Sonstiges Simatic Firmware Updates - nur bei Fehlern oder Sicherheitsrelevant?

Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
Wer übernimmt dann die Verantwortung, wenn die SPS nach dem "Hochrüsten" im Detail was anders macht?

und wie rüstet Ihr das im laufenden Betrieb hoch?
Zum Vergrößern anklicken....
Ganz Grundsätzlich liegt die Verantwortung bei uns als Auftraggeber, da stehlen wir uns nicht raus. Natürlich gibt es zum patchen eine Richtlinie. Der Workaround ist recht einfach gehalten, Hochziehen und dann testen. Treten Fehler auf, geht es zurück auf den alten Stand, funktioniert die Anlage, darf sie weiter laufen. Das eine SPS im Detail was anderes macht ist in den letzten Jahren auch nicht vorgekommen, jedenfalls nicht bei Siemens. Bei anderen Büchsen, die auf Linux basieren, sah das allerdings anders aus. Da gab es schon mal Netzwerkprobleme (Routing, Firewall, etc..), da haben wir tagelang Standleitungen zur Entwicklung gehabt.

Im laufenden Betrieb rüsten wir gar nicht hoch, ohne das du die SPS außer Betrieb nimmt macht die ja auch kein Update. Betriebsmittel die unbedingt weiter betrieben werden müssen, werden von Hand an der SPS vorbei gefahren.
 
ja, je nach Anwendungsfall muss man technisch basiert nachdenken und das richtige tun :cool:

Hört sich bei Euch ja so an, dass da nen schlüssiges Konzept dahinter steht.

Wir betreuen ca. 1000 SPSn bei verschiedenen Kunden mit verschiedenen Anforderungen. Davon sind 10% wichtige Anlagen in dem Sinne, dass es max 1 Anlagenstillstand pro Jahr gibt. Da kann man kein Update machen, also sollte man die SPS auch gleich garnicht in nen "unsicheres" Netzwerk hängen.

Die restlichen Anlagen sind zum Teil unkritisch, also in dem Sinne, dass nen Ausfall nicht zu größeren Problemen führt, da muss also auch kein Passwort und kein Update drauf.

Zum Passwort: wenn man sowas macht, gehört ein nicht unerheblicher administrativer Aufwand dazu. Da dafür meist kein Geld/Zeit/Personal vorhanden ist, ist meine Meinung, es gleich wegzulassen, da wo es nicht unbedingt notwendig ist. Bei vielen Anlagen bin ich schon froh, wenn ich überhaupt das aktuelle SPS-Projekt kriege, nen aktuellen E-Plan habe bzw. sich jemand findet, der mir die Tür zum Schalthaus aufschließt... Passwortverwaltung kannst Du bei den allermeisten Kunden vergessen (auch und gerade bei den Großen!).
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Joa, da triffst du den Nagel auf den Kopf - Der administrative Aufwand ist der Knackpunkt. Es muss leistbar sein. Was nützen Sicherheitsfeatures wenn du deine Anlagen nicht entstören kannst weil du ein Opfer deiner eigenen IT-Sicherheitsanforderungen geworden bis und dich selbst ausgesperrt hast? Das ist übrigens auch ein sehr wichtiger Punkt; die Umsetzung von Maßnahmen muss immer angemessen und unter wirtschaftlichen Gesichtspunkten sein. Wir erarbeiten unsere Maßnahmen zusammen mit dem ISB, mit Sinn und Verstand. Mit Teufel komm raus geht das nicht. Wir können das in unserem Haus leisten, aber als Dienstleister ?!?

Ich halte die Messlatte gerne hoch, aber glaub nicht das mir das Spaß macht. Immer wieder über das "warum" zu diskutieren strengt unglaublich an, leider steckt Bewusstsein für den mittlerweile doch recht hohen Schutzbedarf für OT-Systeme bei vielen Anlagenbauern und leider auch bei vielen Ingenieurbüros immer noch in den Kinderschuhen.
 
Beispiel aus dem Leben, hab hier nen pönalisiertes Projekt, aber bis heute keinen Schlüssel zum Schalthaus. Alle 3 Tage krig ich nen Anschiss vom Sicherheitsdienst, warum die Tür mit nem Besen aufgehalten wird... Wenn ich zu Hause bleibe, gibts entweder Pönale oder Anschiss von unserer Buchhaltung, warum die keine Rechnung stellen können.

Was ich damit sagen will, hier ist zwar alles sicher, mit Schlössern und Kartenlesern, aber niemand hat nen Plan, wie man mir nen Schlüssel organisieren könnte.

Bei VW hatte ich das auch schon, sollte im inneren Sicherheitsbereich arbeiten, aber 3 Wochen konnte mir niemand sagen, wie ich den Zugang dazu beantragen kann...

Es gilt halt praktikable Lösungen zu finden, die nicht mehr Ärger als Nutzen bringen.
 
Nächstes Thema, wie kann man nach der Arbeit dem Kunden das aktuelle SPS-Projekt geben? Früher per USB-Stick oder E-Mail, geht heut beides nicht mehr, weil von der IT verboten.
Also krigts der Kunde oft garnicht. Und beim nächsten Mal steht irgendjemand blöd da...

Also sucht man sich jemanden, ders trotzdem per Stick annimmt... wo der nächste Anschiss droht, wenns Chef oder IT mitkrigt.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
Nächstes Thema, wie kann man nach der Arbeit dem Kunden das aktuelle SPS-Projekt geben? Früher per USB-Stick oder E-Mail, geht heut beides nicht mehr, weil von der IT verboten.
Also krigts der Kunde oft garnicht. Und beim nächsten Mal steht irgendjemand blöd da...

Also sucht man sich jemanden, ders trotzdem per Stick annimmt... wo der nächste Anschiss droht, wenns Chef oder IT mitkrigt.
Zum Vergrößern anklicken....

Na, das ist ja auch irgendwie am Ziel vorbei geschossen. Das der Kunde keinen USB-Stick entgegen nimmt, ist ja noch verständlich (Auch wenn es einen Unterschied zwischen entgegen nehmen und in einen Computer stecken gibt) aber wozu gibt es denn Cloud-Systeme? Jede Firma, die das Hantieren von USB-Drives verbietet hat garantiert keine FritzBox am Start, sondern eher eine UTM mit Endpoint-Protection. Da ist das nun wirklich kein Problem zu sehen.
 
Zurück
Oben