Sonstiges Sicherheitsrückblick Kaspersky 2016 / 2017

DeltaMikeAir

DeltaMikeAir

User des Jahres 2018; 2023
Power-User
User des Jahres
Beiträge
26.055
Reaktionspunkte
9.763
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

Kaspersky hat ein interessantes PDF zum Thema Sicherheit herausgebracht.
Es wird auch kurz die S7-1200 angesprochen.

Was mich wirklich erschüttert hat, ist dass immer mehr Krankenhäuser angegriffen werden,
da diese erpressbarer sind ( OP nicht durchführbar da Daten verschlüsselt wurden..... )

https://www.google.de/url?sa=t&rct=...17.pdf&usg=AFQjCNESyXoD_-0uvc1DvW0q2FQxLIt2cQ


Mit Grüßen
 
Es ist bescheiden so etwas zu lesen.
Aber ich habe da eine andere Ansicht.
Die Fehler sind doch schon die Grundlagen.
Ich schliesse mein Haus ab und lasse nur Leute herein, die ich kenne oder mag.
Warum in Gottesnamen muss alles an das Netz angeschlossen sein?
Muss wirklich jede Steuerung am Netz hängen?
Die Vernetzung macht angeblich alles einfacher, aber macht es das wirklich?
Muss jede PLC am Netz hängen nur weil die es kann?

Und man muss wirklich über die Systeme nachdenken.
Wie konnte ohne Internet die Welt existieren?


bike
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Naja,
natürlich hat eine Welt ohne Internet usw. funktioniert. Die Vernetzung bringt außer den genannten Nachteilen
aber auch viele Vorteile. Z.B. Fernwartung. Ist früher eine Anlage in z.B. Ungarn gestanden und die haben es vor
Ort nicht hinbekommen, so musste ich Freitag Nachmittag ins Auto steigen und runter fahren. Heute logge ich mich
per Fernwartung ein und finde das Problem relativ schnell.

Ich denke dass Problem liegt daran, dass sich viele beim einrichten zu wenig Gedanken machen. Es gibt Firmen,
die eine Fernwartung eingerichtet waren und nach viel klickerei irgendwann froh waren, dass irgendwie man auf die Steuerung kommt.
Wie sicher das ganze ist, können viele gar nicht abschätzen.

Wir handeln es trotz eingerichteter Sicherheit so, dass der Netzwerkzugang immer abgesteckt wird und nur bei Fernwartungsbedarf kurz
eingesteckt wird.

Mit Grüßen
 
Ich denke nicht (nur) an Fernwartung.
Die Möglichkeit mal von Deutschland in China einen Fehler beheben, hat nach meiner Meinung auch bewirkt, dass man vor Ort nicht alles genau und richtig austestet. Es bewegt sich was, also heim. Und wenn etwas schief läuft, dann mal eben online herumbasteln.
Aber das Problem liegt ja tiefer.
Nahezu alles für die tägliche Vorsorge hängt am Netz.
Und wenn dann Systeme verwendet werden, die so einfach angegriffen werden können, dann läuft etwas schief.
Dieses Sch...Win$ hat die Hirne von vielen versaut.
Die denken mein Powerpoint kann das, also müssen auch die Anlagen und Maschinen das können.

Der größte Fehler war, nach meiner Meinung, als das öffentliche Netz mit dem Wissenschaftsnetz zusammen geschaltet wurde.
Dadurch gab es keine Möglichkeit mehr Netze Hardwaremäßig zu schützen.

Ein durchgeknallter Bastler kann mehr als eine Million Router stören?
Und die selben Router sind auch in der Industrie und der täglichen Vorsorge verbaut.


bike
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ein durchgeknallter Bastler kann mehr als eine Million Router stören?
Und die selben Router sind auch in der Industrie und der täglichen Vorsorge verbaut.
Zum Vergrößern anklicken....

Ja, kann man ab und an mal in der Zeitung lesen. Interessant dabei ist, dass es manchmal einzelne
"Bastler" sind, die dies aus langeweile oder zu ihrer Freude machen. Wenn man also eine Arbeitsgruppe
mit entsprechenden Spezialisten gründet, kann man sich ja ausrechnen, wie tief so eine Strörung gehen
kann, wie lange sie anhält bis man eine Gegenmaßnahme hat und wie sie verschleiert wird.

Mit Grüßen
 
Danke für die PDF. Wusste gar nicht, dass Kaspersky sowas veröffentlicht.
Jedoch schließe ich mich bike an. Der effektivste (und wahrscheinlich günstigste) ist
zur Zeit das abkoppeln von jeglichem Netz. Nur leider tun das die meisten Hersteller
erst nachdem es zu einem entsprechenden Vorfall kommt und noch schlimmer:
Sie möchten inzwischen alle Daten von zuhause aus in ihrer Cloud sehen können...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Es gibt gute Ansätze wie man das Problem angehen kann.
Ein absolites NoGo ist, dass man z.B. keine Updates bei den Win$ Rechnern mit PCS7 machen kann / darf, da sonst das "dolle" System nicht mehr funktioniert.
Schön und gut ist, dass langsam ein Bewusstsein für Sicherheit wächst.
Auch beginnt ein Umdenken wegen Wolke und so.
Auf der einen Seite Datenschutz, damit die Steuerhinterziehnung nicht gefunden wird, aber sonst die Daten in die Wolke wo keiner weiß wo die sind und was damit gemacht wird und wer die sehen kann.

bike
 
bike schrieb:
Ein absolites NoGo ist, dass man z.B. keine Updates bei den Win$ Rechnern mit PCS7 machen kann / darf, da sonst das "dolle" System nicht mehr funktioniert.
Zum Vergrößern anklicken....

Das Project Zero von Google zeigt, dass das updaten der Systeme nicht ausreichend ist.
Vielleicht muss die Industrie sich von gewöhnlichen Protokollen und Systemen lösen und was eigenes
auf die Beine stellen.
 
emalik schrieb:
Vielleicht muss die Industrie sich von gewöhnlichen Protokollen und Systemen lösen und was eigenes
auf die Beine stellen.
Zum Vergrößern anklicken....

das gab es ja schon vor 30 Jahren... aber irgendwann war dann "proprietär" uncool. Jeder muss jan an den "offenen" Systemen und Schnittstellen rumfummeln duerfen und koennen... und ausserdem ist so nen Buero-PC als Leitrechner deutlich billiger...
Gruss.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
emalik schrieb:
Das Project Zero von Google zeigt, dass das updaten der Systeme nicht ausreichend ist.
Vielleicht muss die Industrie sich von gewöhnlichen Protokollen und Systemen lösen und was eigenes
auf die Beine stellen.
Zum Vergrößern anklicken....

Das Thema Factory IT-Security ist zur Zeit einfach mal wieder eine weitere Sau die durchs Dorf getrieben wird.
Mit dem Thema Industrie 4.0 und der dafür notwendigen Vernetzung, kommen jetzt eben die die ganzen Security-Firmen und Berater aus den Löchern gekrochen und wittern fette Beute :p Es werden die reinsten Horrorszenarien aufgebaut.

Fakt ist jedoch, wenn ich einfach mal die Möglichkeiten der bestehenden Hardware und Netzwerk-Infrastruktur nutze, dann habe ich sicher schon mehr als 90% der Bedrohungen vom Eis.
Selbst ein billiger managed Switch bietet VLANs, Port-Filter und Accesslisten.
Erstellt man ein vernünftiges Zonenkonzept, dann brauche ich nur an den Übergangspunkten Firewalls.


Was ist also für Security erforderlich?
Eine enge Zusammenarbeit von SPSler und ITler und nicht - wie heute meist üblich - das gegenseitige Zuweisen von Aufgaben, Verantwortung und Schuld.
Denn eins ist nunmal klar: Solche Themen gehen nur gemeinsam zu lösen.

Gruß
Blockmove
 
Da muss ich widersprechen.
Natürlich wollen alle von dem Kuchen naschen.
Es geht ja auch nicht um Zuweisen von Aufgaben, denke ich.
Das wichtigste wäre / ist, dass die Problematik erkannt wird und dann eine Lösung gefunden wird.
Ich war bei einem Zulieferer für Autoteile im Erzgebirge.
Der hat eine gute automatische Produktion. Alles ist / war gut.
Jetzt will der mit seinem Smartfon aus der Kneipe auf seine Anlage zugreifen, um zu sehen, was wurde /wird produziert, läuft alles und möchte ggF, wenn ein Werkzeug verschlissen ist, die Produktion umstellen.
Wie soll solch einSystem sicher bleben?
Ich mache es nicht. Und meine Firma auch nicht und das ist auch gut so.

bike
 
bike schrieb:
Da muss ich widersprechen.
Natürlich wollen alle von dem Kuchen naschen.
Es geht ja auch nicht um Zuweisen von Aufgaben, denke ich.
Das wichtigste wäre / ist, dass die Problematik erkannt wird und dann eine Lösung gefunden wird.
Ich war bei einem Zulieferer für Autoteile im Erzgebirge.
Der hat eine gute automatische Produktion. Alles ist / war gut.
Jetzt will der mit seinem Smartfon aus der Kneipe auf seine Anlage zugreifen, um zu sehen, was wurde /wird produziert, läuft alles und möchte ggF, wenn ein Werkzeug verschlissen ist, die Produktion umstellen.
Wie soll solch einSystem sicher bleben?
Ich mache es nicht. Und meine Firma auch nicht und das ist auch gut so.

bike
Zum Vergrößern anklicken....

bike
wir sind im Jahr 2017.
Ich kann von der Kneipe aus Banküberweisungen tätigen, einen Kundendiensttermin fürs Auto vereinbaren und tausend andere Dinge online machen.
Nur einen simplen Produktionsauftrag an einer Fertigungseinrichtung soll ich nicht ändern können?

Ich kenn die Thematik dahinter nur zu gut.
Und du widersprichst mir im Prinzip nämlich gar nicht.
Die ganzen Themen sind eigentlich schon bekannt.
Aber was unterscheidet jetzt eine Online-Bankinglösung vom Online-Zugriff auf eine Fertigungseinrichtung?
Smartphone, Mobilfunkprovider, Netzwerk und Rechner sind es schon mal nicht.
Bleiben doch nur noch wir SPSler und unsere spezifischen Anforderungen.
Setzt man sich nun zusammen mit allen Beteiligten an einen Tisch mit dem Willen eine Lösung zu finden, dann ist dein Szenario nämlich gar nicht so dramatisch.
Nur eins ist klar:
Keiner bringt alleine hier eine vernünftige Lösung zustande.

Ich hab mich neulich (zum widerholten Male) mit Siemens gezofft.
Thema waren die Security-Einstellungen in den aktuellen 1500er CPs.
Was das Thema Security angeht, sind die Teile wirklich auf der Höhe der Zeit.
Nur wer soll den Setup machen?
Ein ITler fasst doch kein TIA an. 99% der SPSler sind aber mit den komplexen Einstellungen überfordert.
Also was fang ich dann mit den Einstellungen an?
Aussage von Siemens war: Die Einstellungen fordert der Markt.
Aussage von mir: Nein, der Markt fordert Fachleute für IT-Security und das sind nicht die SPSler.
Und somit sind die Einstellungen überflüssig.

Gruß
Blockmove
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Blockmove schrieb:
Aber was unterscheidet jetzt eine Online-Bankinglösung vom Online-Zugriff auf eine Fertigungseinrichtung?
Zum Vergrößern anklicken....

Der entscheidende Unterschied ist die Bereitschaft das System aktuell zu halten. Während die Banken eine Menge
Geld zahlen um ihre Sicherheitsmechanismen auf dem aktuellsten Stand zu halten, will der normale Kunde ein
System, dass er einmal in Betrieb nimmt und das 10 Jahre läuft. Aber ich gebe dir in der Hinsicht recht, dass
es theoretisch machbar ist. Wobei man wie Banken TAN Verfahren oder ähnliches verwenden müsste um eine
hohe Sicherheit zu gewährleiste, oder nicht?
 
emalik schrieb:
Wobei man wie Banken TAN Verfahren oder ähnliches verwenden müsste um eine
hohe Sicherheit zu gewährleiste, oder nicht?
Zum Vergrößern anklicken....

Wo liegt das Problemß
Ein Hardware-Token für einen User kostet keine 20€.
https://de.wikipedia.org/wiki/Security-Token

Die erforderliche Gateway kostet ab ca. 1500€ (ohne Einrichtung und Support)
Einrichtung ist normalerweise innerhalb ein paar Stunden erledigt.
So und jetzt kommt das Aber:
So einfach ist das leider nur bei klar definierten und strukturierten Netzwerken und Userrechten.
Und hier fehlt es in den allermeisten Firmen.
Stöpselt man im schlimmsten Fall nur alles einfach zusammen, dann müssen für jeden Rechner, jede Anlage und jede Maschine die Zugriffe in so einem Gateway definiert werden. Damit ist sowas nahezu nicht wartbar und adminstrierbar.
Das Umstellen eines großen Netzwerkes kann aber in der Praxis sich über Monate hinziehen und Unsummen verschlingen.

Gruß
Blockmove
 
Das Problem?
Ich denke das Problem ist, dass nur wenige sich Gedanken um das Problem machen.
Hardware-token?
Also in Dreiblinden werden solche Dinger verwendet. Jetzt kommt das aber:
Bei fast allen Updates des Systems gibt es damit Ärger.
Und wegen Bankgeschäfte in der Kneipe:
Ich würde es nicht machen, denn es ist ein leichtes da von extern mitzulesen.
Ich habe schon mal geschrieben, dass ich einem Nachbarn sein Smart home als unsmart vorgeführt habe.

Sicherheit ist mit dem Internet und TcIp einfach nicht gegeben und kann nur mit großem Aufwand sicher gemacht werden.
Arbeitsbeschaffungsmassnahme?
Und über unsere Ansichten wegen und zu Vernetzung.
Stimmt ich bin sehr vorsichtig und hinterfrage zunächst alles und ziehe es in Zweifel..
Wir hatten vor einigen Wochen mal so eine Diskussion bei uns über Vernetzung.
Da kam der Einwurf, dass H1 eigentlich die bessere Lösung gewesen sei.
es wurde vernetzt mit MAC Adressen und die sind nun mal eindeutig.
Warum der abgewürgt wurde ist schlicht und einfach: der Windoof Rechner kann das nicht.

Warum in Gottes namen muss alles sich auf solch einen Schrott stützen?
Wir waren froh und begeistert, als bei der 840DI ein Linux Kernel für Kommunikation und Visualisierung einsetzt werden sollte.
Aber es ist scheinbar so, dass das Win$ nicht aussenvor sein darf, schade.


bike
 
Zuviel Werbung?
-> Hier kostenlos registrieren
das Beispiel mit den Banken ist gut. Da passiert naemlich sehr viel Missbrauch. Nur ist der Schaden fuer die Banken immer noch billiger als die vielen eingesparten Mitarbeiter in den Filialen.
In der Industrie sieht das ganz anders aus. Da reicht ein geglueckter Angriff auf z.B. eine Chemieanlage um massiven Schaden fuer Mensch und Umwelt anzurichten...
Von wichtigen Anlagen der Infrastruktur garnicht zu reden.
Gruss.

PS: auch bei dem Bankenthema bin ich dagegen, das Bargeld komplett abzuschaffen. Ebenso wie ich dagegen bin, jede Industrieanlage ans Internet zu haengen. Gewisse Vorteile der Vernetzung kann man sicherlich in dem einen und anderen Fall nutzen. Aber eine komplette Abhängigkeit vom funktionierenden Internet sollte man wohl vermeiden!
 
Zuletzt bearbeitet:
bike schrieb:
Sicherheit ist mit dem Internet und TcIp einfach nicht gegeben und kann nur mit großem Aufwand sicher gemacht werden.

...

Wir hatten vor einigen Wochen mal so eine Diskussion bei uns über Vernetzung.
Da kam der Einwurf, dass H1 eigentlich die bessere Lösung gewesen sei.
es wurde vernetzt mit MAC Adressen und die sind nun mal eindeutig.
Zum Vergrößern anklicken....

bike, da muss ich nun mal schmunzeln :p
MAC-Adressen sind eindeutig ... Genau darum konnte man ja bei einer CP535 und CP143 genau diese in den Baugruppen-Einstellungen auch ändern.
H1-Kommunikation war genauso unsicher wie RFC1006 oder Modbus heute.
Es ist ganz selbstverständlich, dass ich natürlcih sehr genau betrachten muß, wie welche Daten wem zur Verfügung gestellt werden, aber die Auftragsdaten einer Montagelinie sind nun wirklich kein Thema.
Wieviele Daten werden heute von Kollegen von zu Hause bearbeitet? Wer greift nicht vom Hotel per WLAN oder LTE auf Firmendaten zu? Und mit dem Zugriff auf Anlagen stellen wir uns an wie die Jungfrau beim ersten mal :p

Gruß
Blockmove
 
Mit den MAC sind eindeutig, ist es aber nicht immer so.
Kollege hatte mal Probleme mit SEW Gateways in einen Schrank, in betrieb zu nehmen,
bis er Endeckt hatte, das Sie die gleiche MAC-Adress hatten.
 
Zuletzt bearbeitet:

Similar threads

M
Korrektur alphanumerische Anzeige an IFM PN3004
Antworten
10
Aufrufe
3K
MSommer
M
E
Biete - Sabo PLM730 I/O Module CAN / Netzteil 24 VDC 5A(Gebraucht)
Antworten
0
Aufrufe
3K
ersinkoese@gmail.com
E
S
Step 7 Neu-Inbetriebnahme PLC auf Sinumerik 840D sl NCU 730.3 PN
Antworten
5
Aufrufe
7K
sebastian-online
S
DeltaMikeAir
TIA TIA Portal DB Laden ohne reinitialisieren
2
Antworten
25
Aufrufe
14K
ducati
D
DeltaMikeAir
Profinet => LWL Gateway gesucht ( Festo CPX mit LWL auf Profinet RJ45 )
Antworten
0
Aufrufe
2K
DeltaMikeAir
DeltaMikeAir
Zurück
Oben