# Neue schöne Industrie 4.0, ist das die Lösung oder das Probloem?



## bike (14 Mai 2017)

*Neue schöne Industrie 4.0, ist das die Lösung oder das Problem?*

Nachdem was wie hier beschrieben:
http://www.spiegel.de/netzwelt/web/wannacry-attacke-fakten-zum-globalen-cyber-angriff-a-1147523.html
geschah, wer ist noch immer von Industrie 4.0 unter diesen Voraussetzungen überzeugt?

Wie können wir als Techniker unseren Kunden die komplette Vernetzung der Produktion empfehlen?
Ich kann es nicht, denn nach Stuxnet und den Löchern in den Betriebssystemen, für wir als Dienstleister nichts können, sollte einmal grundlegend über die Digitalisierung nachgedacht werden.

btw. habe gerade ein Angebot gefunden für einen Trojaner der kostet 20 t$, also nicht die Welt.


bike


----------



## Gerhard Bäurle (14 Mai 2017)

Das Problem ist nicht Industrie 4.0 und die Digitalisierung an sich, 
sondern wie damit umgegangen wird.



Anwender, die automatische Updates abschalten
Anwender, die veraltetet Systeme (XP) ans Internet hängen
Anwender, die pauschal alles als Boot-Device freigeben
Manager, die Sicherheit fordern, aber kein Budget dafür geben
Hersteller, die nicht zur Änderung des Standard-Passwort zwingen

Klar gibt es Schwachstellen (wie bei jeder Technologie). Als Anwender
muss man eben das Risiko minimieren – aufhalten kann man die 
technische Weiterentwicklung schließlich nicht.


----------



## Blockmove (14 Mai 2017)

Gerhard Bäurle schrieb:


> Das Problem ist nicht Industrie 4.0 und die Digitalisierung an sich,
> sondern wie damit umgegangen wird.



*ACK*

Ich darf / muß bei uns sehr viel im I4.0-Umfeld machen.
Mittlerweile könnte man meinen, dass das Motto von I4.0 lautet "Dummschwätzer und Comiczeichner aller Hersteller vereinigt euch"
Die Kunst bei dem Thema ist das Sinnvolle vom Sinnlosen zu unterscheiden.
Es gibt viele gute Ansätze und Lösungen, aber leider noch viel mehr Schrott.

Interessant ist auch der Wandel im Marketing:
Klassisch wurden die Produkte und Lösungen den Fachabteilungen vorgestellt.
Heute gehen die Anbieter zum Management und stellen da ihre Lösungen vor.
Schließlich sind die Fachabteilungen ja betriebsblind .

Mein persönliches Fazit:
I4.0 richtig gemacht ist gut und bringt einem Unternehmen viele Vorteile.
I4.0 falsch gemacht löst Probleme, die man vorher nicht hatte.

Gruß
Blockmove


----------



## Thomas_v2.1 (14 Mai 2017)

Wobei Windows auch wenn es komfortabel ist, für die Automatisierungstechnik eigentlich nicht das Richtige ist.
Und automatische Updates bei einem Produktivsystem? Wie oft hat Microsoft in letzter Zeit bei Updates bestimmte Systeme komplett zum Stillstand gebracht.
Und wer updatet überhaupt die ganzen IPCs wie TwinCat mit Windows im Hintergrund, oder die HMI-Systeme auf denen ein Windows Embedded läuft?

Und jetzt mit Windows 10 kommt das nächste Problem mit den rolling Updates, dass nämlich bestimmte Software nicht nur für Windows 10 freigegeben ist, sondern nur in Windows 10 in Ausprägung xy. Wenn du nicht völlig inkompatible Systeme laufen haben willst, dann kannst du ganz einfach nicht automatische Updates fahren. Und am besten noch automatischer Reboot.

Wobei Windows 10 mit seiner Nachhause-telefoniererei noch ganz andere Probleme mit sich bringt. Wenn ich für einen Kunden eine Verschwiegenheitserklärung unterzeichne wenn ich für diesen eine Arbeit ausführe, darf ich dann überhaupt Windows 10 einsetzen, wo ich nicht weiß was das System alles für Daten in die USA übermittelt?

Die Probleme gab es zwar schon immer, aber im Zuge von I4.0 wo alles am Internet hängen soll, bekommt es eine ganz andere Tragweite.


----------



## bike (14 Mai 2017)

Gerhard Bäurle schrieb:


> Anwender, die automatische Updates abschalten
> Anwender, die veraltetet Systeme (XP) ans Internet hängen
> Anwender, die pauschal alles als Boot-Device freigeben
> Manager, die Sicherheit fordern, aber kein Budget dafür geben
> Hersteller, die nicht zur Änderung des Standard-Passwort zwingen


Es ist wirklich Klasse alles an den Anwender weiterzuleiten.
Der hat eine Maschine / Anlage gekauft und möchte / muss damit Geld verdienen.
Woher soll der wissen, dass das was er gekauft hat so anfällig ist?
Und wegen Updates und ähnlichem:
Bei PCS7 war es vom Hersteller untersagt, die entsprechenden Patches zu installieren, da sonst die Gewährleistung erlischt.
Und zu erwarten, dass, weil WinXp so bescheiden ist und man regelmässig die Anlagen / Maschinen für viel Geld  hochrüsten muss, konnte niemand.
Wir verdienen unser Geld damit, doch die Kunden müssen diese Investitionen verdienen.
Außerdem sind Firmen wie Schenker; Fedex oder Bahn tbc. keine Dummen.



> Mein persönliches Fazit:
> I4.0 richtig gemacht ist gut und bringt einem Unternehmen viele Vorteile.
> I4.0 falsch gemacht löst Probleme, die man vorher nicht hatte.



Kannst du garantieren, dass das was du machst sicher und zuverlässig ist und es nicht möglich ist, die Produktion zu beeinflussen?

Thomas hat absolut recht. Die Schwachstelle ist das OS.
Wir haben uns gefreut, als Big$ den Ansatz hatte, bei CNC das WIn$ wegzulassen und dafür Linux komme.
Auch dachten wir, PCS7 hätte eine bessere Zukunft verdient.
Aber man soll sich nicht zu früh freuen.

Die Frage stellt sich aber immer noch: was können wir tun um solche Szenarien zukünftig vermeiden. 


bike


----------



## Gerhard Bäurle (14 Mai 2017)

Thomas_v2.1 schrieb:


> Wobei Windows auch wenn es komfortabel ist, für die Automatisierungstechnik eigentlich nicht das Richtige ist.
> Und automatische Updates bei einem Produktivsystem? Wie oft hat Microsoft in letzter Zeit bei Updates bestimmte Systeme komplett zum Stillstand gebracht.
> Und wer updatet überhaupt die ganzen IPCs wie TwinCat mit Windows im Hintergrund, oder die HMI-Systeme auf denen ein Windows Embedded läuft?



Ja, Argumente aus der Praxis. Aber dann muss man die Netzwerke 
sauber trennen, Stichwort DMZ. 

https://www.elektronik-kompendium.de/sites/net/0907241.htm


----------



## Gerhard Bäurle (14 Mai 2017)

bike schrieb:


> Es ist wirklich Klasse alles an den Anwender weiterzuleiten.
> Der hat eine Maschine / Anlage gekauft und möchte / muss damit Geld verdienen.
> Woher soll der wissen, dass das was er gekauft hat so anfällig ist?



Einerseits ist das  "Stand der Technik", anderseits sollte der 
Kunde mehr vorgeben, als den Preis. Genau hier hängt es doch 
in der Praxis. 

Security verursacht (wie Safety) Kosten – verdient aber nichts.


----------



## bike (14 Mai 2017)

Gerhard Bäurle schrieb:


> Einerseits ist das  "Stand der Technik", anderseits sollte der
> Kunde mehr vorgeben, als den Preis. Genau hier hängt es doch
> in der Praxis.
> 
> Security verursacht (wie Safety) Kosten – verdient aber nichts.



Also ich sehe es eher so:
Der Lieferant hat eine fehlerhafte Ware geliefert und jetzt soll / muss der Kunde für die Behebung teuer bezahlen.
Und Vergleich mit Sicherheit und Safety hinkt, da hierbei ein Großteil der "Neuerungen" nur von der Lobby verursacht werden die davon gut profitieren, die Fehler im OS sind aber schon vorhanden.


bike


----------



## ducati (14 Mai 2017)

Gerhard Bäurle schrieb:


> Ja, Argumente aus der Praxis. Aber dann muss man die Netzwerke
> sauber trennen, Stichwort DMZ.
> 
> https://www.elektronik-kompendium.de/sites/net/0907241.htm


hehe, ja die Praxis, da wird gerade in Zeiten von PN-IO alles zusammengestoepselt, was ne RJ45 Buchse hat. 
Da bin ich das Ankaempfen gegen Windmuehlen schon langsam leid. Beim vorletzten Projekt hab ich die Netztrennung noch mit viel Muehe durchgesetzt. Beim aktuellen siehts dagegen schlecht aus.
Und das sind nicht nur Kostengruende, alles in einem Netz ich doch so toll, alles und jeder kann mit allem und jedem kommunizieren... Da faellt einem nix mehr ein.
Ich seh das alles ganz genau wie Thomas...
Gruss.


----------



## Blockmove (14 Mai 2017)

Gerhard Bäurle schrieb:


> Ja, Argumente aus der Praxis. Aber dann muss man die Netzwerke sauber trennen



Bisher konnte ich eine saubere physikalische Trennung der Netze durchsetzen.
Soweit so gut.
Und nun geht es schon los mit "Steinzeit, zu teuer, doppelte Leitungsführüng, ...". Warum kein VLAN?
Klar man mit VLAN auch sauber trennen. Will man das sauber machen, dann brauchts aber mehr.
Accesslisten, Bandbreitenmanagement, QoS, ... Und vorallen einen anständigen Service.
Damit spart man dann mit dem VLAN gar nicht mehr so viel.

So und jetzt kommen die ganzen Jungs von IoT und BigData aus den Löchern gekrochen und wollen jeden Sensor ans Netz bringen.
Braucht man ja nur zusammenstöpseln ... IP-Adressen kein Problem, da nehmen wir IPv6.
Wie? Das geht mit Profinet so nicht? Dann nehmen wir unser IoT-Gateway, da können Sie dann Profinet abgreifen.

Wenn ich für jede dumme und unrealistische Idee aus dem I4.0- und IoT-Umfeld in den letzten 2 Jahren 5€ bekommen hätte, dann wär mein Sparschein voll 

Gruß
Blockmove


----------



## DeltaMikeAir (15 Mai 2017)

Guten Morgen,

zum Thema Benutzer, die automatische Updates ausschalten möchte ich auch noch etwas sagen.
Wir haben mehrere PC gesteuerte Anlagen bei Kunden. Teilweise mit Zenon und/oder TwinCat 2/3.
Da Anfangs immer die automatischen Win Updates eingespielt wurden, mussten wir schon mehrfach
zu Kunden fahren da z.B. TwinCat ohne Fehlermeldung einfach nicht mehr startete. Zenon mit Fehlermeldung.
Bei der Installation von TwinCat wird z.B. ein Treiber für die Netzwerkadapter installiert ( bei mir: TwinCat Intel PCI Ethernet Adapter ).
Führt man nun WinUpdates durch, wird dieser wieder durch einen Windows Standard Treiber überschrieben und
TwinCat startet nicht mehr.

Aus diesem Grund haben wir die Updates ausgeschaltet, ansonsten weiß man doch nie, welches Update beim nächsten mal in die Quere
kommt. Die Rechner hängen auch nicht (mehr) am Internet, sondern werden nur temporär zur Fernwartung angesteckt ).

Mir gefällt das ganze auch nicht.

Mit Grüßen


----------



## Peter Gedöns (15 Mai 2017)

bike schrieb:


> Die Schwachstelle ist das OS.
> Wir haben uns gefreut, als Big$ den Ansatz hatte, bei CNC das WIn$ wegzulassen und dafür Linux komme.
> bike


und was habt ihr draus gemacht ? Alle eure Maschinen haben eine PCU 50 oder IPC mit WIN drauf,  obwohl man doch drauf verzichten könnte.


----------



## ducati (15 Mai 2017)

DeltaMikeAir schrieb:


> Guten Morgen,
> 
> zum Thema Benutzer, die automatische Updates ausschalten möchte ich auch noch etwas sagen.
> Wir haben mehrere PC gesteuerte Anlagen bei Kunden. Teilweise mit Zenon und/oder TwinCat 2/3.
> ...



jo...

es stellt sich halt auch die Frage:

Gibt es mehr Produktionsausfall durch fehlgeschlagene Updates oder durch Schadsoftware...

Bei den Medizingeräten ist das ähnlich, sterben mehr Menschen, weil das Gerät nach einem (automatischen) Update nicht mehr funktioniert, bzw. weils es mit dem "unsicheren" Win-XP gleich komplett verschrottet wurde, ohne aus Geldmangel ein neues zu kaufen, oder durch einen Schadsoftwarebefall...

muss jeder für sich entscheiden.

entscheidend ist aber dieser Satz hier:


> "Die Rechner hängen auch nicht (mehr) am Internet, sondern werden nur temporär zur Fernwartung angesteckt )."



Solange es kein "absolut sicheres" Industrie-Betriebssystem gibt, bleibt uns nur die Wahl zwischen Pest und Cholera... und in der Zwischenzeit das beste draus machen, und die unwissenden Schlippsträger auf die Probleme mit der "Totalen Vernetzung" hinweisen 

Gruß.


----------



## DeltaMikeAir (15 Mai 2017)

Guten Morgen Ducati,

ja, bei uns hängen keine Menschenleben an den Anlagen. Da wir viele Anlagen im Umlauf haben, stellt sich aus wirtschaftlicher Sicht erst einmal die 
Frage, wer bezahlt dass, wenn eine Anlage nicht mehr läuft ( z.B. Freitag kommt ein Win Update, Montag laufen 23 TwinCat Anlagen nicht mehr ( in der EU verteilt )).

Wer bezahlt nun ggf. Anreisen, Fehlersuchen, Produktionsausfälle. Letztendlich liefern wir eine funktionierende Maschine. Es bezahlt uns niemand, die Anlagen
ständig auf dem sicherheitstechnisch aktuellsten Stand zu halten.

Ob dies nun so in Ordnung ist oder nicht, letztendlich müssen wir auch wirtschaftlich denken.

Mit Grüßen

PS:
Meine Meinung ist, eine Anlage sollte autark vom Internet laufen und auf keine Verbindungen dorthin angewiesen sein.
Alles andere ist doch eine tickende Zeitbombe ( ich kann heute noch auf Anlagen von meinem früheren Arbeitgeber per
Teleservice zugreifen ( unwissentlich, Anlagen in der ganzen EU ). Wenn ich wollte, könnte ich in 1-2 Stunden alle Anlagen
zum Stillstand bringen.

Daher kommt bei uns nur noch eine temporäre Internetkopplung, welche über ein- und ausstecken eines Netzwerkkabels
gelöst ist ( keine Softwarelösung... )


----------



## Cassandra (15 Mai 2017)

Hallo Ihr,

wenn jemand in die Verlegenheit kommt, etwas ganz modernes einzuführen zu müssen, dann bringt diesen Vorschlag als Erweiterung:
https://www.youtube.com/watch?v=uhuhJIIeNIc
Vielleicht hilft es…

LG Cassandra


----------



## bike (15 Mai 2017)

Peter Gedöns schrieb:


> und was habt ihr draus gemacht ? Alle eure Maschinen haben eine PCU 50 oder IPC mit WIN drauf,  obwohl man doch drauf verzichten könnte.



Da muss und kann ich dir absolut Recht geben.
Wir haben es versäumt bzw konnten nicht wie wir wollten.
Doch wie heißt es: der Ober sticht den Unter.
Kill Gates war zu Besuch bei Siemens. Siemens war dort , da https://de.wikipedia.org/wiki/Bielefeldverschwörung das es gar nicht gibt, und uns wurden die Flügel gestutz.
Was soll ein Entwickler gegen K1 machen?
Und nachdem die seit einiger Zeit Sonne im Osten unter geht, wird auch hier die Luft dünner.

Viele hier rechnen nur noch bis zu Vor- bzw Ruhestand, leider.
Wir waren einmal echt gut und kreativ in Geri, die Berge vernebeln scheinbar nicht nur den Blick,    doch das ist ein Blick in die Vergangenheit.

@ducyati: genau das ist ist das fundamentale Problem. Und niemand dafür zuständig.

btw: jetzt hat M$ doch die Frechheit und sagt, die einzelnen Staaten der Welt sind an dem Scheiß schuld den die teuer verkaufen. 
Dazu fällt mir langsam nichts mehr anderes ein als https://de.wikipedia.org/wiki/Amok

Nix für ungut


bike


----------



## Ralle (15 Mai 2017)

@bike
Ich kann mich aber auch noch gut an den Anfang der PG's erinnern, da kam dann Siemens irgendwann mit FlexOS. Das wäre heute rel. sicher, war aber so unFLEXiebel, wie heute TTI-Portal. ;-)
Wir jedenfalls sind damals auf die Barrikaden, weil man sich absolut abhängig von Siemens machen mußte ud keinerlei Verbindung in die "Welt" der anderen Rechner hatte. FlexOS konnte auch nicht wirklich viel. Das Siemens dann sowas von total auf Windows umschwenkt und sich deart tief ins Windows-BS eingräbt, ahnte damals keiner und wollte auch keiner.


----------



## DeltaMikeAir (15 Mai 2017)

> Das Siemens dann sowas von total auf Windows umschwenkt und sich deart  tief ins Windows-BS eingräbt, ahnte damals keiner und wollte auch  keiner.



Anderseits, was bleibt ihnen denn übrig:

Eigenes Betriebssystem bringt wie gesagt auch etliche Probleme mit sich. Windows ist ja eigentlich die logische Konsequenz, da sich
sogut wie jeder damit auskennt und es stabil läuft ( Windows an sich, nicht unbedingt Windows in Verbindung mit TwinCat, Zenon... )

Mit Grüßen


----------



## ducati (15 Mai 2017)

Gut oder schlecht, hin oder her...

gegen Windows (NT, 2k, XP oder 7) ist prinzipiell auch nix zu sagen, grundsätzlich tut das schon.

nur:
- der Lebenszyklus wird immer kürzer (bei Win10 blick aktuell kaum jemand durch)
- nach Ablauf des Lebenszyklus keine Sicherheitsupdates mehr
- immer komplexer
UND
- alles vernetzt

Das passt heute eben nicht mehr zusammen.

Das 20 Jahre alte NT-System ohne Internetanbindung tut heute eigentlich auch noch, nur gibts leider keine Hardware mehr dazu. In der klassischen IT kauft man halt alle par Jahre nen neuen PC. In der Industrieautomatisierung ist das eben nicht so.

Und diese Schere geht immer weiter auseinander. Siemens hat das vermutlich auch schon gemerkt, und ewig gebraucht, mal was für Win10 anzubieten.

Eigentlich wirds Zeit für ein europäisches Industrie-Betriebssystem... Nur seh ich das nirgendwo am Horizont. Von daher gehört dann aber wenigstens Druck auf Microsoft ausgeübt, die speziellen Anforderungen der Industrieumgebung (vor allem auch Infrastruktur!) zu beachten.

Dazu gehört dann aber auch die Konsequenz der Anlagenbauer und Betreiber, dafür zu zahlen. Wenn es ein Industrie-BS für 1000€ geben würde, würde vermutlich trotzdem jede 2. Anlage mit Windows10 Home gebaut...

Also alles in allem war der Schaden vom Wochenende vermutlich noch zu gering, um alle Beteiligten etwas aufzurütteln.

Gruß.


----------



## DeltaMikeAir (15 Mai 2017)

> Wenn es ein Industrie-BS für 1000€ geben würde, würde vermutlich trotzdem jede 2. Anlage mit Windows10 Home gebaut...



Wenn es bei 50% eingesetzt würde, ist dass meiner Meinung nach schon sehr gut. Wenn man einem Kunden sagt, bezahl 750 € mehr für ein anderes
sichereres Betriebssystem, dass andere würde aber auch funktionieren, entscheiden viele "Entscheider" eben rational. Bei Anlagen z.B. in milchverarbeitenden Großbetrieben
wird bei Verhandlungen um jeden € gekämpft.

Wie soll man da für "etwas" mehr Sicherheit so etwas durchsetzen.

Klar gibt es Systeme, wo wohl auch Entscheider zustimmen würden ( Kraftwerk, Energie, Verkehrsleitsysteme und nun wohl auch die deutsche Bahn )

Mit Grüßen


----------



## bike (15 Mai 2017)

Kann man nicht eine Sammelklage wie gegen VauWe anstreben?
Dass Win$ absoluter Mist ist und Kill Gates, da die Buechse der Pandorra geoeffnet hat, ist von dem gewollt ( immer Umsatz, da das Alte negiert wird). 

@Ralle Klar kann mich an die ersten Schritte so Mitte 1970 erinnern.CPM / PCM . Da hat Siemens wie auch Nixdorf gedacht, die Welt ist eine Scheibe. 
Ich persoenlich finde es traurig, dass Steve Jobbs nicht so geldgeil war wie Kill Gates. Der hatte noch echte Visionen wie die digitale Zukunft fuer viele funktionieren könnte und haette nicht der NSA die jetzt genutzte Hintertuer eingebaut.

Ich denke nur, dass man ueber die Probleme nachdenken sollte. 
Wer kann denn heute noch mit gutem Gewissen den Kunden eine Vernetzung und Industrie 4.0 empfehlen?
Wer kann eine absolute Sicherheit des Netzes garantieren?
Würde jemand ein Auto kaufen, wenn die Möglichkeit besteht, dass die Bremsen von ausserhalb beeinflusst werden koennen und man dann gegen einen Baum prallt?

Ein Hinweis in eigener Sache. 
Meine Freundin fragte mich, warum ich einen Brunnen gebohrt und  PV und ein Stronaggregat bei uns installiert habe.
Die Wirtschaftlichkeit ist da eher weniger gegeben, doch wir haben immer eben Wasser und Strom.
Denn kann man sich auf die oeffentliche Vorsorge verlassen? Wir haben hier 2-3 mal Monat jetzt schon Stromausfall bei meiner Datscha. 


bike


----------



## DeltaMikeAir (15 Mai 2017)

> Würde jemand ein Auto kaufen, wenn die Möglichkeit besteht, dass die  Bremsen von ausserhalb beeinflusst werden koennen und man dann gegen  einen Baum prallt?



Gibts doch schon :-(
https://www.google.de/url?sa=t&rct=...b.html&usg=AFQjCNE1mJyppRUvZIJkkn9axtM04LHI1w

Und das Auto verkauft sich sehr gut.


----------



## Gerhard Bäurle (15 Mai 2017)

bike schrieb:


> Wer kann denn heute noch mit gutem Gewissen den Kunden eine Vernetzung und Industrie 4.0 empfehlen?



Da sehe ich kein Problem. Das globalisierte "Gewissen" ist ja praktisch keines mehr.



bike schrieb:


> Wer kann eine absolute Sicherheit des Netzes garantieren?



Es ist nichts absolut sicher, außer das wir alle sterben müssen.


----------



## Blockmove (15 Mai 2017)

ducati schrieb:


> Eigentlich wirds Zeit für ein europäisches Industrie-Betriebssystem... Nur seh ich das nirgendwo am Horizont. Von daher gehört dann aber wenigstens Druck auf Microsoft ausgeübt, die speziellen Anforderungen der Industrieumgebung (vor allem auch Infrastruktur!) zu beachten.



Die von dir geforderten Betriebssysteme gibt es schon lange: Linux und die diversen BSDs.
Sind mittlerweile in Milliarden Devices im Einsatz. Einzig im Desktop- und Officebereich ist Microsoft und Apple noch stark.
Verfolgt man die Microsoft-Politik genauer, dann sieht man, dass sie immer mehr Richtung Multiplattform umschwenken.
Es gibt bereits viele Propheten, die das Ende von Windows voraussagen. Im Zeitalter von Cloud und Apps hat das klassische Betriebssystem seine Rolle verloren.
Schließlich kann man mit Cloud und Apps mehr Geld erlösen, wie mit einem simplen Betriebssystem.
Das haben auch Bosch und Siemens mit ihren OpCon und Mindsphere erkannt. In Zukunft zieht man einfach eine Automation-App für eine NC-Achse in seine Entwicklungsumgebung und parametriert sie.
Und dank Cloudanbindung der Anlage erfolgt dann auch gleich die Abrechnung auf Basis der Motorumdrehungen. Bei 90% der bezahlten Laufzeit bekommst du dann die Aufforderung auf dem Panel, dass du wieder bezahlen musst damit die Anlage noch weiterläuft ... Fast so wie beim aktuellen Erpressungstrojaner 

Gruß
Blockmove


----------



## ducati (16 Mai 2017)

Blockmove schrieb:


> Die von dir geforderten Betriebssysteme gibt es schon lange: Linux und die diversen BSDs.



Ok, ohne dass ich jetzt wirklich Ahnung von Linux hätte. Gibt es ein etwas größeres und stabiles und ausgereiftes Leitsystem, alla WinCC7 oder PCS7 auf Basis eines ordentlichen Linux zu kaufen?
Und ich meine jetzt wirklich ausgereift und ohne Probleme...

Sicherlich gibts kleine Klitschen, die mal nen Panel oder sonstwas auf Linux oder vielleicht auch nen Raspberry PI verkaufen. Aber für wirklich große und wichtige Anlagen ist das doch eher Bastelkram? 

Für gegenteilige Argumente bin ich gerne aufgeschlossen...

Was ich aber nicht will, ist mich selbst mit dem Linuxkram tiefergehend zu befassen, weil da kommt einfach nix besseres raus, als das was ich mit Windows-basierten Rechnern auf die Beine stelle....

Gruß.


----------



## Fabpicard (16 Mai 2017)

bike schrieb:


> Wer kann eine absolute Sicherheit des Netzes garantieren?



Absolute Sicherheit, egal womit und worin, wird es nie geben... Außer man stellt jegliche Entwicklung ein...

Aber wie Blockmove schon so schön angeführt hat, gibt es auch sicherere Alternativen.

Frei nach dem Motto:
Wissen ist Macht, nichts wissen macht nichts.
Und:
Unwissenheit schützt vor Strafe nicht.

Es ist doch so, das wenn du die Katze im Sack kaufst, du nur hoffen kannst das alles richtig ist.
Hat Windoof nunmal eine Sicherheitslücke für die NSA eingebaut, wirst du das höchsten dann erfahren, wenn diese jemand findet und auch veröffentlicht.
Da sind wir dann bei einem entscheidenden Punkt: So schnell wird das niemand einfach so veröffentlichen.

Dazu gibt es auch gute Beispiele aus der Vergangenheit/Gegenwart:
Alle Verschlüsselungsalgorithmen die "geheimgehalten" wurden, waren lange zeit geknackt oder leicht Knackbar, bevor es öffentlich wurde.
Hat man dann schön bei der AES-Konferenz damals gesehen (übrigens federführend initiiert durch die NSA   ).
Alle mussten ihre eingereichten Algorithmen komplett offen legen. (jeder Kryptologe oder fast jeder Hacker auf der Welt würde sich direkt damit brüsten, wenn er einen Angriff für den aktuellen AES finden würde).
Und auf der Konferenz geschah das, was immer vorher gesagt wurde:
Die Telekom war mit ihrem Algorithmus auch dort, super sicher und deshalb jahrelang für Kundendaten usw. genutzt.
https://de.wikipedia.org/wiki/Magenta_(Algorithmus)
Absatz "Kryptoanalyse"... mehr muss ich dazu jetzt nicht mehr schreiben 

Fazit: Kannst sich Jeder auf der Welt zu jederzeit den ganzen Code ansehen, ist das zwar noch kein Grund für Sicherheit. Aber die Wahrscheinlichkeit das dann ein Fehler unentdeckt bleibt, ist extrem geringer als mit "geheimen Programmen"

MfG Fabsi


----------



## ducati (16 Mai 2017)

bike schrieb:


> Meine Freundin fragte mich, warum ich einen Brunnen gebohrt und  PV und ein Stronaggregat bei uns installiert habe.
> Die Wirtschaftlichkeit ist da eher weniger gegeben, doch wir haben immer eben Wasser und Strom.
> Denn kann man sich auf die oeffentliche Vorsorge verlassen? Wir haben hier 2-3 mal Monat jetzt schon Stromausfall bei meiner Datscha.





Blockmove schrieb:


> Es gibt bereits viele Propheten, die das Ende von Windows voraussagen. Im Zeitalter von Cloud und Apps hat das klassische Betriebssystem seine Rolle verloren.
> Schließlich kann man mit Cloud und Apps mehr Geld erlösen, wie mit einem simplen Betriebssystem.
> Das haben auch Bosch und Siemens mit ihren OpCon und Mindsphere erkannt.



OK, nen Brunnen hab ich schon, Stromaggregat besorg ich mir noch  Zur Not tuts auch nen Seil mit nem Eimer dran.

Was ist das Mindsphere denn? Siemens schreibt da echt nur Marketing blabla... 

Gruß


----------



## Blockmove (16 Mai 2017)

ducati schrieb:


> Was ist das Mindsphere denn? Siemens schreibt da echt nur Marketing blabla...



Mindsphere wird Industrie 5.0


----------



## RONIN (16 Mai 2017)

Der Betriebssystem-Diskussion kann ich nicht ganz folgen.

Ob es nun Windows/Linux/Mac oder Cloud mit Apps ist, Sicherheitslücken die Updates brauchen und Updates die Probleme machen wird's dort auch immer geben.
Nennen wir es das Update-Paradoxon... 

Bei Cloud entscheidet sogar noch ein anderer wann ein Update kommt ohne zu wissen ob dass mit den Client richtig läuft.
Systeme könnten auf allen BS stabil laufen, PCS7 wurde über Jahrzehnte für Windows entwickelt, hätte aber auch Betriebssystem X sein können.

Klar sind offenen Systeme zu bevorzugen, aber das ist dann für mich auch schon der Unterschied.
Basierend der Verfügung stehenden Automatisierungs-Systemen ist klar welches BS hauptsächlich verwendet wird, das macht's aber auch nicht besser.


----------



## ducati (16 Mai 2017)

RONIN schrieb:


> Der Betriebssystem-Diskussion kann ich nicht ganz folgen.
> 
> Ob es nun Windows/Linux/Mac oder Cloud mit Apps ist, Sicherheitslücken die Updates brauchen und Updates die Probleme machen wird's dort auch immer geben.
> Nennen wir es das Update-Paradoxon...



Nunja, ich denke, dass die meiste Schadsoftware ja nicht explizit für Industrieanlagen entwickelt wird. Wannacry hat ja sicherlich eher aus versehen auch die Bahn-Anzeigetafeln lahm gelegt. Ich glaube nicht, dass die Bahn da pro Tafel die 300$ gezahlt hat.

Wenn es für  Industrieanwendungen ein separates BS geben würde, würde zumindest schonmal die Anzahl der "ungezielten" Schäden sinken.

Gezielte Angriffe sind m.M. nach sowieso nicht zu verhindern.

Weiterhin ist ein weniger verbreitetes BS natürlich auch weniger interessant.

Gruß.


----------



## Blockmove (16 Mai 2017)

ducati schrieb:


> Ok, ohne dass ich jetzt wirklich Ahnung von Linux hätte. Gibt es ein etwas größeres und stabiles und ausgereiftes Leitsystem, alla WinCC7 oder PCS7 auf Basis eines ordentlichen Linux zu kaufen?



Lassen wir mal ausgereift weg ... Siemens Siclimat X.


----------



## ducati (16 Mai 2017)

Blockmove schrieb:


> Lassen wir mal ausgereift weg ... Siemens Siclimat X.



öhmm, zumindest der Client der hier grad im Nachbarraum rumsteht, läuft unter Win XP 

Wie sehen denn die Zukunftschancen für Siclimat X aus? Ich dachte das gibts für Neuanlagen schon garnicht mehr?

Gruß.


----------



## Blockmove (16 Mai 2017)

ducati schrieb:


> öhmm, zumindest der Client der hier grad im Nachbarraum rumsteht, läuft unter Win XP
> 
> Wie sehen denn die Zukunftschancen für Siclimat X aus? Ich dachte das gibts für Neuanlagen schon garnicht mehr?
> 
> Gruß.



Die Server laufen bei uns unter SuSE Linux mit Oracle-DB. Zukunftschancen würd ich sagen gar keine


----------



## bike (16 Mai 2017)

Ist die Frage Windoof oder nicht windoof?
Nein, die Frage ist für mich wie soll die schöne? neue Welt werden.
Wenn M$ die Verantwortung auf die Nutzer abschiebt, dann kann ja der Doktor des Vertrauens einen Zettel schreiben, mit dem man in der Apotheke sich sein bevorzugtes Medikament kaufen soll.
Egal ob es richtig ist und hilft.
Auch kann in Zukunft ein Autobastler ein Auto ohne Bremsen ausliefern und dem Kunden erklären er sei selbst Schuld.
Es ist eine absolute Frechheit von M$ und den Firmen die deren Mist verwenden, den Kunden allein im Regen stehen zu lassen.
Alle 5 Jahre alles neu kaufen? Wer macht und wer kann das? Mein Kühlschrank ist älter.
Warum es keine echte Alternative zu Windoof gibt ist doch, dass das Kapital überhaupt kein Interesse hat sich von der Gelddruckmaschine zu verabschieden.
Noch funktioniert es, doch wie lange noch?

Noch machen wir unsere Späße, doch was machen wir, wenn es die Daseinsvorsorge betrifft?
Wenn es Kraftwerke, Wasserwerke oder andere Infrastrukturen betrifft?
Was ist ein Warnschuss und warum gibt es diese?
Ich habe gelernt dazu zulernen. Dies vermisse ich bei der Digitalisierung. 
Alle reden über Breitband und so und was bzw wem hilft das?
Die Konzerne können mehr verkaufen und verdienen.
Die Menschen müssen auch lernen und Hilfe bekommen mit dem ganzen Scheiß umzugehen.


bike


----------



## Blockmove (16 Mai 2017)

bike schrieb:


> Ich habe gelernt dazu zulernen. Dies vermisse ich bei der Digitalisierung.



bike, das will ich so nicht stehen lassen.
Ich weiß welchen Aufwand wir im Konzern treiben, wieviel Personal und welche Kosten dahinter stehen.
Das Thema Industrial Network Security nimmt ähnliche Strukturen an, wie es vor ein paar Jahren bei Maschinensicherheit war.
Auch hier ist die Kunst die richtigen Experten zu finden und sich entsprechend zu organisieren.
Was wie vernetzt und welche Sicherheitsmaßnahmen zum Einsatz kommen wird nur nicht unbedingt öffentlich breitgetreten.

Gruß
Blockmove


----------



## bike (16 Mai 2017)

Blockmove schrieb:


> Was wie vernetzt und welche Sicherheitsmaßnahmen zum Einsatz kommen wird nur nicht unbedingt öffentlich breitgetreten.



Das stimmt ja alles.
ABER wenn M$ solche Löcher und Fehler in das OS reinbauen, was willst du da als Entwickler machen?
Kennst du alle Einfalltore? Auch die Schwachstellen der Router? 
Nach meiner Meinung ist der Hersteller, auch von Software für entstehende Schäden haftbar und nicht der Nutzer.
Und einfach sagen, das OS wird nicht mehr unterstützt entbindet NICHT von der Haftung.
Aber das ist ja eine Amifirma, die dürfen alles auch Mist. Wäre es eine deutsche Firma wären inzwischen tausende zu einer Sammelkläger gefunden worden.

Es geht mir nicht um M$ bashing, sondern dass es mich immer wieder erschreckt, wie alle von Industrie 4.0 und Breitband reden, doch die Technik es noch nicht abkann.
Wer auf der Hannover Messe war, der weiß vermutlich wovon ich schreibe. 
Und hier sind ja viele Leute die damit zu tun haben und daher die Frage, was kann getan werden, um zu verhindern, dass das auch erfolgreich wird und nicht im Chaos irgendwann versinkt und dann will es keiner gewesen sein.


bike


----------



## Fabpicard (16 Mai 2017)

ducati schrieb:


> Ok, ohne dass ich jetzt wirklich Ahnung von Linux hätte. Gibt es ein etwas größeres und stabiles und ausgereiftes Leitsystem, alla WinCC7 oder PCS7 auf Basis eines ordentlichen Linux zu kaufen?
> Und ich meine jetzt wirklich ausgereift und ohne Probleme...



Oh ja, diese gibt es. Nur wird die meisten wohl der Preis abschrecken 

Die meisten Energieversorgungsnetze arbeiten mit Leitsystemen auf SunOS-Betriebsystem. Oder anderen Unix/Linux-Derivaten.
Die Größenordnung des Systemes an dem ich damals nach der Ausbildung gesessen habe, würde viele PCS-7 Konstruktionen vermutlich hart an die Softwaregrenzen fahren... Von Windoof als BS mal abgesehen *ROFL*

Beispielsweise wurde mal für ganze 5,24ms die angeblich redundante Glasfaserverbindung zu einem der kleineren Leit-Standorte getrennt (6 Monate danach war diese dann wirklich Redundant   ), das ganze hat dann das Leitsystem dazu veranlasst, den ganzen Standort vom Netz zu trennen, damit dieser neu synchronisiert. Einfach nur, weil es ja sein könnte, das die Daten im Oracle Hochverfügbarkeits-Datenbankcluster nicht mehr 1000%ig konsistent sein könnten...
Ebenso dürfte vermutlich jegliches Windows mit den zu Hochzeiten gut 300.000 Stör/Warn/Info-Meldungen der diversen Meldeklassen und Meldegebieten Pro Stunde, ziemlich schnell seine schlecht verwalteten Arbeitsspeicherreserven auffressen und einen Reboot erzwingen 

Falls jemand Bedarf an solch einem großen System hat, kann er sich ja an die Fa. PSI wenden. Die wie ich gerade sehe, kleineren Kram inzwischen natürlich auch auf Windoof anbieten :/

MfG Fabsi


----------



## Blockmove (16 Mai 2017)

Bevor wir uns auf Microsoft einschiessen, packen wir uns doch mal an der eigenen Nase:
Welche Massnahmen trefft ihr bei vernetzten Anlagen?
Vergebt ihr Passworte in euren Steuerungen?
Die S7-1500 hat ein feingranulares Sicherheitssystem. Ich bin mir ziemlich sicher dass bei den meisten Vollzugriff aktiv ist.
Steckt mal bei euren Touch-Panels eine USB-Tastatur ein und probiert die üblichen Windows Tastenkombinationen.
Ändert ihr die Default-Passwörter von Netzwerkkomponten wie intelligenten Sensoren oder FUs?

Gruß
Blockmove


----------



## elbender (17 Mai 2017)

ducati schrieb:


> Ok, ohne dass ich jetzt wirklich Ahnung von Linux hätte. Gibt es ein etwas größeres und stabiles und ausgereiftes Leitsystem, alla WinCC7 oder PCS7 auf Basis eines ordentlichen Linux zu kaufen?
> Und ich meine jetzt wirklich ausgereift und ohne Probleme...
> 
> Sicherlich gibts kleine Klitschen, die mal nen Panel oder sonstwas auf Linux oder vielleicht auch nen Raspberry PI verkaufen. Aber für wirklich große und wichtige Anlagen ist das doch eher Bastelkram?
> ...




Aprol wäre da zu nennen von B&R. B&R wurde kürzlich von ABB aufgekauft. 
https://www.br-automation.com/de-de/produkte/prozessleittechnik/

Nachtrag:
Das unterliegende Linux kommt von Suse.
An sich hat das Produkt noch seine Ecken und kannten wenn man aus der Siemens-Welt kommt. Manches wirkt "unnötig" verkompliziert insgesamt macht es aber einen guten Eindruck. Man setzt auf moderne Technologien und nutzt viele Vorteile die einem Linux gegenüber Windows bietet. Es wird u.a. bei voestalpin eingesetzt


----------



## bike (17 Mai 2017)

@Blockmove: du hast ja recht, ABER wenn das OS so fehlerhaft ist, dann hat jemand etwas falsch gemacht.
Und wer soll das sein? Der Endbenutzer oder der Hersteller? Da muss man ansetzen. Mich kotzt es, dass jede Verantwortung einfach verschoben wird und keinen den Arsch in der Hose hat und sagt: wir haben Mist gebaut.
Klar, würde ich auch nicht tun, denn dann kommen 1000te Anwälte und füllen ihre Konto. Mist :-(


bike


----------



## ducati (17 Mai 2017)

Blockmove schrieb:


> Bevor wir uns auf Microsoft einschiessen, packen wir uns doch mal an der eigenen Nase:
> Welche Massnahmen trefft ihr bei vernetzten Anlagen?
> Vergebt ihr Passworte in euren Steuerungen?
> Die S7-1500 hat ein feingranulares Sicherheitssystem. Ich bin mir ziemlich sicher dass bei den meisten Vollzugriff aktiv ist.
> ...



Wobei das mit der unüberlegten Passwortvergabe auch ein Problem ist... Solange da beim Endkunden kein Konzept dahinter steht, stifte ich mit eigenmächtiger Passwortvergabe für die SPS eher mehr Verwirrung... Und wenn ich da bei jedem Projekt ne Grundsatzdiskussion anstoßen würde... naja dann gute Nacht 

Gruß.


----------



## bike (17 Mai 2017)

Was soll man machen, wenn der Kunde die PWD vorgeben, da die Instandhalter daran gewohnt sind?



bike


----------



## Blockmove (17 Mai 2017)

bike schrieb:


> Was soll man machen, wenn der Kunde die PWD vorgeben, da die Instandhalter daran gewohnt sind?



Nix. Du kannst nur darauf hinweisen.
Aber wie es beim Thema Maschinensicherheit​ auch war, schießen auch beim Thema Security die Experten aus dem Boden.
Beim BSI gibt es einiges an Infomaterial.

Gruß
Blockmove


----------



## bike (23 Mai 2017)

Also langsam sollte / muss man nachdenken.  
http://www.ardmediathek.de/tv/Repor...rste/Video?bcastId=799280&documentId=43011206 
Das hat selbst mich erschreckt.  
Dass ich meinen Nachbarn im Wlan oder "Smarthome" etwas zu denken bringe finde bzw fand ich lustig und war nie echt böse.   
Aber was in dem Bericht gezeigt wurde?????  
Sollte ich auch einmal die Windmühlen in Sachsen-Anhalt, wo ich meine Datscha habe, abschalten?  
Die schauen scheiße aus und machen Radau.    


bike


----------



## Blockmove (23 Mai 2017)

bike

wir sind ja beide schon alte Knochen.
Denk mal zurück an die Kindheit ... An der Haustür war ein ganz simples Bartschloß.
Und heute haben wir Sicherheitsschlösser mit Transponder.

Viele aktuelle Smarthome-Lösungen aus dem Baumarkt haben sogesehen nur einen einfachen Riegel.

Bei gewerblichen  Lösungen steht und fällt das ganze mit dem KnowHow desjenigen der die Lösung umsetzt.
Bei vielen Fernwartungslösungen bleibt dann halt das Default-Passwort drin.
Aber wie bereits schon gesagt, sprießen hier die Dienstleister aus dem Boden und da dürfte sich die aktuelle Situation bessern.

Letztlich ist es sicherlich nicht verkehrt Versorge für Notfälle zu treffen.

Gruß
Blockmove


----------



## bike (23 Mai 2017)

Also das "alt" nehme ich jetzt echt persönlich. 
Natürlich hast du recht. Jede Zeit hat ihre Stärken und Schwachstellen.
Wenn eine Türe unsanft geöffnet wird ist das bescheiden.
Aber das mit der Daseinsvorsorge? Das sollte doch funktionieren.
Am We werde ich mit meinem VauWe einmal durch die Pampa fahren und schauen wie viele "Energieanlagen" nicht sicher sind.
Wir haben hier BioGasAnlagen, die ich schon vor 3?Jahren angeschaut habe und die nach der Vorgabe des BSI sicher sein MÜSSEN.
Und die Dienstleister, das ist ja echt ein Geschäftsmodell.
Meine bessere Hälfte hatte Besuch von einem Menschen, der so eine pinkfarbene Firma(ist bink wirklich eine Farbe oder nur einen Zustand?)der ihr eine absolut sichere Internetverbindung versprochen hat, wenn sie wechsele.
Auf die Frage wer haftet, kam keine sinnvolle Antwort.

Das IP Protokoll ist eben nicht für so kriminelle Energie entwickelt worden.
Besser wird es, so denke ich,, wenn firefox und , so hoffe ich, andere Browser java außen vor lassen..
Für mich ist migrosofty schuld an den großen Problemen. Da war nur Gewinn im Blick, nicht der Kunde.
Ich bin froh, dass ich keine micrososse privat brauche und unsere Admin, arme Schweine, kümmern sich um die Firmensicherheit.   
Doch hilft das leider nicht gegen "smarthome".


bike


----------



## Fakrae (24 Mai 2017)

bike schrieb:


> Besser wird es, so denke ich,, wenn firefox und , so hoffe ich, andere Browser java außen vor lassen..


Ist Java nicht mittlerweile bei allen aktuellen Browsern (Chrome, Edge, Firefox) schon draußen oder zumindest soweit kastriert, dass man es nicht mehr wirklich nutzen kann?


----------



## bike (24 Mai 2017)

Na also noch funktioniert es.
Ich habe den feuerfox 52 und da funktioniert noch? java. ist ja auch gut so, denn viele Router und / oder  dsl Modems müssen mit Browser und java konfiguriert werden.
Aber das ist eher sekundär. Ich wollte andeuten, dass langsam ein Umdenken stattfindet.
Denn auch bei dem größten Onlinemarktplatz müssen eingebettetes java raus und das ist auch gut so.


bike


----------



## Gerhard Bäurle (24 Mai 2017)

Blockmove schrieb:


> Bei vielen Fernwartungslösungen bleibt dann halt das Default-Passwort drin.



Das ist eines der zentralen Probleme – dass das Bewusstsein für die 
Sicherheit weder beim Hersteller (kein Zwang zur Passwortänderung)
noch beim Endkunde (nimmt das hin) angekommen ist.

Betrifft nicht nur Fernwartung, sondern auch Webcams, Wärmepumpen,
Router und vieles mehr. 

Wenn man dann doch das Passwort ändert, ist das "Schnucki" oder "1234".

Alles, was der Mensch in die Hand nimmt, ist nun mal nur so gut, wie er 
es beherrscht. Unabhängig davon, ob es ein Pferdefuhrwerk (früher war
alles besser), ein Auto, ein Atomkraftwerk oder das Internet ist.


----------



## bike (24 Mai 2017)

Gerhard Bäurle schrieb:


> Alles, was der Mensch in die Hand nimmt, ist nun mal nur so gut, wie er es beherrscht.



Wer beherrscht das Internet?
Wie werde ich die Geister die los, die ich rief? Wer hat das irgendwann geschrieben? "sinnier"

Nicht das Internet ist das Problem, sondern es wurde Digitalisierung über alles gestellt und der Mensch wurde vergessen.
Gockel und Apfelmus und Migrodoof und leider viele andere werden immer reicher und auf der anderen Seite geht es den Menschen, auch in Deutschland, immer schlechter.   
Warum braucht man auf dem Land Glasfaser, während es ist unmöglich ist die Kommunikation sicher zu machen?
Und nur um die Menschen abzuzocken, Steuermilliarden zu investieren, ist unsozial. 
Wer braucht Internetfernsehen?
Und für normales Internetverhalten genügt auch Kupfer.
Aber das lenkt nur von dem eigentlichen Problem ab. Die "Endscheider" (von Ende abgeleitet) oder "Ausscheider" (wie Dünnschiss oder so) sind nicht in der Lage zu verstehen, welche Probleme oder Gefahren sie einkaufen.

Wer kann ein System verkaufen und dafür garantieren, dass es auch noch in 10 Jahren sicher ist?



bike


----------

