A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

Sicher und durchgängig kommunizieren

01  Bei dem Cell-Zone-Site-Konzept wird das Fabrik-Netzwerk in Unterbereiche aufgeteilt, die gemeinsam (Zellen in Zonen und Zonen in Sites) noch einmal geschützt werden. So wird es schwieriger, von einer Zelle in die andere zu gelangen oder gar in die gesamte Site

01  Bei dem Cell-Zone-Site-Konzept wird das Fabrik-Netzwerk in Unterbereiche aufgeteilt, die gemeinsam (Zellen in Zonen und Zonen in Sites) noch einmal geschützt werden. So wird es schwieriger, von einer Zelle in die andere zu gelangen oder gar in die gesamte Site

02  Mit der richtigen Struktur und den passenden ­Geräten lassen sich Automatisierungsnetzwerke vor unbefungten Zugriffen schützen

02  Mit der richtigen Struktur und den passenden ­Geräten lassen sich Automatisierungsnetzwerke vor unbefungten Zugriffen schützen

Neben dem Trend hin zur Integration bestehender Feldgeräte in Ethernet-Netzwerke steigt in der Fabrikautomation der Bedarf an umfassenden Sicherheitslösungen (Cyber Security). Auch der Einsatz von Wireless-Lösungen gewinnt an Bedeutung. Zunehmend gefragt sind zudem Lösungen für das Fernwirken und -warten (Remote Automation). Mit diesen vier Trends in der Fabrikautomation hat sich Moxa eingehend befasst und seine Kommunikationslösungen entsprechend ausgerichtet.

Die Produkte von Moxa kommen in allen Bereichen der Automatisierungspyramide zum Einsatz. Auf der Managementebene bilden sie eine leistungsfähige Ethernet-Infrastruktur. Auf der Steuerungsebene ermöglichen Ethernet Switche die flexible, skalierbare Netzwerk-Aggregation und Ethernet-Gateways sorgen für die erweiterte Nutzung bestehender Feldbusgeräte. Remote-IO-Lösungen ermöglichen das Fernwirken und -warten. Zudem decken industrielle Secure-Router den Bedarf an sicherer Kommunikation. Im Feld lösen schließlich verschiedenste Produkte die vielschichtigen Aufgaben vor Ort. Dazu gehören Embedded Computer, Videonetzwerkkomponenten, Drahtlosgeräte und Geräte für die serielle Kommunikation.

Vertikale Integration mittels Ethernet
Bei der vertikalen Integration sämtlicher Ebenen in der ­Fabrikautomation heißt das Schlüsselthema Feldbusintegra­tion. Schnell und einfach ins Ethernet – das ist das Ziel. Ethernet-Konvergenz bedeutet nichts anderes, als das Ziel, die gesamte Kommunikation über Ethernet abzuwickeln. Warum das erstrebenswert ist? Weil Industrial Ethernet aufgrund seiner Historie geringe Kosten pro Port und pro Meter Verkabelung erzeugt.
Die Kommunikation von der untersten Produktionsebene, sprich von Einzelgeräten, wie Werkzeugen oder Werkzeugmaschinen bis hin zur Planung oder Kontrolle am oberen Ende der Fertigungspyramide erfordert ein einheitliches Kommunikationsprotokoll. Allerdings gibt es viele verschiedene Kommunikationsgeräte und -medien, denen zunächst dabei geholfen werden muss, über Ethernet kommunizieren zu können. Dafür sind wiederum Geräte nötig, die die Kommunikationsprotokolle entsprechend umwandeln, wie Konverter oder Gateways. Darüber hinaus gibt es Konvergenztreiber, wie Geräteserver oder IO-Geräte, die dafür sorgen, dass Daten über Ethernet übertragen werden. Ein weiterer Konvergenztreiber findet sich im Bereich IP-Video. Dabei wird die Infrastruktur des Netzwerks genutzt, sodass man im Vergleich zu analogen Videoanwendungen keine separaten Leitungen benötigt. Stattdessen wandeln Videokonverter analoge in digitale Videodaten, die dann über Ethernet übertragen werden können.
Im Feld lassen sich durch die Überführung ins Ethernet auf einen Streich alle Geräte integrieren. Gateways konvertieren typische Feldbusprotokolle, wie Modbus oder Profibus. IO-Geräte konvertieren analoge Eingangsdaten in digitale Ausgangsdaten.
Ethernet hat den Vorteil, dass es auf physikalischer Ebene sowohl über Kupferleitungen, als auch Glasfaser oder sogar drahtlos laufen kann und somit den Bedürfnissen verschiedenster Datenanwendungen Rechnung trägt. Bei Industrial Wireless geht es um die Themen Ausfallsicherheit durch Redundanz, latenzarme Übertragung durch Routingprotokolle, sichere Datenübertragung durch Verschlüsselung, VPN und Segmentierung durch VLAN, Firewalls und Secure Routing sowie um die priorisierte Datenübertragung per „QoS“. Die drahtlose Medienübertragung ist sicherlich die störanfälligste, deshalb dienen all diese Maßnahmen dazu Wireless so sicher zu machen, wie eine Kupferleitung. Mit stabilen Drahtlosverbindungen im 2,5-GHz- und 5-GHz-Band, serieller und Ethernet-Konnektivität sowie null Datenpaketverlust sorgen Moxas Wireless-Geräteserver und -Access Points für die zuverlässige statische Funkverbindung in betriebskritischen Automatisierungsanwendungen.

Security für die horizontale Integration
In der Fabrikautomation spricht man von horizontaler Integration, wenn verteilte Netzwerke integriert werden, um von der reibungslosen Kommunikation untereinander profitieren zu können. Da verteilte Netzwerke in sogenannten „Sites“ voneinander entfernt liegen, kann man das Steuern der Kommunikation zwischen solchen Sites unter dem Begriff Remote Automation zusammenfassen. IO-Geräte sind in der Lage, diese Sites über Ethernet anzusprechen. VPN ist die Schnittstelle, um zu Routern auf Site-Ebene zu verbinden. Heutzutage ist es keine Utopie mehr, beispielsweise von einem Standort in Deutschland aus per Smartphone-App einen Schwerlastkran in Abu Dhabi fernzusteuern – auch das fällt in den Bereich der Remote Automation, also der horizontalen Integration.
Eine der größten Herausforderungen ist es, Steuer- und Regelungsnetzwerke in Produktionsbetrieben vor externen und internen Zugriffen zu schützen. Insbesondere im Hinblick auf das Konzept der Industrie 4.0, in dessen Zentrum die noch stärkere Vernetzung intelligenter Maschinen und Produkte, Lagersysteme und Betriebsmittel und die verbesserte Kommunikation zwischen diesen Bereichen stehen, gewinnt der Schutz der einzelnen Bereiche an Wichtigkeit. Mit dem einwandfreien Funktionieren jedes Bereichs steht oder fällt schließlich das Ergebnis am Ende der unternehmerischen Wertschöpfungskette.
Die Realität ist leider, dass tausende von industriellen Steuerungssystemen bisher nicht ausreichend geschützt sind. Wir schließen unsere Autos ab, stellen sicher, dass die Fensterscheiben oben sind und haben sogar noch eine Alarmanlage. Aber die richtige Hardware auf jeder Ebene und die entsprechenden Sicherheitsregeln im Industrienetz findet man im industriellen Umfeld eher selten. Dementsprechend herrscht dort ein beträchtlicher Mangel an Sicherheit, unter anderem, weil Netzwerksicherheit meist nicht notwendig erscheint, so lange nichts Schlimmes passiert ist. Wer sich dagegen schützen will, sollte Sicherheitsmaßnahmen ergreifen, die das gesamte Netzwerk schützen, für den Fall, dass es ein Hacker hinter die Frontlinie schafft. Dazu zählen:

  • die Segmentierung mit verschiedenen Firewalls und NAT (Network Address Translation),
  • die Passwort-Verwaltung,
  • die Deep Packet Inspection,
  • die Verwendung von VPN bei Nutzung von Fernzugriff sowie
  • geeignete Netzwerkmanagement-Software.

Schutzkonzept mit Zellen und Zonen
Wer den Diebstahl oder Verlust von geistigem Eigentum oder allgemeine Fehlfunktionen durch Viren oder andere Verursacher verhindern und Cyber-Sicherheit sicherstellen will, kommt nicht um den Einsatz von entsprechender Hard- und Software in Steuer- und Regelungsnetzwerken herum. Obwohl kein Gerät vor den cleversten Hackern schützen kann, reduziert der Einsatz der richtigen Hardware in Kombination mit umfassenden Sicherheitsregeln zumindest das Risiko. Eine auf die Bedürfnisse von Steuer- und Regelungsnetzwerken in der Automatisierung abgestimmte Lösung ist das Cell-Zone-Site-Konzept (Bild 1). Es besagt nichts anderes, als eine abgestufte Kompartimentierung, ein Schottenkonzept. Dabei wird das Fabrik-Netzwerk in Unterbereiche aufgeteilt, die gemeinsam (Zellen in Zonen und Zonen in Sites) noch einmal geschützt werden. So wird es schwieriger, von einer Zelle in die andere zu gelangen oder gar in die gesamte Site. Durch den Schutz kritischer Geräte (Critical Device Protection) lassen sich die Teilbereiche noch weiter vor absichtlicher oder unabsichtlicher Datenkorrumpierung schützen.
Das Cell-Zone-Site-Konzept bezieht sich auf den Schutz der verschiedenen Ebenen innerhalb eines Automatisierungsnetzwerkes:

  • Site: Auf Fabrikebene wird die gesamte lokale Site ­geschützt, und die Datenfernübertragung von den ­Leitstellen wird abgesichert.
  • Zone: Innerhalb von Funktionszonen wird die Datenübertragung von verschiedenen Gerätezellen und von kritischen Geräten geschützt.
  • Cell: In den Gerätezellen werden die Daten geschützt, die von verschiedenen Feldgeräten, wie IO, Messgeräten oder IP-Kameras erfasst werden.

Für jeden Bereich den passenden Router
Auf jeder Ebene werden unterschiedliche Industrial Secure Router eingesetzt, um die entsprechenden Bereiche zu schützen (Bild 2). Moxa bietet hierfür Hochleistungs-Secure-Router (EDR-G903), kosteneffiziente Secure-Router (EDR-G902) und kombinierte Secure-Router/Switche (EDR-810) an.
Der EDR-810 verfügt über einen integrierten Switch sowie sämtliche Sicherheitsfunktionen, die für das Erstellen einer sicheren Zone nötig sind. Seine Schnittstellen können in WAN-Betrieb (für die Kommunikation außerhalb von Zonen) oder in LAN-Betrieb (für die Kommunikation innerhalb der Zone) geschaltet werden, wobei die Firewall zwischen WAN und LAN im selben Gerät sitzt. Diese integrierte Lösung kombiniert Router- und Switch-Funktionen in einem Gerät und sorgt nicht nur für Geräte-Konnektivität, sondern auch für den Schutz gegen externe Netzwerke. Wenn zum Beispiel eine Produktionslinie mehreren Maschinen umfasst und jede Maschine mit einem EDR-810 bestückt ist, kann man über die EDR-810 auch weitere Geräte wie IO und Sensoren anbinden.
Die typische Anwendung des EDR-G902 ist der Schutz zwischen verschiedenen Produk­tionslinien sowie zwischen verschiedenen Produktionshallen. Der EDR-G903 bietet sich für die Abtrennung der Anlagennetze (Automation Network) von IT-Netzen (Office Network) an.

Firewalls richtig einsetzen
Um kritische Störungen an Geräten zu verhindern, platziert man vor den wichtigsten Geräten außerdem am besten industrielle Firewalls, zum Beispiel zwischen einer Produktions-Zelle und dem Rest des Netzwerks oder einer Gruppe kritischer SPS. Befindet sich an dieser Stelle im Netzwerk eine Firewall, werden nur noch industrielle Steuerungsnachrichten durchgelassen. Die Firewall kann so konfiguriert werden, dass nur Ethernet/IP-Kommunikation erlaubt wird, und diese nur von definierten Absendern. Obwohl dies normalerweise einfach durch Segmentierung des Netzwerks in Sub-Netzwerke erledigt werden kann, ist diese Methode allein nicht annähernd so sicher, wie der gemeinsame Einsatz von Segmentierung und Firewall-Schutz.
Um vor dem Diebstahl geistigen Eigentums zu schützen, ist der Einsatz von Firewalls, die in der Lage sind Deep Packet Inspection durchzuführen, vor den betriebskritischen Geräten sinnvoll. DPI schaut sich im Prinzip die Daten selbst an (z. B. spezielle Befehle oder Anfragen) um zu entscheiden, ob sie durch die Firewall gelassen werden sollen oder nicht. So lassen sich auf Feldbusebene Datenpakete schützen. DPI ist so aufgebaut, dass SPS nicht versehentlich Konfigurationen ändern oder Pakete senden können, die nur unnötigen Datenverkehr verursachen. Unschädliche, tägliche Anfragen zuzulassen wird im Tagesgeschäft notwendig sein, mit DPI ist es jedoch möglich, das Netzwerk gegen nicht autorisierte Ingenieure zu schützen, die Befehle ausgeben, welche sie nicht nutzen sollten.
Während sichere industrielle Hardware und grundlegende Methoden zur Absicherung hilfreich sein können, sind sie jedoch nicht die einzige Sicherheitsvorkehrung, die man treffen sollte, um sein Steuerungs- und Regelungsnetzwerk zu schützen. Um sich gegen den Zugriff von innen und außen zu schützen, gibt es zahlreiche Maßnahmen. Die erste ist eine umfangreiche Sicherheitsrichtlinie für das gesamte Unternehmen. Diese sollte beinhalten:

  • Physische Sicherheit: Es ist sicherzustellen, dass nur autorisierte Nutzer Zugriff auf ­sensible Systeme und Daten haben.
  • Regelung des Einsatzes von Technologien: Die Mitarbeiter sind darin zu schulen, sich von potenziell unsicheren Websites fernzuhalten. Der Einsatz von nicht offiziellen USB-Speichermedien (durch die z. B. Stuxnet verbreitet wurde) ist zu verbieten. Die Vergabe von Administratorenrechte sollte nicht zu freimütig erfolgen.
  • Regelung für sichere Passwörter: Es ist sicherzustellen, dass Passwörter komplex sind und regelmäßig durch neue ersetzt werden.
  • Interne Netzwerksicherheit: Firewalls, Router, VLAN und die Netzwerksegmentierung sind dort einzusetzen, wo es Sinn macht. Firewalls eignen sich vor kritischen Geräten nicht nur als Filter für Internetverbindungen. Als zusätzliche Sicherheitsebene bieten sich Deep Packet Inspection und Netzwerkmanagement-Software an.
  • Externe Netzwerksicherheit: Firewalls sind für jede WAN-Verbindung einzusetzen. Nicht autorisierte und ungenutzte Schnittstellen sollten geschlossen werden. Man sollte für den Fernzugriff immer 256-bit verschlüsseltes VPN verwenden und nicht autorisierte Verbindungsversuche überwachen. (no)

Sarun Kub ist Product Marketing Manager bei der Moxa Europe GmbH  in Unterschleißheim.sarun.kub@moxa.com

Sarun Kub ist Product Marketing Manager bei der Moxa Europe GmbH in Unterschleißheim.sarun.kub@moxa.com