Sicherheitsinformationen

Sicherheitshinweise für den Betrieb von Automatisierungstechnik in vernetzter Umgebung

Der Betrieb von Anlagen, Systemen und Maschinen in einer vernetzten Umgebung erfordert grundsätzlich die Implementierung eines ganzheitlichen Konzepts für die IT-Security das dem aktuellen Stand der Technik entspricht.

Um den Anwender im Hinblick auf den sicheren Betrieb von Rexroth Produkten bestmögliche Hilfestellung zu geben, wurden in Bezug auf IT-Security relevante Produkteigenschaften sowie mögliche technische und organisatorische Maßnahmen in nachfolgendem Leitfaden zusammengefasst:

Security-Leitfaden Elektrische Antriebe und Steuerungen

Sicherheitsrouter FL MGUARD und TC MGUARD

2020-07-28

Produktinformationen für Sicherheitsrouter FL MGUARD und TC MGUARD

Bei den von Bosch Rexroth vertriebenen Sicherheitsgeräten FL MGUARD und TC MGUARD handelt es sich um als Handelsware eingeführte Geräte der Firma Phoenix Contact. Vom Hersteller wurde ein Security Advisory veröffentlicht, welches auf eine kritische Sicherheitslücke in den Point-to-Point Services hinweist.

Es wird dringend empfohlen, den Firmwarestand der betroffenen Geräte zu aktualisieren.

Mehr Informationen

Rexroth Feldbuskoppler S20-PN-BK+/S20-ETH-BK

2020-03-12

Wichtige Produktinformationen für Rexroth Feldbuskoppler S20-PN-BK+/S20-ETH-BK

Die von Bosch Rexroth vertriebenen Feldbuskoppler S20-PN-BK+/S20-ETH-BK beinhalten Technologie von Phoenix Contact. Vom Hersteller wurde ein Sicherheits-Bulletin [1] über eine Schwachstelle in der webbasierten Administrationsoberfläche zur Verwaltung der Geräteeigenschaften veröffentlicht. Durch ein Ausnutzen der Schwachstelle kann das Gerät in einen Zustand versetzt werden, in welchem Netzwerkanfragen nicht mehr beantwortet werden. Um das Gerät wieder in einen ordnungsgemäßen Zustand zu versetzen, muss dieses neu gestartet werden.

Die Schwachstelle betrifft alle verfügbaren Hardware-Revisionen und alle Software-Versionen.

Es wird daher beim Einsatz der Geräte dringend empfohlen, die in der DC-Sicherheitsrichtlinie beschriebenen Maßnahmen zur Segmentierung von Netzwerken umzusetzen (Siehe dazu „Security-Leitfaden Elektrische Antriebe und Steuerungen“ [3]).

Weitere detaillierte technische Informationen über die Schwachstelle finden Sie unter [1], [2].

Quellen:

[1]: Security_Advirory_CVE-2018-16994.pdf

[2]: PSIRT Information

[3]: Security-Leitfaden Elektrische Antriebe und Steuerungen

IndraWorks – Installationsproblem

2019-10-08

Wichtige Produktinformation für IndraWorks

Es wurden von Microsoft wichtige Sicherheitsupdates (ThreatCon 6) für die Betriebssysteme Windows10 (KB4522015) und Windows 7 (KB4522007) veröffentlicht.

Die Installation dieser Sicherheitsupdates führten, zu einem vorzeitgen Abbruch einer IndraWorks-Installation.

Ursache: von Microsoft veröffentlichte Sicherheitsupdates führen zu fehlerhaften IndraWorks-Installationen:

Windows 10: KB4522015
Windows 7: KB4522007, KB4524157

Lösung: oben genannten Microsoft-Sicherheitsupdates durch neuere Versionen ersetzen:

Windows 10: KB4519338
Windows 7: KB4519976

Embedded-Steuerungen

2019-08-06

Wichtige Produktinformationen für Embedded-Steuerungen

Für das Betriebssystem VxWorks, welches in den Embedded-Steuerungen von Bosch Rexroth eingesetzt wird, wurden am 29.07.2019 Informationen über mehrere kritische Schwachstellen im Netzwerk-Protokollstapel veröffentlicht. [1],[2]

Folgende Geräte sind von der Schwachstelle betroffen:

- Embedded-Steuerungen CML75 mit einem MLC/XLC-Firmware-Versionsstand vor 14V22 Patch 4,

- Embedded-Steuerungen XM21, XM22, XM42 mit einem MLC-Firmware-Versionsstand vor 14V22 Patch 4,

- Industrie-PC VPB40.4 mit einem Firmware-Versionsstand vor 14V22 Patch 4,

- Embedded-Steuerungen CML75, CML85 mit einem MTX-Firmware-Versionsstand (alle Versionen)

Mehr Informationen

IndraWorks Operation (WinStudio)

2019-02-15

Wichtige Produktinformationen für Bosch Rexroth IndraWorks Operation (WinStudio)

Die Bosch Rexroth Engineering- und Betriebssoftware IndraWorks stellt Winstudio für die Entwicklung von Visualisierungsanwendungen zur Verfügung. Winstudio beinhaltet die Technologie von InduSoft Web Studio. Am 04.02.2019 hat AVEVA Software, LLC. "("AVEVA"), der Hersteller von InduSoft Web Studio, ein Sicherheitsbulletin [1] mit Informationen über eine kritische Sicherheitslücke in Web Studio veröffentlicht.

Diese Schwachstelle betrifft ebenfalls:

- Alle Projekte, die mit Winstudio-Versionen vor 7.4 SP1 erstellt wurden

- Alle Projekte, die mit IndraWorks-Versionen vor 15V02 erstellt wurden

Mehr Informationen

Security Leitfaden

IndraWorks Operation (WinStudio)

2018-11-001

Wichtige Produktinformationen für Bosch Rexroth IndraWorks Operation (WinStudio)

Die Bosch Rexroth Engineering- und Betriebssoftware IndraWorks stellt für die Entwicklung von Visualisierungsanwendungen zur Verfügung. WinStudio beinhaltet die Technologie von InduSoft Web Studio. Am 30.10.2018 hat AVEVA Software, LLC. ("AVEVA"), der Hersteller von InduSoft Web Studio, ein Sicherheitsbulletin [2] mit Informationen über eine kritische Sicherheitslücke in Web Studio veröffentlicht.

Mehr Informationen

Meltdown / Spectre

2018-01-001

Allgemeine Information zu Meltdown / Spectre

Meltdown und Spectre können zum Ausspähen von Daten genutzt werden. Grundsätzliche Maßnahmen zum Schutz gegen Schadsoftware sind im Security-Leitfaden dokumentiert. Auf Embedded Systemen wie der IndraControl CML75, ist nach aktuellem Kenntnisstand nur dann ein höheres Risiko vorhanden, wenn zusätzlich potentieller Schadcode auf dem Gerät selbst eingebracht wird.

Mehr Informationen

2018-01-002

Wichtige Produktinformation für Bosch Rexroth IndraWorks Engineering

Die Windows-Security-Patches für die Schwachstellen Meltdown und Spectre beeinträchtigen die Nutzbarkeit der Bosch Rexroth Engineering- und Bediensoftware IndraWorks in erheblichem Ausmaß.

Insbesondere werden der Start von internen Dienstprogrammen und Dialogfeldern sowie die Kommunikation mit Steuerungen und Antrieben verhindert. Ursächlich hierfür ist ein Fehler seitens Microsoft. Microsoft arbeitet an einer Lösung. Es wird nachdrücklich abgeraten, auf einem Gerät, auf welchem IndraWorks verwendet wird, diese Patches zu installieren. Die Installation der Patches im Rahmen der automatischen Updates ist nach Rücksprache mit den IT-Verantwortlichen zu verhindern. Stattdessen ist abzuwarten, bis ein fehlerbereinigter Patch von Microsoft zur Verfügung steht.

Mehr Informationen

2018-01-003

Update zur Produktinformation für Bosch Rexroth IndraWorks Engineering und IndraWorks Operation

Dieser Fehler betrifft nur die Betriebssysteme Windows 8 und Windows 10. Das Betriebssystem Windows 7 ist nicht, wie ursprünglich publiziert, betroffen.

Mehr Informationen

WannaCry

2017-06-001

Gefährdung Rexroth HMI-Produkte durch WannaCry Ransomware

Handlungsempfehlungen für Kunden zum Umgang mit der Gefährdung durch WannaCry Ransomware.

Für Industrie-PC und Embedded-PC Geräte mit Windows-Betriebsystemen Windows XP, Windows 7 und Windows 10 und einem Betriebsystemstand älter als März 2017 besteht eine Sicherheitsanfälligkeit durch Remotecode-ausführung über SMB.

Diese Anfälligkeit wird aktuell durch die Ransomware „WannaCry“ genutzt um Schadsoftware zu verbreiten und Daten betroffener Systeme zu verschlüsseln.

Mehr Informationen

Produkte

Produktsupport
- Produktdokumentation
- Konfiguratoren und Tools
- Bosch Rexroth Apps
- Hydraulikflüssigkeiten
- Sicherheitsinformationen
- Vorausschauende Analyse