Skip to main content

Zugriffsschutz

Um den Zugriffsschutz der Standardsteuerung und der Sicherheitssteuerung zu gewährleisten, müssen die im Folgenden aufgeführten Hinweise und die Hinweise im CODESYS Safety Anwenderhandbuch, Kapitel „IT-Sicherheit im Betrieb“ beachtet und die Maßnahmen durchgeführt werden.

Zugriffsschutz für die Standardsteuerung

Zugriffsmöglichkeiten auf Steuerung prüfen!

Steuerungen dürfen unter keinen Umständen vom Internet oder nicht vertrauenswürdigen Netzen aus zugreifbar sein! Im Speziellen dürfen die Programmier-Ports der Steuerung unter keinen Umständen ungeschützt aus dem Internet zugreifbar sein (meist UDP-Ports 1740..1743 und TCP-Ports 1217 + 11740 bzw. die steuerungsspezifischen Ports)! Wenn ein Zugriff aus dem Internet dennoch ermöglicht werden muss, dann muss zwingend ein sicheres Verfahren gewählt werden, um sich mit der Steuerung zu verbinden (z. B. VPN).

Wichtig

Um das Risiko von Datensicherheitsverletzungen zu minimieren, empfehlen wir die folgenden organisatorischen und technischen Maßnahmen für das System, auf dem Ihre Applikationen laufen:

Vermeiden Sie soweit als möglich, die SPS und Steuerungsnetzwerke offenen Netzwerken und dem Internet auszusetzen. Verwenden Sie zum Schutz zusätzliche Sicherungsschichten wie ein VPN für Remote-Zugriffe und installieren Sie Firewall-Mechanismen. Beschränken Sie den Zugriff auf autorisierte Personen, ändern Sie vorhandene Standardpasswörter bei der ersten Inbetriebnahme und auch weiterhin regelmäßig. Wenn Sie trotz allem Ihre Web-Visualisierung veröffentlichen möchten, wird dringend empfohlen, sie zumindest mit einem einfachen Passwort-Schutz zu versehen, um zu verhindern, dass jemand über das Internet auf Ihre Steuerungsfunktionalität zugreifen kann (sehen Sie ein Beispiel im Projekt „SimpleWebvisuLogin.project“, das mit der Standardinstallation des Programmiersystems bereitgestellt wird).

Zugriffsschutz der Sicherheitssteuerung

Der Zugriffsschutz der Sicherheitssteuerung wird durch folgende Mechanismen realisiert:

  • Benutzerverwaltung im Projekt

  • Administrationspasswort

  • Fernpasswort

  • Identifizierung der Sicherheitssteuerung

Benutzerverwaltung im Projekt

Jeder Teil einer Sicherheitsapplikation eines CODESYS Projekts kann vor nicht autorisiertem Zugriff durch entsprechende Einstellungen in der CODESYS Benutzerverwaltung geschützt werden.

Wichtig

Um den Zugriffsschutz der Sicherheitsapplikation zu gewährleisten, muss der Anwender für jedes Projekt eine entsprechende CODESYS Benutzerverwaltung (siehe Projekt schützen und speichern) einrichten oder die in CODESYS Safety Extension integrierte Benutzerkonfiguration verwenden (siehe Einrichten der Benutzerverwaltung im Projekt).

Administrationspasswort (Passwort der Bootapplikation)

Die Bootapplikation kann mit dem Administrationspasswort (Admin-Passwort) vor nicht autorisiertem schreibendem Zugriff geschützt werden (siehe Admin-Passwort setzen).

. Befehle, die durch das Administrationspasswort geschützt sind:

  • Einloggen

  • Bootapplikation erzeugen

    Bootapplikation löschen

  • Bootapplikation neu starten

  • Administrationspasswort setzen

  • Firmware aktualisieren

  • Fernzugang konfigurieren

  • Reset Kalt

  • STOP

  • START

  • Werte schreiben

  • Werte forcen

  • Forcen für alle Werte aufheben

  • Gerätenamen ändern

Fernpasswort

Mit dem Fernpasswort wird die Sicherheitssteuerung vor unerlaubtem Fernzugang geschützt. Für weitere Informationen siehe: Bereich ‚Zugang zum Gerät‘).

. Befehle, die bei Fernzugang möglich sind:

  • Einloggen

  • Ausloggen

  • Aktualisieren, Schaltfläche in der Registerkarte Safety Online Information der Sicherheitssteuerung

  • Logbuch anzeigen und abspeichern, Schaltflächen in der Registerkarte Log der Sicherheitssteuerung

Identifizierung der Sicherheitssteuerung (IEC 62443 Level 1)

Folgende Maßnahme aus dem Security Level 1 der IEC 62443 ist implementiert:

Maßnahme um das Einloggen auf die falsche Steuerung zu vermeiden:

  • Eingabe der Seriennummer der Sicherheitssteuerung

  • Drücken eines Knopfes (bzw. Schalters) an der Sicherheitssteuerung

Um sich erfolgreich auf die Sicherheitssteuerung einzuloggen, muss, abhängig von der Sicherheitssteuerung, eine dieser beiden Aktionen durchgeführt werden (siehe Verbindungsbestätigung). Diese Maßnahmen können als relativ sicher eingestuft werden, da das Drücken eines Knopfes manuell und direkt an der Sicherheitssteuerung durchgeführt werden muss und die Eingabe der Seriennummer Insiderwissen über die Maschine erfordert.

In diesem Abschnitt: