TIA Zur Info: Neue Sicherheitsfunktionen in TIA Portal V17

DeltaMikeAir

User des Jahres 2018
Beiträge
9.732
Punkte Reaktionen
2.299
Zuviel Werbung?
->Hier kostenlos registrieren
Für alle Interessierte:

FAQ Fragen und Antworten zu den neuen Sicherheitsfunktionen in TIA Portal V17
Als Pionier in der Welt der industriellen Sicherheit hat Siemens seit jeher das Ziel, ganzheitliche Lösungen auf dem aktuellen Stand der Technik zu liefern, um maximalen Schutz für Maschinen und Anlagen sicherzustellen. In diesem Eintrag finden Sie eine Zusammenstellung von Fragen und Antworten zu den in TIA Portal V17 neu eingeführten Sicherheitsfunktionen.

Beschreibung
Mit TIA Portal Version 17 wurden verschiedene Verbesserungen bei der Sicherheit für die Kommunikation zwischen Engineering Stations, CPUs und HMI-Panels eingeführt. Im Wesentlichen:
  • Die Kommunikation wird über das Transport Layer Security-Protokoll oder TLS verschlüsselt. Dies wird durch Anwendung individueller Zertifikate für jeden Partner erreicht. Die Zertifikate können importiert oder in TIA Portal mit dem Zertifikatsmanager erstellt werden.
  • Die vertraulichen CPU-Konfigurationsdaten können mit einem benutzerdefinierten Passwort geschützt werden. Dieser Schutz ist optional.
  • Konzept der eingebauten Sicherheit "Security by Default": Verschiedene Optionen wurden vorkonfiguriert und sind voreingestellt, um für Maschinen und Anlagen eine höhere Sicherheitsstufe zu gewährleisten. Dazu gehören:
    - Die voraktivierte Voraussetzung für das CPU-Konfigurationspasswort, um sicherzustellen, dass standardmäßig alle vertraulichen CPU-Konfigurationsdaten geschützt sind.
    - Die vordefinierte sichere PG/HMI-Kommunikation, um ungesicherte Kommunikation mit anderen Partnern zu verhindern.
    - Die voraktivierte Option "CPU-Zugriffsschutz", um jeden Zugriff auf die Steuerung zu verhindern, sofern nicht ausdrücklich konfiguriert.
Um die Sicherheitskonfigurierung auf den Geräten zu vereinfachen, wird der Benutzer von einem Assistenten durch die Sicherheitseinstellungen geführt. Dazu gehören der Schutz der vertraulichen CPU-Konfigurationsdaten, die sichere PG/HMI-Kommunikation und die Zugriffsstufe für die SIMATIC-Steuerung.


Die folgenden Komponenten unterstützen die neue sichere SIMATIC PG/HMI-Kommunikation:
Server
  • S7-1500 CPUs V2.9
  • S7-1200 CPUs V4.5
  • S7-PLCSIM Advanced V4.0
  • Drive Controller V2.9
Clients
  • STEP 7 (TIA Portal) V17
  • HMI Basic Panels 2nd Generation, V17
  • HMI Mobile Panels 2nd Generation, V17
  • HMI Comfort Panels, V17
  • HMI WinCC Runtime Advanced V17
  • WinCC Runtime Professional V17
  • WinCC Unified PC V17
  • WinCC Unified Comfort Panels V17
  • SIMATIC NET (OPC UA Server) V17

Im Dokument unten finden Sie Antworten auf die folgenden Fragen:
  • Welches sind die in TIA Portal V17 neu eingeführten Sicherheitsfunktionen?
  • Wann kann ich meine CPU-Firmware aktualisieren? Wie wird der Aktualisierungsvorgang durchgeführt?
  • Wann und wie nutzt meine CPU vollständig die in TIA Portal V17 neu eingeführten Sicherheitsfunktionen?
  • Was ist der "Security-Assistent" und warum brauche ich ihn?
  • Was kann mit dem "Security-Assistent" konfiguriert werden?
  • Warum muss ich ein Passwort für CPU-Konfigurationsdaten festlegen?
  • Ist die Kommunikation zwischen PG und CPU sicher, auch wenn ich kein Passwort für die vertraulichen CPU-Konfigurationsdaten festlege?
  • Was muss ich tun, wenn ich eine CPU, die mit einem Passwort für vertrauliche Konfigurationsdaten geschützt ist, austauschen möchte?
  • Kann ich einer CPU ohne Verwendung von TIA Portal ein Passwort für vertrauliche Konfigurationsdaten zuweisen?
  • Wie kann ich einer CPU ohne Verwendung von TIA Portal ein Passwort für vertrauliche Konfigurationsdaten zuweisen?
  • Wie kann ich frühere HMI-Systeme (< TIA Portal V17) mit einer neuen CPU-Firmware (>= V2.9) verbinden?
  • Was ist bei der Arbeit mit Zertifikaten zu berücksichtigen?
  • Was muss ich tun, wenn die Zertifikate auf CPU/HMI ablaufen?
  • Welche Verbesserungen bei der Sicherheit gibt es in TIA Portal V17 im Hinblick auf Projektschutz und Benutzerverwaltung?
 

Matze001

Well-known member
Beiträge
2.481
Punkte Reaktionen
481
Also sind wir in Zukunft "nur noch" Zertifikatsmanager und müssen alle 3 Jahre an unsere Anlagen, um die Zertifikate vor dem Ablaufen zu aktualisieren. Somit bekommen wir einen indirekten Fernwartungszwang, weil es sonst ja kaum jemand zahlen kann.

Ich finde den Schritt in Richtung Security gut, gerade in der Automatisierungstechnik sind wir etwas hinten dran.
Dennoch sehe ich in der Praxis große Probleme auf uns zu kommen.

Grüße

Marcel
 

ducati

Well-known member
Beiträge
5.553
Punkte Reaktionen
1.040
Zuviel Werbung?
->Hier kostenlos registrieren
warum muss ich dabei grad denken, "wie kommt wohl jemand in 10 Jahren nur an die Steuerung dran"?

Gestern wollte ich nen TIA V13 nach TIA V15 hochziehen. Irgendjemand hatte da im 13 auch diese Sicherheitsfunktionen aktiviert. In 13 kam da nie ne Passwortabfrage. Unter 15 dann schon. Aber niemand kannte das Passwort...

Also unter 13 nen neues Projekt angelegt, alles relevante vom alten rüberkopiert ohne den Sicherhaitskram, und dann erst nach 15 migriert...

naja, ich glaub ich bin einfach zu lang im Geschäft ;)
 

Ralle

Supermoderator
Teammitglied
Beiträge
14.410
Punkte Reaktionen
3.378
Zuviel Werbung?
->Hier kostenlos registrieren
Das wird sicher lustig, in 10 Jahren kommen 80% der Nutzer nicht mehr in ihre Anlagen. Warum eine Anlage, die nicht am Internet hängt, wenn überhaupt per VPN und Tunnel zu erreichen ist, auch noch mit Zertifikaten zugeballert werden muß (Paßworte tun in so einem Fall doch auch ihren Dienst) erschließt sich mir überhaupt nicht. Als Opt In ist das OK finde ich, wer in sensiblen Bereichen automatisiert, soll das können, aber per default?? Das ist ...
 

hans_a1977

Active member
Beiträge
41
Punkte Reaktionen
4
Hi Zusammen,
also wir haben mehrere Projekte im Automobilbau und die Anlagen hängen nicht am Netz! Aber: Ich kenne zwei Hersteller die hatten in den letzten Jahren ziemlich viele Probleme mit Passwort-Management und Zugriffen von "außen" (außerhalb des Anlagen, aber innherhalb des Firmennetzes)
Es stellte sich so dar, das z.B. mehrere CPs (3xx) und SPSen (3xx) mittels RFC1006 und TSAPs angefragt und Schreibbefehle ausgeführt wurden, die durch entsprechendes Know-How niemals dauerhaft laufen sollten. Alt-Bekanntes Thema: S7 Sicherheitslücken
Die SPS-SPS Kommunikation wurde außerdem öfters mal aufgezeichnet und mittels Wireshark abgehört (wenn das der falsche macht, kann auch mal was schiefgehen :) D.h. wenn die Kommunikation jetzt endlich mal anständig gesichert ist, sollte das besser werden. Bei einem Hersteller in Bayern gibt es jetzt sogar Udemy Gutscheine für bestimmte Hacking-Kurse zum sensiblisieren (Hacking Tutorial)
Zertifikatsmanagement ist natürlich nicht einfach, aber z.B. gibt es schon Zertifikatsmanager bei den Automobilisten. Das Thema mit dem IoT wird halt jetzt überall reingebracht. Passwörter gehören übrigens IMHO nicht in den OB1, sondern in den OB123. (FOB_RTG) ..und der sollte mittels Passwort gesichert werden :)
 

ducati

Well-known member
Beiträge
5.553
Punkte Reaktionen
1.040
Hi Zusammen,
also wir haben mehrere Projekte im Automobilbau und die Anlagen hängen nicht am Netz! Aber: Ich kenne zwei Hersteller die hatten in den letzten Jahren ziemlich viele Probleme mit Passwort-Management und Zugriffen von "außen" (außerhalb des Anlagen, aber innherhalb des Firmennetzes)
Es stellte sich so dar, das z.B. mehrere CPs (3xx) und SPSen (3xx) mittels RFC1006 und TSAPs angefragt und Schreibbefehle ausgeführt wurden, die durch entsprechendes Know-How niemals dauerhaft laufen sollten. Alt-Bekanntes Thema: S7 Sicherheitslücken
Die SPS-SPS Kommunikation wurde außerdem öfters mal aufgezeichnet und mittels Wireshark abgehört (wenn das der falsche macht, kann auch mal was schiefgehen :) D.h. wenn die Kommunikation jetzt endlich mal anständig gesichert ist, sollte das besser werden. Bei einem Hersteller in Bayern gibt es jetzt sogar Udemy Gutscheine für bestimmte Hacking-Kurse zum sensiblisieren (Hacking Tutorial)
Zertifikatsmanagement ist natürlich nicht einfach, aber z.B. gibt es schon Zertifikatsmanager bei den Automobilisten. Das Thema mit dem IoT wird halt jetzt überall reingebracht. Passwörter gehören übrigens IMHO nicht in den OB1, sondern in den OB123. (FOB_RTG) ..und der sollte mittels Passwort gesichert werden :)
ist halt die Frage, warum die Anlage öfter steht, wegen "Hackerangriffen" oder weil jemand die Anlage nicht bedienen/warten/reparieren kann, weil alles verriegelt und verrammelt ist...

Ich tippe auf zweiteres... (und bin schon über 30 Jahre im Geschäft und hab schon viel gesehn ;) )
 

Zombie

Well-known member
Beiträge
710
Punkte Reaktionen
113
Zuviel Werbung?
->Hier kostenlos registrieren
Passwörter gehören übrigens IMHO nicht in den OB1, sondern in den OB123. (FOB_RTG) ..und der sollte mittels Passwort gesichert werden :)
Wo dann wieder keiner rankommt?!?!?

Ich hab mittlerweile Anlagen von V11 bis V16 am laufen. Das Chaos kann man sich nicht vorstellen. Und dann kommt noch mehr dazu.
 

ducati

Well-known member
Beiträge
5.553
Punkte Reaktionen
1.040
Wo dann wieder keiner rankommt?!?!?

Ich hab mittlerweile Anlagen von V11 bis V16 am laufen. Das Chaos kann man sich nicht vorstellen. Und dann kommt noch mehr dazu.

Jo...

hatte im letzten halben Jahr 4 Anlagen, wo Passwortprobleme aufgetreten sind. 3 davon letzte Woche...

Letzte Woche konnt ichs noch retten, bei der anderen Anlage sind Aktualdaten verloren.
 
Oben