW/FW und oje, wir sind ja im Netz, jetzt müssen wir handeln" haben entweder nicht sonderlich viel Erfahrung oder deren Anlagen laufen nicht >20j.

Oder es sind Leute, die dann wenn es anfängt schief zu laufen sowieso die Firma wechseln.

Egal, solche gibt's halt auch.

Erfahrenen Leuten ist schon klar, dass Infrastruktur, Wasser/Abwasser, Firmennetzwerke usw. abgesichert werden muss für Zugriffe von außen aber nicht alles und jeder. Bei anderen Anlagen sollte man sich vielleicht mal bevor man da viel Zeit und Material zum absichern verbrät mal grundsätzlich überlegen ob die am Netz hängen müssen.

Gewinner des ganzen Spiel werden wieder irgendwelche "Berater" sein die jetzt wie die Pilze aus dem Boden schießen und für viel Geld Empfehlungen aussprechen ( natürlich unter Ausschluss jeglicher Haftung )

😂
 
Zuletzt bearbeitet:

Similar threads

D
TIA [SIOS] Automation Tool
Antworten
0
Aufrufe
383
DCDCDC
D
DeltaMikeAir
TIA SIMATIC NET PC Software V20 verfügbar
Antworten
1
Aufrufe
1K
DeltaMikeAir
DeltaMikeAir
S
TIA Umstieg von 15.1 auf 19
Antworten
9
Aufrufe
1K
DCDCDC
D
S
TIA 1500er CPU mit verschiedenen TIA Versionen Probleme CPU im Stop
Antworten
3
Aufrufe
973
spqr76
S
Betriebselektriker28
Notebook auf Windows 11 umstellen-was läuft noch problemlos?
Antworten
15
Aufrufe
6K
Betriebselektriker28
Betriebselektriker28
Zurück
Oben