×
Siemens Industry Online Support
Siemens AG
  • Inhalt
  • Suche
  • Index
  • Automatisierungssystem
    • Schutz
      • Übersicht über die Schutzfunktionen
      • Zugriffsschutz für die CPU projektieren
      • Zusätzlichen Passwortschutz über das Display einstellen
      • Zusätzlichen Zugriffsschutz über Anwenderprogramm einstellen
      • Know-how-Schutz
      • Kopierschutz
      • Schutz durch Verriegelung der CPU/des Interfacemoduls
    • Glossar
    (34)
    Bewerten

    Beitragstyp: Handbuch, Beitrags-ID: 59191792, Beitragsdatum: 10.10.2019

    SIMATIC S7-1500, ET 200MP Automatisierungssystem

    Dokument: Automatisierungssystem (11/2019, Deutsch)
    Topictyp: Sachverhalt

    Zugriffsschutz für die CPU projektieren

    Einleitung

    Um den Zugang zu bestimmten Funktionen einzuschränken, bietet Ihnen die CPU vier verschiedene Zugriffsstufen.

    Mit dem Einrichten von Zugriffsstufen und Passwörtern schränken Sie die Funktionen und Speicherbereiche ein, die ohne Eingabe eines Passworts zugänglich sind. Die einzelnen Zugriffsstufen sowie die dazugehörigen Passwörter legen Sie in den Objekteigenschaften der CPU fest.

    Regeln für Passwörter

    Achten Sie darauf, dass das Passwort ausreichend sicher ist. Beachten Sie dazu folgende Regeln:

    • Vergeben Sie ein Passwort mit einer Länge von mindestens 8 Zeichen.
    • Verwenden Sie verschiedene Arten von Schreibweisen: Groß-/Kleinbuchstaben, Nummern und Sonderzeichen.

    Zugriffsstufen der CPU

    Tabelle: Zugriffsstufen und deren Zugangsbeschränkungen

    Zugriffsstufen

    Zugangsbeschränkungen

    Vollzugriff (kein Schutz)

    Jeder Nutzer kann die Hardware-Konfiguration und die Bausteine lesen und verändern.

    Lesezugriff

    Mit dieser Zugriffsstufe ist ohne Angabe des Passworts nur lesender Zugriff auf die Hardware-Konfiguration und die Bausteine möglich. Sie können Hardware-Konfiguration und Bausteine ins Programmiergerät laden. Möglich ist außerdem der HMI-Zugang und Zugriff auf Diagnosedaten.

    Ohne Eingabe des Passworts sind Bausteine und die Hardware-Konfiguration nicht in die CPUs ladbar. Außerdem ist ohne Passwort Folgendes nicht möglich: schreibende Testfunktionen und Firmware-Update (online).

    HMI-Zugriff

    Mit dieser Zugriffsstufe ist ohne Angabe des Passworts nur der HMI-Zugang und der Zugriff auf Diagnosedaten möglich.

    Sie können ohne Angabe des Passworts weder Bausteine und die Hardware-Konfiguration in die CPU laden, noch von der CPU Bausteine und die Hardware-Konfiguration ins Programmiergerät laden.

    Außerdem ist ohne Passwort Folgendes nicht möglich: Testfunktionen, Wechsel des Betriebszustands (RUN/STOP), Firmware-Update und Anzeige des Online/Offline-Vergleichsstatus.

    Kein Zugriff (kompletter Schutz)

    Wenn die CPU komplett geschützt ist, dann ist (ohne Zugriffsberechtigung mit dem Passwort) weder lesender noch schreibender Zugriff auf die Hardware-Konfiguration und die Bausteine möglich. Auch der HMI-Zugriff ist nicht möglich. Die Server-Funktion für PUT/GET-Kommunikation ist in dieser Zugriffsstufe deaktiviert (nicht änderbar).

    Durch die Legitimation mit dem Passwort erhalten Sie wieder Vollzugriff auf die CPU.

    Eine Aufzählung, welche Funktionen in den verschiedenen Schutzstufen möglich sind, finden Sie in der STEP 7 Online-Hilfe unter dem Eintrag "Einstellmöglichkeiten für den Schutz".

    Eigenschaften der Zugriffsstufen

    Jede Zugriffsstufe lässt auch ohne Eingabe eines Passworts den uneingeschränkten Zugriff auf bestimmte Funktionen zu, z. B. Identifikation über die Funktion "Erreichbare Teilnehmer".

    Die Voreinstellung der CPU ist "ohne Einschränkung" und "ohne Passwortschutz". Um den Zugang zu einer CPU zu schützen, müssen Sie die Eigenschaften der CPU bearbeiten und ein Passwort einrichten. In der voreingestellten Zugriffsstufe "Vollzugriff (kein Schutz)" darf jeder Nutzer die Hardware-Konfiguration und die Bausteine lesen und verändern. Ein Passwort ist nicht parametriert und wird auch für den Online-Zugriff nicht benötigt.

    Die Kommunikation zwischen den CPUs (über die Kommunikationsfunktionen in den Bausteinen) ist durch die Zugriffsstufe der CPU nicht eingeschränkt, es sei denn PUT/GET-Kommunikation ist in der Zugriffsstufe "kein Zugriff" (kompletter Schutz) deaktiviert.

    Die Eingabe des richtigen Passworts gestattet den Zugriff auf alle Funktionen, die in der entsprechenden Stufe erlaubt sind.


    Hinweis

    Projektierung einer Zugriffsstufe ersetzt nicht den Know-how-Schutz

    Die Parametrierung von Zugriffsstufen bietet hochwertigen Schutz gegen unrechtmäßige Änderungen an der CPU über einen Netzwerkzugang. Durch die Zugriffsstufen schränken die Rechte zum Laden der Hardware-Konfiguration und Software in die CPU ein. Bausteine auf der SIMATIC Memory Card sind jedoch nicht schreib- oder lesegeschützt. Um den Code von Bausteinen auf der SIMATIC Memory Card zu schützen, verwenden Sie den Know-how-Schutz.



    Verhalten von Funktionen bei unterschiedlichen Zugriffsstufen

    Eine tabellarische Aufzählung, welche Online-Funktionen in den verschiedenen Zugriffsstufen möglich sind, finden Sie in der Online-Hilfe von STEP 7.

    Zugriffsstufen parametrieren

    Um die Zugriffsstufen für eine S7‑1500 CPU zu parametrieren, gehen Sie folgendermaßen vor:

    1. Öffnen Sie die Eigenschaften der S7‑1500 CPU im Inspektorfenster.
    2. Öffnen Sie in der Bereichsnavigation den Eintrag "Schutz & Security".

      Eine Tabelle mit den möglichen Zugriffsstufen wird im Inspektorfenster angezeigt.


      Bild: Mögliche Zugriffsstufen

    3. Aktivieren Sie die gewünschte Zugriffsstufe in der ersten Spalte der Tabelle. Die grünen Haken in den Spalten rechts der jeweiligen Zugriffsstufe zeigen Ihnen, welche Operationen noch möglich sind, ohne das Passwort einzugeben. Im Beispiel (Bild: Mögliche Zugriffstufen) ist ohne Passwort noch ein Lesezugriff und HMI-Zugriff möglich.
    4. Vergeben Sie in der Spalte "Passwort eingeben" in der ersten Zeile ein Passwort für die Zugriffsstufe "Vollzugriff". Wiederholen Sie zum Schutz vor Fehleingaben das gewählte Passwort in der Spalte "Passwort bestätigen".
    5. Falls erforderlich, weisen Sie weiteren Zugriffsstufen nach Bedarf weitere Passwörter zu.
    6. Damit die Zugriffsstufe wirksam wird, laden Sie die Hardware-Konfiguration.

    Die CPU protokolliert folgende Handlungen mit einem Eintrag im Diagnosepuffer:

    • Eingabe des richtigen gegebenenfalls falschen Passworts
    • Änderungen in der Konfiguration der Zugriffstufen

    Verhalten einer passwortgeschützten CPU im Betrieb

    Der Schutz der CPU ist wirksam für eine Online-Verbindung, nachdem Sie die Einstellungen in die CPU geladen haben.

    Vor der Ausführung einer Online-Funktion prüft STEP 7 die Zulässigkeit und fordert im Falle eines Passwortschutzes zur Passworteingabe auf. Die durch Passwort geschützten Funktionen können zu einem Zeitpunkt nur von einem PG/PC ausgeführt werden. Ein weiteres PG/PC kann sich nicht anmelden.

    Die Zugangsberechtigung zu den geschützten Daten gilt für die Dauer der Online-Verbindung bzw. solange Sie STEP 7 geöffnet haben. Über den Menübefehl "

    Online > Zugriffsrechte löschen" heben Sie die Zugangsberechtigung wieder auf.

    Der Zugriff auf eine passwortgeschützte CPU in RUN können Sie lokal am Display einschränken. Dadurch ist auch ein Zugriff mit Passwort nicht möglich.

    Zugriffsstufen für F-CPUs

    Für die fehlersicheren CPUs existiert neben den vier beschriebenen Zugriffsstufen eine weitere Zugriffsstufe. Weitere Informationen zu dieser Zugriffsstufe finden Sie in der Beschreibung des F­­‑Systems SIMATIC Safety Programmier- und Bedienhandbuch SIMATIC Safety - Projektieren und Programmieren.



     

    Beitrag bewerten
    keine Bewertung
    Anfragen und Feedback
    Was möchten Sie tun?
    Hinweis: Das Feedback bezieht sich immer auf den vorliegenden Beitrag / das vorliegende Produkt. Ihre Nachricht wird an die Redakteure im Online Support gesendet. In einigen Tagen erhalten Sie von uns eine Antwort, wenn Ihr Feedback das erfordert. Ist für uns alles klar, werden wir Ihnen nicht mehr antworten.