# Internet und Leitsystem an einem Rechner



## The Big B. (30 März 2022)

Hallo,

ein Kunde hat in seiner Zentrale aktuell zwei PCs. Auf einem läuft eine WinCC Runtime, dieser PC hängt am Anlagen Netzwerk. Der zweite PC hängt am Internet. Die PCs sind Netzwerktechnisch nicht miteinander verbunden. Nun gibt der Internet-PC langsam den Geist auf und der Kunde möchte sich das Geld einen neuen PC sparen. Jetzt möchte er einfach eine zweite Netzwerkkarte in den WinCC -PC einbauen und darüber ins Internet, also hängt der PC dann sowohl im Anlagen Netzwerk als auch im Internet, kam mir vom Bauchgefühl komisch vor.
Ich habe versucht ihm das mit dem Hinweis auf IT-Sicherheit auszureden, bisher leider noch nicht ganz mit Erfolg. Wie macht ihr sowas? Trennt Ihr  die Netzwerke physisch? Falls nicht, welche IT-Sicherheitskomponenten setzt Ihr ein um das Anlagen-Netzwerk vor Zugriff von Außen zu schützen?

VG


----------



## Gerhard Bäurle (30 März 2022)

Hallo,
was ist denn der Grund für den Internetzugang bzw. was läuft darüber?


----------



## The Big B. (30 März 2022)

Gerhard Bäurle schrieb:


> Hallo,
> was ist denn der Grund für den Internetzugang bzw. was läuft darüber?


Für die Anlage ist er nicht notwendig, also kein Fernzugriff etc.. Hauptsächlich wird der PC zum normalen surfen benutzt.
Antivirus ist drauf, mehr aber nicht. Ist aber sonst auch mit keinem Netzwerk, z.B. Office Netzwerk, verbunden.


----------



## GLT (30 März 2022)

The Big B. schrieb:


> Ich habe versucht ihm das mit dem Hinweis auf IT-Sicherheit auszureden, bisher leider noch nicht ganz mit Erfolg.


Wer zahlt, schafft an.

Wenn ihm 2-300 Euro für einen gebrauchten PC die Anlagensicherheit nicht wert ist?

Wenn noch nicht erfolgt, die Bedenken schriftlich übermitteln und gut ist es.


----------



## oliver.tonn (30 März 2022)

Erstmal wäre interessant, welche Windows Version drauf ist? Windows 7 und niedriger, und mittlerweile wohl auch einige Win 8/Win 10 Versionen sind ein "No Go", weil es keine Sicherheitsupdates mehr gibt.
Das nächste Problem sind genau diese Updates. Siemens Software reagiert auf manche Updates allergisch, nur lässt sich das bei einem standalone Rechner nur bedingt steuern, bei einem der Updates über einen internen Update Server erhält ginge das.
Ansonsten schließe ich mich @GLT an, der eine Minute schneller war. Schicke Dir gleich noch eine PN mit einem Tipp.


----------



## The Big B. (30 März 2022)

Auf beiden PCs müsste Win10 Pro installiert sein. 
Der Kunde ist halt ein "Bastler", kauft sich lieber für 10€ eine USB-Netzwerkkarte bei Amazon/Ebay als für 300€ einen neuen PC. Das Geld, auch für einen teureren PC, sollte locker vorhanden sein. Aber solange es keinen Hacker-Angriff und Ausfall der Anlage gibt hat er 290€ gespart, so sein Gedanke. 

Schonmal gut zu wissen dass mein Bauchgefühl mich nicht getäuscht hat.

Was würde man denn machen um die IT-Sicherheit für so einen Zweck aufzubauen? Firewall?


----------



## oliver.tonn (30 März 2022)

The Big B. schrieb:


> Was würde man denn machen um die IT-Sicherheit für so einen Zweck aufzubauen? Firewall?


Dein Problem ist eher, dass Du die IT-Sicherheit an einer Stelle nicht ausbauen, sondern quasi reduzieren musst.
Ein "normales" Windows holt sich automatisch die meisten Updates und installiert diese, womit Deine WinCC Runtime Probleme bekommen würde und das lässt sich meiner Meinung nach auch nicht verhindern.
Wie sehen die WinCC Experten das?
Ich würde eher mit dem Update Argument sein vorhaben ablehnen.


----------



## Gerhard Bäurle (30 März 2022)

The Big B. schrieb:


> Was würde man denn machen um die IT-Sicherheit für so einen Zweck aufzubauen? Firewall?


Wenn der PC ins Internet darf, kann er sich dort alles möglich einfangen ... 

Wenn es nur eine Surfstation sein soll, bekommt man für 70 € einen PI400 statt des alten PCs:









						Raspberry Pi 400 DE
					

Ausgestattet mit einem Quad-Core 64-Bit-Prozessor, WLAN, Dual-Display Ausgabe und 4K-Videowiedergabe ist der Raspberry Pi 400 ein vollständiger…




					www.berrybase.de
				




Alten Monitor drann und fertig.


----------



## Gerhard Bäurle (30 März 2022)

Nebenbei: Bevor er noch 2 h mit Dir diskutiert und Dir Zeit stielt – kannst Du ihm den PI schenken.


----------



## ducati (30 März 2022)

oliver.tonn schrieb:


> Dein Problem ist eher, dass Du die IT-Sicherheit an einer Stelle nicht ausbauen, sondern quasi reduzieren musst.
> Ein "normales" Windows holt sich automatisch die meisten Updates und installiert diese, womit Deine WinCC Runtime Probleme bekommen würde und das lässt sich meiner Meinung nach auch nicht verhindern.
> Wie sehen die WinCC Experten das?
> Ich würde eher mit dem Update Argument sein vorhaben ablehnen.


Genau.
WinCC ist nicht mit Windows Funktionsupdates kompatibel. Funktionsupdates kann man nicht so einfach deaktivieren, bzw. gibts dann für alte Windows 10 keine Sicherheitsupdates mehr.
Also es müsste dann auf dem WinCC-Rechner ein Windows 10 LTSC 2019 drauf, also kaufen und alles neu installieren...

Also wenn es ne halberwegs wichtige Maschine/Anlage ist, dann nimm unbedingt nen zweiten Rechner fürs Internet!


----------



## Spoonman (4 April 2022)

Hi,
das Bundesamt für Sicherheit in der Informationstechnik hat einen Leitfaden / eine Empfehlung für Sicherheit in Produktions- / Leit- und SCADA-Netzen rausgegeben. Das sogenannte ICS-Kompendium. Das Internet ist demnach eine nicht vertrauenswürdige Umgebung. Somit hat das nichts auf einem Leitsystem-PC zu suchen.


----------



## MFreiberger (4 April 2022)

Spoonman schrieb:


> Hi,
> das Bundesamt für Sicherheit in der Informationstechnik hat einen Leitfaden / eine Empfehlung für Sicherheit in Produktions- / Leit- und SCADA-Netzen rausgegeben. Das sogenannte ICS-Kompendium. Das Internet ist demnach eine nicht vertrauenswürdige Umgebung. Somit hat das nichts auf einem Leitsystem-PC zu suchen.


Moin Spoonman,

vielen Dank für die Information. Das hilft mir weiter!

VG

MFreiberger


----------

