• Aktuell gibt es hier im Forum Spam von langjährigen Usern.

    Vermutlich wurden die Zugangsdaten dieser User irgendwo geleakt.

    Die Beiträge enthalten alle einen einen Link zu Schadsoftware. Bisher lassen sich diese Beiträge recht einfch erkennen. Sie sind in englisch und haben nichts mit dem Thema zu tun. Seid hier bitte sehr vorsichtig.

    1. Nicht auf solche Links klicken
    2. Bitte solche Dinge sofort melden (Button unten am Beitrag)
    3. Wenn jemand Private Nachrichten mit solchen Inhalten bekommt, bitte auch melden!

    Die betroffenn User haben wir gesperrt, Wenn du betroffen bist, dann melde dich gerne bei uns über das Kontaktformular. Wir setzen dann dein Passwort zurück und du kannst dir ein neues vergeben.

    Danke für eure Mithilfe!
    Markus

Sonstiges Anlagen Visualisierungsrechner in IT Domäne. MS Updates und Patches

Eleu

Well-known member
Beiträge
116
Reaktionspunkte
23
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,
bis dato waren unsere Anlagen - Visualisierungsrechner immer in separaten Netzwerken untergebracht und hatten bestenfalls über eine weitere NIC eine Verbindung mit unserer IT - Office Welt. Nun geht der Trend immer mehr in die Richtung, dass jeder Visualisierungsrechner nur noch eine NIC, unserer Domäne angeschlossen und des Weiteren automatisiert MS Updates und Patches erhalten soll.
Diese Vorgehensweise macht mir als Mitarbeiter im OT Bereich schon Kopfschmerzen, da man imho befürchten muss, dass wenn in einer Domäne seitens der IT Richtlinien verändert werden, sich diese dann nachteilig auf die Funktion des Visualisierungsrechners auswirken können? Gleiches gilt natürlich auch für MS Updates, Patches und Virenscanner Updates.
Nun haben wir immer wieder Diskussionen mit unserer IT und mein Eindruck ist der, dass von unserer IT Seite her, das als recht unproblematisch angesehen wird..
Worum es mir hier jetzt eigentlich geht ist, ob jemand von euch vielleicht eine Art White Paper, oder irgendetwas anderes schriftliches zu dieser Thematik kennt,
um unserer IT zu verdeutlichen, dass es da schon zu Schwierigkeiten kommen kann?
Bei Siemens habe ich nicht so wirklich was finden können.
Wir haben zum Beispiel Visualisierungsrechner auf denen WinCC RT Advanced läuft und wenn sich z.B. diese RT mal weghängt, oder der Visu. Rechener aufgrund einen Updates neu startet, steht die Produktionsanlage.
Gruß
Eleu
 
Zuviel Werbung?
-> Hier kostenlos registrieren
bei Siemens findet man das unter anderem in solchen FAQ's:

Aber wenn ne Produktionsanlage wegen ne Visu steht habt ihr meiner Meinung nach noch ein paar mehr problemchen zu lösen zuvor ;)
Es ist so gemeint, dass der Mitarbeiter an der Linie dann nichts mehr bedienen kann.
 
bei Siemens findet man das unter anderem in solchen FAQ's:

Aber wenn ne Produktionsanlage wegen ne Visu steht habt ihr meiner Meinung nach noch ein paar mehr problemchen zu lösen zuvor ;)

So ganz ungewöhnlich ist das ja nicht. Auf vielen Anlagen läuft die Kommunikation zur Datenbank über den Rechner. Aber für solche Fälle gibt es doch eine spezielle Windowsversion.

Mir persönlich gefällt das auch nicht und versuche es zu vermeiden.
 
Nun haben wir immer wieder Diskussionen mit unserer IT und mein Eindruck ist der, dass von unserer IT Seite her, das als recht unproblematisch angesehen wird..
Na, wenn die meinen, dass keine Probleme auftreten können, dann werden die sicherlich die eine oder andere Kleinigkeit, die trotzdem passieren könnte innerhalb von 30min in ihrer 24/7 Bereitschaft gelöst kriegen.

Also so würd ich argumentieren, alle Probleme die auftreten, müssen von der IT dann 24/7 in 30min gelöst werden. Und wenn die HMI/Scada-PCs in der Domäne hängen, dann ist auch die IT vollumfänglich für diese PCs verantwortlich!

Ich kann bei uns eigentlich alles relativ schnell lösen, ausser wenn die IT mit drinhängt, dann geht garnichts.
- keiner erreichbar
- keiner weiss was
- keine Zugangsdaten
- ständig wechselnde Leute
- IT krigt kein LTSC OS gebacken
- ... Chaos pur
 
Zuletzt bearbeitet:
Also so würd ich argumentieren, alle Probleme die auftreten, müssen von der IT dann 24/7 in 30min gelöst werden.
Diese Argumentation bringt nichts. Dann müssten wir die bis dato aufgetretenen Probleme, die durch unsere IT aufgetreten sind, auflisten. Das kann man nicht so ohne weiteres nachweisen, da wir ja die IT Systeme nicht administrieren. Wir hängen so oder so mit drin, ob wir nun wollen oder nicht...
 
eine Art White Paper, oder irgendetwas anderes schriftliches zu dieser Thematik kennt,
um unserer IT zu verdeutlichen, dass es da schon zu Schwierigkeiten kommen kann?
gibt ja die Installationshinweise zu der ganzen Siemenssoftware sowie das Compatool... Wenn die sich das mal durchlesen, habens ganz schnell keinen Bock mehr auf den Mist:


 
Zuviel Werbung?
-> Hier kostenlos registrieren
Diese Argumentation bringt nichts. Dann müssten wir die bis dato aufgetretenen Probleme, die durch unsere IT aufgetreten sind, auflisten. Das kann man nicht so ohne weiteres nachweisen, da wir ja die IT Systeme nicht administrieren. Wir hängen so oder so mit drin, ob wir nun wollen oder nicht...
musst Du doch nichts nachweisen. Wenn die ganzen PCs jetzt auf einmal der IT gehören sollen, müssen die auch den 24/7 Bereitschaftsdienst machen. Das könnt Ihr ja dann garnicht mehr selber.
Das sollen die halt einfach nur schriftlich bestätigen, dass die das dann übernehmen.

Ich hab aktuell ein Kundenprojekt, da sind mehrere HMI-PCs im IT-Werksnetz. Die haben regelmäßig Produktionsausfälle, weil nen HMI nen Neustart wegen Windowsupdate macht... Die sind da auch voll im Klinsch mit der IT. Nebenbei hatten die jetzt noch nen Malewarebefall der sich dann im ganzen Netz ausgebreitet hat...
 
Zuletzt bearbeitet:
musst Du doch nichts nachweisen. Wenn die ganzen PCs jetzt auf einmal der IT gehören sollen, müssen die auch den 24/7 Bereitschaftsdienst machen. Das könnt Ihr ja dann garnicht mehr selber.
Das sollen die halt einfach nur schriftlich bestätigen, dass die das dann übernehmen.
Naja ich sag es mal so: Ich bin gar nicht in der Position, solche Forderungen zu stellen. Man möchte vielleicht lediglich eine Stellungnahme meinerseits zu dieser Thematik und das war es dann auch schon... Im übrigen habe ich auch echt keinen Bock, mir mit solchen Diskussionen den Tag zu versauen. Verstehste?
 
und in eine solche Stellungnahme gehört dieser Punkt eben auch rein.
Wenn die IT möchte das die Visualisierungs PC von ihnen gemanaget werden so sind sie in der pflicht bei einem Anlagenstillstand eben Gewehr bei Fuss zu stehen um diese Systeme eben wieder ans laufen zu bekommen.

Ansonsten gilt :
Es gibt ein Office Netz und ein Maschinen Netz und eine klare Trennung dazwischen.
Das letzte was ich bei einer Anlage brauche ist ein Anbindung ans OfficeNetz.
Wie stellen sie sich das überhaupt vor wenn die Visu-PC im OfficeNetz alleine hängen, wie kommt die Visu an die Daten der Maschine?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Naja ich sag es mal so: Ich bin gar nicht in der Position, solche Forderungen zu stellen. Man möchte vielleicht lediglich eine Stellungnahme meinerseits zu dieser Thematik und das war es dann auch schon... Im übrigen habe ich auch echt keinen Bock, mir mit solchen Diskussionen den Tag zu versauen. Verstehste?
ja, irgendwann resigniert man einfach bei dem Thema, kann ich schon verstehen.

Am Ende werden einem jeden Tag neue Windmühlen in den Weg gestellt, und es wird immer schwieriger, jeden Tag seine Arbeit zu machen.
 
Wie stellen sie sich das überhaupt vor wenn die Visu-PC im OfficeNetz alleine hängen, wie kommt die Visu an die Daten der Maschine?
Die Steuerung und der Visu Rechner sind im selben Subnetz untergebracht. Die IT Welt routet rein...
Die Steuerung hat aber kein Gateway eingetragen. Nur der Visu Rechner
 
grad in der heutigen Zeit, wo immer mehr Cyberkriminalität umsich greift und die EDV-Technik allgemein lebensnotwendig für ein Unternehmen ist, sollte man die Netze strikt trennen und sich ordentliche Gedanken über die EDV-Securitythemen machen.
Wenn die HMI im Werksnetz hängen, können sich natürlich auch in beide Richtungen Schadprogramme verbreiten...

Also eigentlich ist das Gebot der Stunde: Netze TRENNEN! 🤷‍♂️
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Wir betreiben Rechner sowohl in der Domäne als auch nicht.

D. h. es gibt ein Netz der EDV und eines für die Steuerungen. Physikalisch getrennt. WinCC-Clients und Server sowie die Entwicklungsrechner sind auch in der Domäne.

Zusätzlich haben wir dann noch etliche Rechner die nur im SPS-Netz hängen. Zuverlässiger laufen die, die nur im Steuerungsnetz sind. Da die halt nur 1-2 mal im Jahr neu gestartet werden und ansonsten außer SCADA Änderungen nichts weiter verändert wird.

Einen Fall von Ausfall durch die IT gab es die letzten 15 Jahre nur 1x. Die waren immer kurzzeitig. Also so ca. 5 Minuten. Der Beweiß woran es lag hat aber fast ein 3/4-Jahr gedauert. Die Ausfälle waren sporadisch. Mal 1-2x in der Woche, dann wieder Wochen lang nichts.

Die IT ist 24/7 erreichbar. Was auch funktioniert. Man kennt die Leute persönlich. Sie arbeiten bei uns in der Firma.

Am wichtigsten für uns ist, dass die Geschäftsführung es ausdrücklich wünscht dass vom Büro/Home-Office aus auf SCADA Systeme zugegriffen wird.

Somit baue ich bei Virenbefall einfach Überstunden ab und komme wieder wenn alles geht. Gab es aber noch nicht.

Es hat auch Vorteile wenn die Rechner in der Domäne sind. Wir machen täglich Änderungen. Diese werden auf einem Netzlaufwerk gesichert. Backup macht die EDV. WinCC-Laden von einem Entwicklungsrechner ist auch sehr komfortabel. Vernünftiges DNS durch das AD ist auch etwas was ich ganz gut finde. Fernwartungszugang für irgendwelche Firmen ist auch ganz unkompliziert möglich.
 
Zuletzt bearbeitet:
Es ist wie immer, technisch ist alles umsetzbar, auch "sicher".
Es hakt dann meist nur bei den Worten "Dadd kostet halt XXXX Euro". :D

Dann kann man meist nurnoch die absolute Trennung vorschlagen, die kostet idR kein bis wenig Geld, bietet entsprechend auch wenig "Komfort".
 
D. h. es gibt ein Netz der EDV und eines für die Steuerungen. Physikalisch getrennt. WinCC-Clients und Server sowie die Entwicklungsrechner sind auch in der Domäne.

Zusätzlich haben wir dann noch etliche Rechner die nur im SPS-Netz hängen. Zuverlässiger laufen die, die nur im Steuerungsnetz sind. Da die halt nur 1-2 mal im Jahr neu gestartet werden und ansonsten außer SCADA Änderungen nichts weiter verändert wird.
Sind die Server mit einer separaten NIC mit dem SPS - Netz verbunden, oder routen diese rein? Wenn letzteres müssten die SPSèn ein Gateway eingetragen haben. Wenn ersteres, muss man mit der IT abstimmen, welche IP Adressen im SPS Netz verwendet werden, sonst könnte es zu Problemen kommen, wenn es zufällig einen Kommunikationsteilnehmer in der IT Welt gibt, der die gleiche IP Adresse hat, wie ein Teilnehmer im SPS - Netz.

Es hat auch Vorteile wenn die Rechner in der Domäne sind. Wir machen täglich Änderungen. Diese werden auf einem Netzlaufwerk gesichert. Backup macht die EDV. WinCC-Laden von einem Entwicklungsrechner ist auch sehr komfortabel. Vernünftiges DNS durch das AD ist auch etwas was ich ganz gut finde. Fernwartungszugang für irgendwelche Firmen ist auch ganz unkompliziert möglich.
Da beißt die Maus keinen Faden ab. Das alles ist sehr komfortabel. Man muss auch selber keine IP - Listen mehr pflegen, wenn DHCP zum Einsatz kommt und man hat neben einem sicheren Fernwartungszugang auch Schutz vor Virenbefall. Backup`s werden über das Netzwerk von der IT durchgeführt. Muss man sich also nicht mehr darum kümmern und an der Stelle hierfür auch keine Verantwortung mehr übernehmen. Problematisch wird es halt, wenn einer dieser Services mal nicht funktioniert, weil irgendeine IT-Fachabteilung was geändert hat. Dann steht man vor der Anlage und man fängt an zu suchen. Wir im OT Bereich mache da nun mal den first level support. Bis man dann irgendwann herausgefunden hat, dass es vielleicht ein fehlender IT - Service ist, vergeht Zeit. Das soll jetzt keine Schuldzuweisung sein, denn Fehler machen wir ja alle mal. Es sind halt zusätzliche Abhängigkeiten, die man nicht hätte, wenn man IT und OT strikt voneinander trennen würde.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Klare Schnittstellen für die Verantwortung und Störungsbehebung definieren.
IT nachweislich auf zu prüfende Versionsstände / Updatefähigkeit von SCADA Systemen hinweisen.
div. Bedenken schriftlich anmelden
. . . .


Wenn die das dann immer noch übernehmen wollen:
Entspannt zurücklehnen und abwarten was passiert
 
Wenn bei der "IT" fähige Leuten sitzen und diese vielleicht auch einen automatisierungstechnischen Hintergrund haben, kann man natürlich auch das Automatisierungsnetzwerk bei der IT ansiedeln... Nur in der Praxis ist das ganz oft eben nicht so...

Ich kann da genug Geschichten aus der Praxis erzählen... WinCC Server mit separatem Netzwerk für die SPSn über CP1613... jetzt bindet die IT ne weitere SPS über die interne LAN-Schnittstelle und Officenetz an, ohne auch dann ne SimaticNet-Softnet Lizenz zu installieren... Die wissen garnicht, was eine SimaticNet-Softnet-Lizenz ist...
 
Zurück
Oben