[qwertzalot]

Mal abgesehen davon, dass man einen Feldbus nicht ohne Firewall mit dem Internet verbindet, wundern mich trotzdem die Fähigkeiten von Herrn Beresford:

Die AS300 hat keinen Telnet-Daemon!! Ich habe schon viele unerwartete Firmware-Fehler gehabt. Was ich noch nie hatte, war, das etwas ging, was nicht implementiert war.

Dass Herr Beresford sich über Telnet in eine 300-er CPU oder einen CP einloggen konnte, lässt nur einen Schluss zu:

Herr Beresford muss über die Fähigkeit der übernatürlichen Datenübertragung verfügen.

Wahrscheinlich hat er Telnet über das IPoAC installiert. Wenn der Carrier intelligent genug ist dann geht das natürlich.

[guitarjoe]

Aber ich habe den Zugriff von außen unter Kontrolle.

Richtig. Wir haben auch zwei "ältere" S7-300 in qualitätskritischen Anlagen in Betrieb. Wir müssen nur deswegen nicht in Panik verfallen, weil wir alle qualitätskritischen Systeme rigoros nicht am Internet haben.

Wir haben aber feststellen müssen, das unsere eigenen ITler und praktisch jeder, der von Zuliefererseite eine Softare in diesem LAN installiert, dazu neigt, Löcher bohren zu wollen. Für Fernwartung, für Timeserver, für Signaturanwendungen... Und immer ist die Aussage "das ist doch sicher". Klar, und der Hund will nur spielen, der beisst nicht. Bisher jedenfalls.

[Georg Schneider]

Das ist kein Siemens spezifisches Problem. Warum untersuchen die Amerikaner nicht einmal ihre Hausmarke Rockwell bzw Allen Bradley (AB). Ich habe eine Steuerung (ControlLogix) als Testsystem hier liegen. Leider fehlt mir die Zeit darin rumzuhacken. Ich denke, es dreht sich hier eher um Marktanteile.

Es gibt den TÜV, Berufsgenossenschaften, sonstige Zertifizierungsstellen und Vorschriften, die sich damit beschäftigen eine Anlage "sicher" zu entwickeln. Dann kommt der Betreiber, der seine Anlage noch profitorientierter auch vom Klo aus bedienen will. Wenn ich dann auf die Gefahren hinweise, die durch Eindringlinge entstehen können, bekomme ich die Antwort: Das ist nicht ihr Problem.

...ist sie doch. Wenn ein Umweltschaden, oder sogar ein Mensch ums Leben kommt, wird zunächst eine Fehlfunktion der Software festgestellt, die letzt endlich der Programmierer zu verantworten hat. Er hat die A-Karte gezogen, wenn er die Manipulation nicht nachweisen kann.

Georg

[de.nada]

aber mein Beitrag ist Gestern nicht erschienen, und jetzt wird hier lustig klargestellt was für ein unsinniger Artikel das ist.

Da steckt doch der Conrad dahinter ! ;D
Gut, Gestern wäre ich da nicht drauf gekommen, aber Heute ist das doch offensichtlich.

[mitbestimmender wähler]

aber mein Beitrag ist Gestern nicht erschienen, und jetzt wird hier lustig klargestellt was für ein unsinniger Artikel das ist.
Da steckt doch der Conrad dahinter ! ;D
Gut, Gestern wäre ich da nicht drauf gekommen, aber Heute ist das doch offensichtlich.

Na ja mal Pech gehabt, was?
Meist vergessen die die original Zitate in den nachfolgenden Beiträge mit zu zensurieren/löschen was dann sehr amüsant ist.
Da wird das normalste zensuriert weil es einfach dem Moderator oder der Speigellinie nicht passt.

[UbuRoy]

Gabs schon bei Simatic S5...

Alter Hut. Ein Wunder, das noch kein KKW von irgendwelchen Spinnern übernommen und hochgejagt wurde.

Andererseits: Die explodieren ja eh alle irgendwann von allein, was solls also.
In AKWs sind mir schon viel schlimmere und krudere Dinge begegnet, als solche Lapalien.
Gut das Würgassen und Stade außer Betrieb sind...

[yarx]

Für diese Geräte gilt: die Rechner sind durch geeignete Zugangskontrolle zu sichern. Am Internet haben sie eh nichts zu suchen.

.... Und diese Legacy-Systeme haben schon viele Moden kommen und gehen sehen...

...

Das zeugt schon von Unwissen, wenn ich immer wieder solche Artikel lese, in denen Industrie-Steuerungen wie PCs behandelt werden.
Jedes Programmiertool, mit dem eine SPS programmiert werden kann, greift ohne Schutz auf die Steuerung zu. Würde anders auch keinen Sinn machen. Wenn was abgesichert wird, dann der http-Zugriff auf Port 80.
Steuerungen in unkritischer Infrastruktur wie Heizungen etc. schalten wir via VPN ans Internet. Das ist sicher genug. Eine Kraftwerkssteuerung hat am externen Netz nix verloren.
Stuxnet griff ja nicht die Steuerung direkt an, sondern das SCADA-System, mit dem die Steuerungen bedient wurden. Auf den Steuerungen selbst läuft ja ein völlig eigenes Betriebssystem. Das was hier verbreitet wird hört sich doch sehr nach Panikmache an.

[beraterit]

Es kracht eigentlich viel zu selten. Die Manager wollen sehen, dass die Termine eingehalten werden, dass die Anlage funktioniert. Sicherheit wird meist nur von interessierten Admins unentgeltlich nachgebessert. Wenn dann aber Personal abgebaut wird, ist für sowas auch keine Zeit mehr.
Und die Anwender beklagen sich sofort beim Management, wenn die dauernd mit neuen, gar wechselnden Paßwörtern behelligt werden.

Da gibt es nur eine Lösung: FÜHRT ENDLICH DIE STOPPSCHILDER IM INTERNET EIN !

ein Rechner zur Kraftwerks- oder Anlagensteuerung hat nichts am Netz oder einem öffentlichen Zugang zu suchen.

Außerdem sind die mit eigenen Betriebssystemen und eigener Programmiersprache versehen. Ich würde meine ANlage, die seit 20 Jahren mit den Steuerungen läuft, auch nicht alle 2 Tage patchen. Die Frage ist doch, ob da nicht GArantien und GEwährleistungen dranhängen.

Anlagensteuerungen gehören einfach nicht ans Netz und remote support sollte da nicht erlaubt werden.

Was ist denn bisher bei solchen Rechnern passiert ? Ist der Himmel auf den Kopf gefallen ?

[Lazarus]

In jedem Grundkurs über Prozeßleittechnik wird man Ihnen erzählen, daß Leitsysteme und herkömmliche Büro-IT (und die dazugehörigen Internetverbindungen) zwei völlig unabhängig voneinander zu betrachtende Systeme sind, die man nicht miteinander verknüpfen sollte. Wer es trotzdem tut ist entweder technikgläubig ( "...ich brauch doch nur paar Firewalls...) oder naiv. Ich hab mit unterschiedlichster Siemenssoftware schon zu tun gehabt und war immer wieder erstaunt, was für unglaublichen Rotz die teilweise zusammenschustern. Manchmal dauert es Tage um ein Programmiergerät mit verschiedenen Siemensprogrammen vernünftig zum laufen zu bekommen.
Da wundern mich solche Meldungen gar nicht.

[hegade]

Als der Heinz dann an Siemens verkaufen "musste"
war das Ding zur Siemens-Wixdorf mutiert.

vom "Landratsamt Siemens" (Japaner-Jargon) übernommen wurde, wuchsen auf Heinz Nixdorfs Grab schon seit Jahren die Blumen.