TIA Interessanter Hinweis von Siemens zur TIA V14 SP1

DeltaMikeAir

DeltaMikeAir

User des Jahres 2018; 2023
Power-User
Beiträge
22.204
Reaktionspunkte
7.381
Zuviel Werbung?
-> Hier kostenlos registrieren
Hier ein interessanter Hinweis von Siemens zur TIA V14 SP1:

Die Altversion unterliegt nicht den üblichen Tests und Qualitätsprüfungen eines aktuellen und kostenpflichtigen Produkts, kann Funktions- und Leistungsmängel sowie Security Lücken enthalten und mit Fehlern behaftet sein. Sie sind verpflichtet, die Nutzung so zu gestalten, dass eventuelle Fehlfunktionen nicht zu Sachschäden oder der Verletzung von Personen führen. Die Altversion ist für den produktiven Einsatz nicht mehr freigegeben. Ein produktiver Einsatz erfolgt in Ihrer alleinigen Verantwortung.
Zum Vergrößern anklicken....

Quelle: SIMATIC STEP 7 inkl. PLCSIM V14 SP1 TRIAL Download

1667373127290.png
 
Ja, super.

Und was heißt das jetzt für bestehende Anlagen mit TIA <= V14 SP1?
Müssen diese hochgerüstet werden?

Ist S5 bzw. S7-classic auch nicht mehr freigegeben?
Ich meine, dass der Support nach und nach eingestellt wird, es keine Teile mehr gibt usw. usw. ist ja nachvollziehbar. Aber, dass die Freigabe entzogen wird? Starkes Stück!
 
Das ist einfach nur ein CYA (Cover Your Ass).
Wenn in diesen Versionen eine Sicherheitslücke oder sonstiges gefunden wird, gibt es von Siemens keine Updates mehr.

Im Zweifel würde ich die alten Versionen in einer VM betreiben und diese nicht ins Internet lassen.
Dann ist die Gefahr ziemlich minimiert.
 
DeltaMikeAir schrieb:
Bei TIA V13 SP2 gibt es den gleichen Hinweis:
Quelle

@ducati, @vollmi für euch ist das Thema sicherlich auch interessant.
Zum Vergrößern anklicken....
Das ist ja vor allem Lustig bei Anlagen die noch die Classic Comfortpanel eingesetzt haben. Die kann ich ja gar nicht auf was größeres als V14 updaten ohne die Panel zu extrahieren. Nichtsdestotrotz, Die Software wurde zu ihrem Aktuellen Zeitpunkt geprüft und war sicher, solange Siemens an der Software nichts geändert hat, sehe ich nicht, wieso diese nochmal getestet werden sollte.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
vollmi schrieb:
Das ist ja vor allem Lustig bei Anlagen die noch die Classic Comfortpanel eingesetzt haben. Die kann ich ja gar nicht auf was größeres als V14 updaten ohne die Panel zu extrahieren. Nichtsdestotrotz, Die Software wurde zu ihrem Aktuellen Zeitpunkt geprüft und war sicher, solange Siemens an der Software nichts geändert hat, sehe ich nicht, wieso diese nochmal getestet werden sollte.
Zum Vergrößern anklicken....
Sehe ich genauso. Und man soll man die Kirche im Dorf belassen. Viele Steuerungen laufen autonom dh. sind nicht von remote erreichbar.
Und es wird ja seit Jahren empfohlen die Tia Versionen in VM laufen zu lassen und ich glaube die Mehrheit macht das inzwischen.
 
Windoze schrieb:
Das ist einfach nur ein CYA (Cover Your Ass).
Wenn in diesen Versionen eine Sicherheitslücke oder sonstiges gefunden wird, gibt es von Siemens keine Updates mehr.
Zum Vergrößern anklicken....

Genauso wird es sein.
Siemens macht hier nix anderes als viele andere auch.

Bei den ganzen Security-Kaspern, die heute in den IT-Abteilungen sitzen, ist es auch nicht zu verdenken.
Da wird irgendein abstruses CVE veröffentlicht und schon rennen sie umher und scheuchen alle auf ... Ohne auch nur die geringste Ahnung von Steuerungen und HMI's zu haben.
Es gab schon die Drohung der IT alle Produktionsnetzwerke abzuschalten, da unsere S7-CPs nicht die aktuelle Firmware haben.
Bei den ganzen Abhängigkeiten, die heute in Entwicklungs- und Runtime-Software vorhanden sind, ist selbst ein Hersteller wie Siemens gar nicht mehr in der Lage die komplette Kontrolle über die eingesetzten Bibliotheken und Module zu haben.
 
Blockmove schrieb:
Da wird irgendein abstruses CVE veröffentlicht und schon rennen sie umher und scheuchen alle auf ... Ohne auch nur die geringste Ahnung von Steuerungen und HMI's zu haben.
Zum Vergrößern anklicken....
Das ist auch meine Vermutung, dass demnächst einige Kunden anrufen diesbezüglich. Wenn die IT-Abteilungen das lesen dann wird es sicherlich ganz schnell Thema....
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich persönlich arbeite mehr und mehr nach meinem gesundem Menschenverstand, und so, dass ich persönlich für mich ein gutes Gewissen habe. Und da habe ich erstmal kein Problem damit, wenn irgendwo Anlagen ordentlich mit TIA V13 laufen. Warum auch, die machen erstmal nichts anderes, als bei der IBN.
Wenn die jetzt jemand ins Internet hängt und dann Sicherheitslücken nicht mehr gepatcht werden, dann sollte da eher irgendjemand anderes nen Problem mit seinem gesunden Menschenverstand oder auch mit seinem Gewissen haben.

Ne Anlage blauäugig von einer TIA Version auf ne andere hochzurüsten ohne ALLES nochmal ordentlich zu testen ist meiner Meinung nach viel fahrlässiger. Gibts ja genug Beispiele, was in den Versionen im Verhälten geändert wurde.

Bei S7-1200 oder den ersten S7-1500 müsstest Du ja auch noch die Hardware mit austauschen, da es die neue Firmware garnicht für Altgeräte gibt.

Also wie auch immer, Siemens will da einfach jegliche Verantwortung für was auch immer passieren sollte mal von vorn herein jemand anderem zuschieben. So wie das überall nurnoch gang und gebe ist... 🤮

Hut ab vor den motivierten Instandhaltern, die gegen alle Windmühlen ihre Anlagen wirklich noch am Leben erhalten wollen.
 
MFreiberger schrieb:
Ja, super.

Und was heißt das jetzt für bestehende Anlagen mit TIA <= V14 SP1?
Müssen diese hochgerüstet werden?

Ist S5 bzw. S7-classic auch nicht mehr freigegeben?
Ich meine, dass der Support nach und nach eingestellt wird, es keine Teile mehr gibt usw. usw. ist ja nachvollziehbar. Aber, dass die Freigabe entzogen wird? Starkes Stück!
Zum Vergrößern anklicken....
ja, demnächst wird Dir auch verboten, mit nem Auto was älter als 5 Jahre ist, noch zu fahren...
 
ducati schrieb:
Wenn die jetzt jemand ins Internet hängt und dann Sicherheitslücken nicht mehr gepatcht werden, dann sollte da eher irgendjemand anderes nen Problem mit seinem gesunden Menschenverstand oder auch mit seinem Gewissen haben.
Zum Vergrößern anklicken....
Vom BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt es seit vielen, vielen Jahren wirkliche gute Empfehlungen (Automatisierungspyramide, Netzwerksegmentierung und Netzwerkzonierung, ...). Und wo ist es konsequent umgesetzt?
Spätestens seit I4.0 ist das Chaos perfekt. Da hängt jeder Dreck am Netz meist ohne Passwort oder mit Defaultpasswort.
Dafür erzählt mir dann irgendein Network-Security-Manager, dass die Kommunikation zu meiner 15 Jahre alten über S7-Protokoll nicht sicher ist. Toll, das war sie noch nie. Darum gibt es ja Hardwarefirewalls mit einem entsprechenden Regelwerk ... Müsste man halt einrichten und pflegen.
Manchmal ist es zum 🤮
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Blockmove schrieb:
Da hängt jeder Dreck am Netz meist ohne Passwort oder mit Defaultpasswort.
Zum Vergrößern anklicken....
von Passworten in der Automatisierungsbranche halte ich nicht viel, auser vielleicht "1234", damit die Putzfrau nicht aus versehen mit dem Lappen auf dem Panel Schalthandlungen auslöst.
Die Passworte kennt wenns drauf ankommt niemand mehr! Da wird ja selbst das aktuelle Softwareprojekt nicht gefunden...

Also wenns "sicher" sein muss, dann garnicht mit nem Netz verbinden, oder im Notfall per VPN-Router.
 
MFreiberger schrieb:
Und was heißt das jetzt für bestehende Anlagen mit TIA <= V14 SP1?
Müssen diese hochgerüstet werden?
Zum Vergrößern anklicken....
da schreibt das BSI auch etwas drüber, kann man sich ja u.U. mal drauf berufen:


Umgang mit "End of Support" in industriellen Steuerungs- und Automatisierungssystemen:
Zum Vergrößern anklicken....
Das BSI schätzt die Nutzung von EoS-Systemen als sehr kritisch ein. Für ältere Schwachstellen ist häufg Exploitcode oder Schadsoftware öffentlich verfügbar. Dies erleichtert auch weniger versierten Angreifern EoS-Systeme zu kompromittieren. Wenn sich der Weiterbetrieb solcher Systeme nicht vermeiden lässt, müssen zusätzliche Schutzmaßnahmen ergriffen werden. Ein Tausch gegen neuere Systeme muss geplant und vorgenommen werden.
Zum Vergrößern anklicken....
Systeme mit direkter Erreichbarkeit aus dem Internet müssen besonders beachtet werden. Die-se können oft leicht über Suchmaschinen gefunden werden. Ein sicherer Weiterbetrieb solcher Systeme ist nach dem EoS so gut wie ausgeschlossen.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Die Altversion unterliegt nicht den üblichen Tests und Qualitätsprüfungen eines aktuellen und kostenpflichtigen Produkts, kann Funktions- und Leistungsmängel sowie Security Lücken enthalten und mit Fehlern behaftet sein.
Zum Vergrößern anklicken....
Also war jede neue TIA-Version so lange fehlerfrei, wie es noch keine Nachfolge-Version gab ?

Sie sind verpflichtet, die Nutzung so zu gestalten, dass eventuelle Fehlfunktionen nicht zu Sachschäden oder der Verletzung von Personen führen.
Zum Vergrößern anklicken....
Bei einer aktuellen Version brauch ich darauf nicht zu achten ?

Ein produktiver Einsatz erfolgt in Ihrer alleinigen Verantwortung.
Zum Vergrößern anklicken....
Bei einer aktuellen Version übernimmt Siemens mit Verantwortung dafür, was man so zusammenprogrammiert ?

Ein Tausch gegen neuere Systeme muss geplant und vorgenommen werden.......Ein sicherer Weiterbetrieb solcher Systeme ist nach dem EoS so gut wie ausgeschlossen.
Zum Vergrößern anklicken....
Blöd nur, wenn die Lieferzeit des neuen Systems länger ist als der Lebenszyklus der eingesetzten (TIA)-Version. Was empfiehlt das BSI dann ?
Kriegt man die ganzen Fachkräfte, die alle anderthalb Jahre die Anlagen umrüsten, auch vom BSI ?
Wird noch nicht genug Elektronik-Schrott produziert ?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Gleichstromer schrieb:
Blöd nur, wenn die Lieferzeit des neuen Systems länger ist als der Lebenszyklus der eingesetzten (TIA)-Version. Was empfiehlt das BSI dann ?
Kriegt man die ganzen Fachkräfte, die alle anderthalb Jahre die Anlagen umrüsten, auch vom BSI ?
Wird noch nicht genug Elektronik-Schrott produziert ?
Zum Vergrößern anklicken....
Das BSI-Zitat bezieht sich nur auf Systeme mit direkter Erreichbarkeit aus dem Internet:
Systeme mit direkter Erreichbarkeit aus dem Internet müssen besonders beachtet werden. Diese können oft leicht über Suchmaschinen gefunden werden. Ein sicherer Weiterbetrieb solcher Systeme ist nach dem EoS so gut wie ausgeschlossen.
Zum Vergrößern anklicken....
Wenn man die Empfehlungen des BSI für "End of Support" Geräte (Kapilel 3) auch gleich bei Neuanlagen berücksichtigt (wie ich das mache, wenns nach mir geht), muss man bei Ende des Lebenszyklus garnichts machen. So war mein Beitrag eigentlich gedacht ;)
 
Zuletzt bearbeitet:
Wir wurden von Siemens erzählt: für Software werden nur die 2 Versionen vor die aktuellste unterstützt.
D.h., weil TIA V17 die aktuellste ist, werden V15 (und V15.1) und V16 unterstützt.
Wenn V18 bald freigegeben wird, entfällt die Unterstützung von V15 und V15.1.

Bei Hardware wird generell unterstützt bis auslauferkündigung, und dann noch 10 Jahren als Ersatzteil.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
naja irgendwie nicht wirklich...
6ES7515-2AM00-0AB0 Lieferfreigabe 2014, Produktstreichung 2016, letztes Firmwareupdate 2016 (1.8.5)... also Bugs (ob jetzt sicherheitsrelavant oder nicht) wurden nur 2 Jahre lang beseitigt...
Zum Vergrößern anklicken....
Firmware ist ja software. Und die 6ES7515-2AM00-0AB0 ist noch als Ersatzteil zu haben.

Die Siemens Leute hat uns auch gesagt dass die 10 Jahren Ersatzteil-Lieferbarkeit wird schwieriger und schwieriger einzuhalten.
Die Elektronikteile haben eine kurzere Lieferbarkeit von die Hersteller als in den Vergangenheit, und wegen die Komplexität kann man nicht so einfach einen Alternativ Teil verwenden.
Sie haben es angedeutet dass die 10 Jahren auf den man angewöhnt ist vielleicht nicht eingehalten werden kann.
 
Zuletzt bearbeitet:
JesperMP schrieb:
Firmware ist ja software. Und die 6ES7515-2AM00-0AB0 ist noch als Ersatzteil zu haben.

Die Siemens Leute hat uns auch gesagt dass die 10 Jahren Ersatzteil-Lieferbarkeit wird schwieriger und schwieriger einzuhalten.
Die Elektronikteile haben eine kurzere Lieferbarkeit von die Hersteller als in den Vergangenheit, und wegen die Komplexität kann man nicht so einfach einen Alternativ Teil verwenden.
Sie haben es angedeutet dass die 10 Jahren auf den man angewöhnt ist vielleicht nicht eingehalten werden kann.
Zum Vergrößern anklicken....
Jesper, hier in dem Beitrag gehts darum, dass Altversion laut Siemens nicht mehr für den Produktiveinsatz freigegeben sind. Und Hochrüsten heisst bei 1200ern oder den alten 1500ern eben Hardware austauschen, wenn manns wörtlich nehmen würde.
Dass aktuell keine neuen CPUn lieferbar sind, ist das nächste Thema...
 
Zurück
Oben