Industrial Ethernet Wider den Viren und Würmern

Redakteur: Gerd Kucera

Die Frage nach dem Ob wird bei Industrial Ethernet längst nicht mehr gestellt. Denn dieses Protokoll gehört inzwischen sowohl in der Fabrikautomatisierung als auch in der Transportautomatisierung und in weiten Teilen der Prozessindustrie zum Standard. Zugleich ist Ethernet heute auch der Standard aller großen Systemanbieter und damit auf dem besten Weg, die bisher angestammten Feldbuslösungen in den Fertigungsstätten zu verdrängen. Hierbei stellt sich die Frage nach der unbedingt notwendigen Security. ELEKTRONIKPRAXIS sprach mit Dr.-Ing. Georg Schneider, dem Geschäftsführer Marketing und F&E der Hirschmann Automation and Control GmbH in Neckartenzlingen über Sicherheitsarchitekturen.

Anbieter zum Thema

Wir erleben zurzeit die Vorteile der schnellen, transparenten Vernetzung über alle Hierarchien und die damit einhergehende Optimierung von Industrieprozessen und Anlagen. Neue leistungsstarke Lösungen für Ferndiagnose und -wartung über das Internet erhöhen die Maschinenverfügbarkeit und reduzieren die Kosten.

„Mit den neuen Online-Zugriffsmöglichkeiten war es aber nur eine Frage der Zeit, bis die Netzwerksicherheit, also Security, in das Zentrum des Interesses rückt“, konstatiert Dr.-Ing. Georg Schneider, Geschäftsführer Marketing und F&E der Hirschmann Automation and Control GmbH, „Security beschreibt die Sicherheit vor bewusster oder unbewusster Veränderung (Manipulation) an den Übertragungseinrichtungen und darf nicht mit Safety, die die Sicherheit/Integrität der übertragenen Daten meint, verwechselt werden. Das Sicherheitsproblem am zentralen Internetzugang löst eine zentrale Firewall. Den Übergang von der Officewelt in das Produktionsnetz sichert am besten eine Industrial Ethernet Firewall.“

Wie verhält es sich aber mit den fast noch kritischeren direkten Verbindungen, die im Produktionsnetz beispielsweise zu Servicezwecken zur Verfügung gestellt werden? Dazu Dr. Schneider: „Das Gefahrenpotenzial ist dabei unabhängig davon, ob eine solche Verbindung direkt vor Ort oder über ein Modem in die Maschine geschaltet wird. Denn besteht ein unbeschränkter Zugriff, kann beispielsweise ein (unbeabsichtigter) Zahlendreher bei der Eingabe der IP- Adresse fatale Folgen haben. Statt des Servicezugriffs auf die gewünschte Maschine kann über das Netz unbewusst und unkontrolliert ein beliebiges System verändert werden. Dies kann schwerwiegende, ja sogar lebensbedrohliche Folgen nach sich ziehen.“

Die Segmentierung von Anlagenteilen

Will man die Vorteile einer durchgängigen Vernetzung mit Ethernet nutzen, muss man deshalb ein Sicherheitskonzept erstellen, das für die jeweilige Produktionsanlage optimal ausgelegt ist. Hierzu sollten die Anlagenteile in so genannte Sicherheits-Compartments segmentiert werden. Dabei kontrolliert und regelt ein Industrial Security Router, der am Übergang von der jeweiligen Produktionszelle in das Netz installiert wird, den Datenverkehr in eine Zelle hinein und umgekehrt. Eine zentrale Firewall am Übergang zum Produktionsnetz nützt hier nur wenig.

„Grundlegende Voraussetzung bei der Planung von sicherheitsrelevanten Vorkehrungen ist die Kenntnis aller notwendigen und erlaubten Kommunikationsbeziehungen“, informiert Dr. Schneider, „die Fragestellung lautet: Wer benötigt was und darf was, wann und wo? Leider sind die Netzwerkdienste und Protokolle, die die verschiedenen Geräte und Applikationen einer Anlage nutzen, nur selten in allen Details bekannt. Hier setzt das Konzept der IAONA (Industrial Open Networking Alliance) an, das jedem Gerät ein Security Datasheet (SDS) zuordnet. In einem solchen SDS ist das vollständige Kommunikationsprofil des jeweiligen Gerätes hinterlegt. Alle benötigten Dienste sind so in standardisierter Form dokumentiert und stehen für die Planung zur Verfügung.“

Bei bestehenden Anlagen bleibt dagegen nur eine umfassende Analyse des Datenverkehrs, wenn man vermeiden will, dass der erforderliche Informationsfluss versehentlich abgeschnitten wird. Mit jedem nicht frei geschalteten Protokoll und Port reduziert man zwar die Gefahren, aber die Türen, die man für die gewollten Dienste öffnet, bergen natürlich immer ein Restrisiko in sich. Wie hoch es ist, hängt in erster Linie von den genutzten Protokollen ab.

Dr. Schneider: „Damit sich der Anwender nicht alleingelassen fühlt, sind allgemeine Regeln und Anforderungen zur Sicherheit in Produktionsnetzen in dem IAONA-Handbuch Security beschrieben. Es steht in der Version 1.3 unter der ELEKTRONIKPRAXIS-InfoClick-Nummer zum Download bereit. Das Internet-White-Paper Sicherheitsarchitektur für integrierte Industrienetze gibt fundierte Anleitungen für die Planung und den Aufbau sicherer und hochverfügbarer Industrienetze, das ebenfalls über die InfoClick-Nummer downloadbar ist. Eine Lektüre durch die Fachleute im Unternehmen zahlt sich sicher aus. Darüber hinaus gibt es auch das Angebot der direkten Beratung durch Spezialisten des Herstellers.“

So gerüstet können Anlagenplaner und -betreiber den Nutzen aus der Flexibilität und Durchgängigkeit einer hochleistungsfähigen Industrial-Ethernet-Infrastruktur ziehen. Mit der kompetenten Planung und praxisgerechten Umsetzung einer an die Anforderung von Automatisierungsanlagen angepassten Sicherheitspolicy erhalten die Anwender ein Höchstmaß an Sicherheit.

Hirschmann, Tel. +49(0)7127 141480

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:185530)