Startseite » Security »

Datenklau bei S7-Projekten verhindern

Know-how-Schutz: Realisierung eines absoluten Ausleseschutzes
Datenklau bei S7-Projekten verhindern

14. Oktober 2013
5 Minuten Lesezeit
Ein wirkungsvoller Schutz des eigenen S7-Know-hows ist einfach möglich – wählbar ohne Zusatzkosten über das Service-Tool ‚ServiceStage‘. Der Erlanger S7-Spezialist Insevis bietet damit Maschinenbauern einen Weg, zusammen mit dem Komplett-Labelling von Vorder- und Rückseite sowie der Firmware die eigene Automatisierungskompetenz zu unterstreichen – um auf diese Weise das begehrte ‚Made in Germany‘ zu nutzen.

Jörg Peters, Geschäftsführer der Insevis – Gesellschaft für industrielle Systemelektronik und Visualisierung mbH, Erlangen

Das Thema Datensicherheit ist hinlänglich aus der gerade in allen Medien geführten Diskussion bekannt. Dabei sollte man sich selbst hinterfragen, ob man jeweils die richtigen Maßnahmen für seine Anforderungen einsetzt. Selbst bei passwortgestützten Schutzmechanismen muss man damit rechnen, dass bald nach deren Veröffentlichung die ersten Cracks und Patches aus der Grauzone des Internets auftauchen und einen Weg finden, das Passwort zu isolieren und den Weg zu den Quelldaten freizugeben.
Das damit verbundene Risiko für Maschinenbauer ist hoch: Gerade kleine Anbieter und Mittelständler verfügen nicht über die Rechtsabteilungen, sich gegen plötzlich auftauchende Kopien ihrer S7-Programme in einer Wettbewerbslösung weltweit in einem aussichtsreichen Rechtsstreit zur Wehr zu setzen. Ob dabei nicht nur noch mehr Geld verbrannt wird, ist immer eine leider erst zu spät beantwortbare Frage.
Je nachdem, wie viel man selbst vorab in die S7-Technologieentwicklung investiert hat, kann so ein Verlust durchaus kritische Ausmaße annehmen. Vom Ärger mal abgesehen, muss man den erwarteten Absatz nach unten korrigieren und ein Projekt könnte zum Flop werden. Deshalb sollte ein wirksamer Schutz des eigenen geistigen Eigentums von Anfang Teil der Entwicklung sein. Wie aber müsste denn ein unüberwindbarer Schutz des S7-Know-hows aussehen?
Wege zum Know-how-Schutz
Geht man davon aus, dass man die eigene IT-Abteilung ausreichend gegen unberechtigte Zugriffe gesichert hat, bleibt nur noch der Blick in die S7-Steuerung. Dort liegen Programmteile als WLD-Daten – durch ein Passwort bei der Kommunikation geschützt. Für erfahrene Programmierer mit der nötigen kriminellen Energie stellen aber weder die fehlende Symbolik noch das Passwort ein unüberwindbares Problem dar. Was liegt also näher als ein radikaler Leseschutz für S7-Programme?
Eine Lösung wäre ein nicht irgendwie doch wieder durch Tricks rücksetzbarer Schutz. Der einzige Weg, solch einen Schutz zu beseitigen, wäre das Urlöschen – was dann aber auch das Ende des S7-Programmes bedeuten würde. Nur der Inhaber der Original-Software kann dann wieder eine entsperrte Version zu Servicezwecken aufspielen und diese danach mit einem einzigen Klick wieder zuverlässig schützen. Diesem Lösungsansatz hat sich Insevis als S7-Systemanbieter verschrieben. Durch das gute Preis-/Leistungsverhältnis bei S7-Panel-SPSen sind so Lösungen mit S7-300-er Befehlsumfang wirtschaftlich möglich, die als ‚Made in Germany‘ auch auf internationalen Märkten sehr gute Chancen haben – und gerade dort darf ein sicherer Schutz nicht fehlen.
Der zuvor beschriebene absolute Leseschutz auf den S7-CPUs von Insevis ist dabei noch nicht einmal die radikalste Schutzstufe, wenn man die verschiedenen, in derselben Art und Weise aktivierbaren Abstufungen des Know-how-Schutzes betrachtet. Bei einem kombinierten Schreib-Leseschutz ist weder Manipulation noch Auslesen möglich. Folgende Schutzstufen stehen zur Verfügung:
  • Kein Schutz: Die Bausteine können von jedem gelesen und geändert werden. Die Schutzstufe kann erhöht werden, in dem per Software eine andere Stufe zugewiesen wird. Eine Authentifizierung per Passwort wird verlangt, wenn das im Simatic-Manager oder TIA Portal so konfiguriert wurde. Damit kann nur berechtigtes Personal diesen Schutz aktivieren.
  • Leseschutz: Die Bausteine können von jedem geändert – aber nicht mehr gelesen werden. Die Panel-HMIs können die Prozessdaten weiterhin auslesen. Diese Schutzstufe kann mit der PG-Funktion ‚Clear All‘ zurückgesetzt werden (danach ist das S7-Programm in der SPS gelöscht) und man spielt das ungeschützte Original-S7-Programm wieder in die SPS.
  • Schreibschutz: Die Bausteine können von jedem gelesen – nun aber nicht mehr geändert werden. Diese Schutzstufe kann nur noch mit Hardware-Urlöschen direkt am Gerät zurückgesetzt werden, danach ist das ungeschützte Original-S7-Programm neu in die SPS zu übertragen.
  • Schreib-/Leseschutz: Die Bausteine können weder geändert noch gelesen werden, die Panel-HMIs können die Prozessdaten aber weiterhin auslesen. Diese Schutzstufe kann ebenfalls nur noch mit Hardware-Urlöschen direkt am Gerät zurückgesetzt werden, danach ist wiederum das ungeschützte Original-S7-Programm neu in die SPS zu übertragen.
Das Setzen dieser Schutzstufen ist mit dem kostenlosen Service Tool ‚ServiceStage‘ einfach möglich. Diese Software lässt sich ‚nebenbei‘ auch noch für die CPU-Diagnose und den Download von S7-Programmen, Konfigurations- und Visualisierungsdateien benutzen. co
www.insevis.de
PRAXIS PLUS
Mit S7-Produkten von Insevis lassen sich zunächst einmal die Kosten optimieren. Durch die Programmierbarkeit mit dem Simatic-Manager oder dem TIA Portal von Siemens bleiben die entsprechenden S7-Programme auch für Siemens-CPUs einsetzbar. Diese Zweisteuerungsstrategie erlaubt einerseits den Einsatz von Siemens-CPUs bei Kunden, die dies explizit fordern, andererseits lässt sich mit den Insevis-S7-CPUs der preissensiblere Markt wirtschaftlich erreichen. Die S7-CPUs von Insevis sind befehlskompatibel zur S7-315- 2PNDP, haben mindestens 512 kB Arbeits- und 2 MB Ladespeicher. Eine externe Speicherkarte benötigen sie nur für die Datenarchivierung. Jede CPU verfügt über eine CAN-Schnittstelle (CANopen und Layer2), Ethernet RFC1006 (ISO on TCP), UDP und TCP, Modbus RTU und Modbus TCP sowie einen seriellen CP mit RS232 und 485 mit freiem ASCII-Protokoll. Profibus Master/Slave sind optional verfügbar. Das kostenlose Konfigurationstool ‚ConfigStage‘ macht die Einrichtung der Sonderfunktionen und die Anbindung externer CAN- und Modbus-Peripherie leicht. Weitere Vorteile bieten die integrierten IP65-dichten TFT-Touchpanels mit Größen zwischen 3,5 und 10,2 Zoll, die zudem mit schnellen Bootzeiten (maximal 2 s) und Bildschirmwechseln punkten. Sie können ab Stückzahl Eins kundenspezifisch gelabelt werden. Mit dem Visualisierungsprogramm ‚VisuStage‘ schließlich finden sich besonders WinCC-Flex-Nutzer in wenigen Minuten zurecht und das kostenlose Remotezugangstool ‚RemoteStage‘ sichert den (automatischen) Remote-Zugriff. Darüber hinaus konvertiert es die Archivdaten in csv-Dateien und legt diese im PC-Netzwerk ab.
Teilen:
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de