Security für Industrie 4.0

Warum Abschottung keine Lösung ist

Seite: 2/2

Firmen zum Thema

System überwacht Netzwerk jederzeit und schlägt Alarm

Dieses System und das darin integrierte Mess- und Diagnosetool Profinet-Inspektor NT stellen dem Betreiber wesentliche Informationen bereit und melden ihm Anomalien sofort über entsprechende Alarmfunktionen. Er kann auslesen, wie hoch die Netzwerklast zu einem bestimmten Zeitpunkt war oder ob es Verzögerungen in der Datenübertragung gibt oder gab (sog. Jitter). Unabhängig davon, ob die Ressourcen es ermöglichen, wird es auch künftig darauf ankommen, Daten dort zu verarbeiten, wo sie entstehen und nur Ergebnisse weiterzuleiten. Wer eine tiefergehende Analyse betreiben will, kann den genauen Telegrammmitschnitt zu Rate ziehen.

Bildergalerie
Bildergalerie mit 5 Bildern

Verfügbarkeit und Sicherheit müssen Hand in Hand gehen

Mit der Zunahme der Vernetzung im industriellen Produktionsbereich sehen sich diese Monitoring-Systeme nun völlig neuen, zusätzlichen Anforderungen gegenüber. Bisher wurde die Kommunikation innerhalb eines nach außen abgesicherten Netzwerk-Bereichs, der sogenannten Trusted Zone, als vertrauenswürdig eingestuft und nicht weiter kontrolliert. Die hohe Anzahl an Zugangspunkten zum Netzwerk und die steigende Vernetzung machen jedoch auch innerhalb des Automatisierungsnetzwerkes ein sicherheitsrelevantes Monitoring notwendig. Zusätzlich zu den IT-Vorkehrungen braucht es ein eigenständiges Monitoring für die Automatisierungstechnik, weil in beiden Welten unterschiedliche Security-Ansätze gelten: Ist in der IT die Datensicherheit oberstes Gebot, so haben die Automatisierer als erstes die Produktionssicherheit im Visier – kontinuierliche Prozesse müssen gewährleistet sein. Deshalb ist es wichtig, jederzeit seinen Netzwerkzustand zu kennen, um Anomalien frühzeitig vor dem Ausfall nachgehen zu können.

Aus diesem Grund fungiert der Profinet-Inspektor NT zusätzlich als Intrusion-Detection-System. Er detektiert die Anwesenheit unbekannter Teilnehmer im Netzwerk und alarmiert den Betreiber umgehend – wahlweise per E-Mail oder SNMP-Trap und über die Weboberfläche des Geräts. Mit dieser Funktion und der millisekundengenauen Auflösung der Netzwerklast lassen sich gezielte Angriffe auf bestimmte Teilnehmer aufgrund erhöhter Netzwerklast und vermehrter Anfragen (Denial of Service) identifizieren. Zusätzlich werden Programmierzugriffe auf die SPS erkannt, um Hinweise auf Manipulationen zu identifizieren.

Abschottung ist keine Option

Die Scheu vieler Betreiber vor der Installation von Sicherheitsmaßnahmen besteht häufig im großen Aufwand, den Sicherheitslösungen mit sich bringen. Neben den Kosten schreckt vor allem ein immenser Konfigurationsaufwand für Firewalls, Router, Benutzerkonten etc. ab. Zudem lassen sich diese Maßnahmen nicht 1:1 auf den Schutz von Netzwerken der Automatisierungstechnik übertragen, ohne deren Verfügbarkeit zu gefährden. Der Abschottungsgedanke der IT zum Zweck des Datenschutzes läuft dem Gedanken nach einer weltweiten Vernetzung der Produktion zuwider. Doch trotz der Tatsache, dass es für die Automatisierungstechnik keine verbindlich formulierten Security-Standards gibt, kann eine störungsfreie Produktion künftig nur ermöglicht werden, wenn Sicherheit und Monitoring gleichermaßen gewährleistet sind. Lösungen, die beides kombinieren und erste Schritte in Richtung Security gehen, stehen bereit.

Dieser Beitrag erschien ursprünglich auf unserem Partnerportalelektrotechnik.

(ID:44929833)