A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

01 Switche der Generation 6, wie der Profi-Line-Modular-Basis-Switch mit 12-Port-Erweiterungsmodul, lassen sich mit Apps um Funktionen, wie einer erweiterten Zugriffssicherheit oder dem Disconnect Monitoring, erweitern

Sicherheit durch Apps in industriellen Netzen

02 Zugriffsschutz auf Anwendungsebene – nur authentifizierten Usern/Anlagen wird ein autorisiertes VLAN zugewiesen

03 Netzwerkendgeräte vor Diebstahl schützen: Intelligenter Industrie-Switch schlägt Alarm, wenn angeschlossenes Gerät (zum Beispiel ein Rechner) entfernt wird

Der hohe Automatisierungsgrad in Industrie- und Produktionsanlagen ermöglicht eine gute Fertigungsqualität sowie kurze, effiziente Kommunikationswege mit Zulieferern und Kunden. Die vernetzte Fertigung bietet wirtschaftliche Vorteile und ist für die Konkurrenzfähigkeit der Unternehmen unerlässlich. Sie birgt jedoch auch Risiken, besonders was die Sicherheit industrieller Datennetze betrifft. Dezentrale Netzwerkinfrastrukturen mit zusätzlichen intelligenten Softwarebausteinen – sogenannten Apps – bieten das heutzutage notwendige erhöhte Sicherheitsniveau.

Information und Kommunikation sind zu unverzichtbaren Faktoren in der modernen Industrie geworden. Das herkömmliche Konzept der Datennetzwerktechnik und der damit verbundenen Infrastruktur ist mittlerweile jedoch 20 Jahre alt; mit den aktuellen Entwicklungen kann es kaum noch mithalten. Verteilte Dienste und ein gestiegenes Sicherheitsbedürfnis erfordern ein dezentrales Infrastrukturkonzept. Sicherheitsmerkmale und intelligente Funktionen müssen dort zur Verfügung stehen, wo sie gebraucht werden: vor Ort beim Anwender und an der Maschine.

Apps statt Firmware-Änderungen
Als intelligente Netzwerkkomponenten können Switche erweiterte Funktionalitäten zur Verfügung stellen. Dafür waren bisher aber meist aufwendige, zeit- und kostenintensive Firmware-Änderungen nötig. Dass es auch einfacher geht, beweist der Technologiepionier Microsens: Mit Apps, wie man sie von Smartphones und Tablets kennt, lassen sich intelligente Switche auf denkbar einfache Weise mit weitreichenden und komplexen Funktionen, wie einer erweiterten Zugriffssicherheit oder dem Disconnect Monitoring, erweitern (Bild 1). Solche Apps werden als fertige, leistungsfähige Miniprogramme in den Switch geladen. Ein Eingriff in die Switch-Firmware ist dabei nicht erforderlich, sie bleibt unverändert. Dadurch ist es sogar dem Anwender selbst möglich, den Switch um intelligente Funktionen zu erweitern. Wer die Funktionalitäten lieber selbst programmieren möchte, statt fertige Apps zu verwenden, kann mit der Skriptsprache Microscript individuelle Skripte direkt am Switch erstellen. Die Switche der Generation 6 von Microsens haben ein eigenes Web-Interface mit integriertem Skript-Editor, auf das über den Browser zugegriffen werden kann. Skripte lassen sich aber auch ganz bequem mit einer Entwicklungsumgebung erstellen und anschließend in den Switch laden. Microscript bietet dabei ein besonderes Plus an Sicherheit. Skripte, die damit erstellt wurden, laufen oberhalb der Betriebssystemebene und haben nur die Zugriffsrechte des Anwenders, der sie ausführt. Die Skripte können mögliche Sicherheitslücken im Betriebssystem nicht ausnutzen. Sicherheitsprobleme werden damit von Grund auf vermieden.

Erweiterte Zugriffssicherheit
Die normkonforme Struktur des dezentralen Netzwerks nach DIN EN 50173-5 (VDE 0800-173-5) ist denkbar einfach: Ein Switch stellt als aktives Element im Anwenderbereich flexible Kupferanschlüsse für Endgeräte, Maschinen und Anlagen zur Verfügung. Die Authentifizierung des Users am Switch vor Ort sorgt dafür, dass ein Anwender ohne die notwendige Berechtigung gar nicht erst ins Netz gelangt. Je nach Berechtigung wird der Anwender mit einem sicheren virtuellen LAN verbunden, nach Anwendervorgaben in ein nicht autorisiertes VLAN geschaltet oder bereits direkt am Anschluss geblockt (Bild 2). Für noch höhere Sicherheit lässt sich auch ein Anschluss einem Endgerät fest zuordnen. Andere Geräte werden abgewiesen. Ein Radius-Server, wie bei herkömmlichen Lösungen, ist dazu nicht erforderlich. Die Funktionen sind direkt auf dem Switch implementiert. Solch eine Lösung geht weit über die in der IEEE 802.1X definierten Forderungen hinaus und bietet umfassende Sicherheit durch Port-Security. Ein weiterer wichtiger Sicherheitsschritt besteht darin, nicht benötigte Netzwerkports automatisch zu deaktivieren. Über entsprechende Funktionen in den Switche sind Ports beispielsweise nur zu bestimmten Zeiten offen. Außerhalb der vom Anwender festgelegten Betriebszeiten sind sie deaktiviert und verhindern damit einen möglichen unbefugten Netzzugang.

Volle Kontrolle über die Endgeräte
Genauso wichtig wie die Zugangssicherheit ist die Kontrolle, ob ein Endgerät entfernt wird. Die Disconnect-Monitor- Funktion der Switche von Microsens erkennt, ob ein angeschlossenes Gerät entfernt wird (Bild 3). Über eine zyklische Impedanzmessung der Verbindung über das Twisted-Pair- Kabel überwacht der Switch permanent, ob ein Endgerät physikalisch angeschlossen ist – auch wenn dieses ausgeschaltet ist. Damit lässt sich beispielsweise der Diebstahl eines über Nacht ausgeschalteten Endgeräts zuverlässig feststellen und eine sofortige Alarmierung auslösen. Herkömmliche Switche können nur über den Linkstatus erkennen, ob ein Endgerät angeschlossen ist. Das Entfernen eines ausgeschalteten Endgeräts kann so nicht festgestellt werden. Alarmmeldungen des Disconnect Monitors lassen sich auch über einen geeigneten externen Dienst als SMS oder E-Mail weiterleiten. Administrator und Sicherheitsdienst können so einfach, schnell und zuverlässig informiert werden. Disconnect Monitoring funktioniert mit jedem angeschlossenen Gerät – auch mit Maschinen und Anlagen. Es ist zwar recht unwahrscheinlich, dass eine komplette Maschine gestohlen wird, doch in kritischen Fertigungsumgebungen ist es wichtig, die zuständigen Stellen zu informieren, wenn eine Verbindung ausgesteckt ist. Nimmt man eine Maschine oder ein Anlagenteil beispielsweise zu Wartungszwecken vom Netz, kann es vorkommen, dass sie nicht oder nicht rechtzeitig wieder mit dem Datennetz verbunden wird. Disconnect Monitoring erkennt, dass das Patchkabel der Maschine nicht eingesteckt ist, noch bevor diese anläuft. Eine zeitintensive Fehlersuche und damit verbundene teure Produktionsunterbrechungen lassen sich so wirkungsvoll vermeiden. Diese Funktion sorgt auch bei Anschlüssen in zugänglichen Bereichen für ein zusätzliches Maß an Sicherheit: Wird beispielsweise ein WLAN Access Point für kurze Zeit ausgesteckt, um ein manipuliertes Gerät zwischenzuschalten, bemerkt das Disconnect Monitoring diese Unterbrechung und sperrt den Port, bis ihn ein autorisierter User wieder freigibt. Ein unbefugter Zugriff ist damit wirksam unterbunden. Die Industriekomponenten von Microsens haben darüber hinaus einen integrierten IO-Port. Über den kann ohne besonderen Aufwand beispielsweise eine Schranküberwachung und gleichzeitig eine externe Signalisierung etwa durch eine Warnleuchte oder eine Hupe erfolgen. Fazit Industrielle Netze stellen naturgemäß besonders hohe Anforderungen an Sicherheit und Monitoring. Dezentrale Netze erfüllen diese Anforderungen dort, wo sie gebraucht werden, nämlich direkt vor Ort. Intelligente, leistungsfähige dezentrale Switche stellen dabei erweiterte Funktionalitäten zur Verfügung, die vor Jahren noch undenkbar waren. Intelligente Applikationen, kurz Apps, werden einfach in den Switch geladen oder aktiviert und ermöglichen ein bislang unerreichtes Maß an Flexibilität und Sicherheit. Mit der innovativen Scriptsprache Mikroscript ermöglicht der Technologieführer Microsens es Anwendern, leistungsfähige Skripte selbst zu erstellen, statt fertige Apps zu beziehen. (no)

Next Generation Switch
Die Industrie-Switche der Generation 6 können mehr als nur Daten verteilen. Eine leistungsfähige Programmierschnittstelle ermöglicht die Installation von Zusatzprogrammen (Apps), die intelligente Funktionen im Netz übernehmen. Damit lassen sich anwendungsspezifische Erweiterungen, die einen echten Zusatznutzen bieten, schnell und einfach implementieren.

Der Beitrag als pdf

Autor:
Thomas Kwaterski ist Prokurist und Mitgründer der Microsens GmbH & Co. KG – Euromicron Group in Hamm/Westf. info@microsens.de