Security für Industrie 4.0 Warum Abschottung keine Lösung ist

Redakteur: Katharina Juschkat

Weil industrielle Netzwerke immer weiter wachsen und sich vernetzen, müssen Instandhalter immer mehr zu IT-Experten werden. Doch die aus der IT bekannten Schutzmaßnahmen müssen für die Industrie neu überdacht werden.

Firmen zum Thema

Die Welt vernetzt sich. Doch eine vernetzte Industrie braucht auch geeignete Security-Konzepte.
Die Welt vernetzt sich. Doch eine vernetzte Industrie braucht auch geeignete Security-Konzepte.
(Bild: ©sdecoret - stock.adobe.com)

Noch bis vor wenigen Jahren wurden Produktionsnetzwerke als weitgehend isolierte Einheiten konzipiert. Heute lassen sich Maschinen und Anlagen für die industrielle Automation und Leittechnik aus standardisierten Hardware- und Softwarekomponenten zusammensetzen. Typische Schnittstellen zur Leistungsabgrenzung oder auch Informationswandlung entfallen ersatzlos, denn Büroebene (IT) und Produktionsebene (OT) verwenden ethernetbasierte Protokolle, die in der Automatisierung unaufhaltsam auf dem Vormarsch sind.

Die derzeit propagierte Durchlässigkeit der Kommunikation vom Sensor bis zur Cloud stößt bei vielen Praktikern auf Ablehnung. Dennoch werden sich die Verantwortlichen aus IT und OT gemeinsam den neuen Herausforderungen an die Instandhaltungsbereiche stellen müssen.

Bildergalerie
Bildergalerie mit 5 Bildern

Netzwerke wachsen, die Sicherheit nicht

Solange Netzwerke noch von überschaubarer Größe waren, gestaltete sich deren Überwachung vergleichsweise einfach. Durch die steigende Vernetzung werden Netzwerke jedoch in kurzer Zeit deutlich größer und unübersichtlicher – die Produktion wird immer vernetzter. Die gewohnten Trennlinien zwischen IT-Bereich und der Automatisierung werden verschwinden. Dieser Prozess ruft nicht nur Befürworter, sondern auch Gegner auf die Bühne.

Trotz steigendem Vernetzungsgrad Komplexität wird die Verfügbarkeit der Produktionsprozesse allzu häufig als gegeben vorausgesetzt. Der technologische Wandlungsprozess zeigt überwiegend positive Ergebnisse. Die Inbetriebnahmen, etwa mit Profinet, verläuft fast reibungslos. In den Instandhaltungs- und Servicebereichen zeigt sich jedoch, dass die Verantwortlichen von der neuen Technologie überrascht werden und bei Störungsanalyse noch immer an Geräte-, Leitungs- oder Steckertausch denken. Das technische Personal steht dann oft vor plötzlichen Herausforderungen und muss sehen, wie es mit der unverhofften Situation umgeht. Mit Angeboten wie praxisorientierten Seminaren im Hause der Anlagenerrichter und -betreiber vermittelt das Unternehmen Indu-Sol das notwendige Technologieverständnis.

Datenflut bewältigen und Fehlerbilder detektieren

Durch den zunehmenden Einsatz dezentraler Intelligenzen kommt zum zyklischen Datenverkehr in ethernetbasierten Netzwerken parallel eine steigende Menge azyklischen Datenverkehrs hinzu. Treten Unregelmäßigkeiten im Netzwerk auf, kann die Ursachenforschung zur Sisyphus-Arbeit werden. Oft bleibt die Frage nach dem Warum unbeantwortet, weil sich der Zustand im Netz im Millisekunden-Bereich ändern kann. Deshalb besitzen historische Daten einen enormen Wert.

Zudem erhöht ein vermehrtes Datenaufkommen die Gefahr von Flaschenhälsen an überlasteten Switchports. Läuft deren interner Zwischenspeicher (Queues) für Telegramme aufgrund dieser hohen Last über, müssen aktuelle Prozessdaten aus Kapazitätsgründen verworfen werden (Discards). Um solche qualitätsrelevanten Netzwerkparameter zu überwachen, hat das Unternehmen Indu-Sol in den letzten Jahren ein System zur permanenten und passiven Analyse der Kommunikationsqualität in Profinet-Netzwerken entwickelt.

System überwacht Netzwerk jederzeit und schlägt Alarm

Dieses System und das darin integrierte Mess- und Diagnosetool Profinet-Inspektor NT stellen dem Betreiber wesentliche Informationen bereit und melden ihm Anomalien sofort über entsprechende Alarmfunktionen. Er kann auslesen, wie hoch die Netzwerklast zu einem bestimmten Zeitpunkt war oder ob es Verzögerungen in der Datenübertragung gibt oder gab (sog. Jitter). Unabhängig davon, ob die Ressourcen es ermöglichen, wird es auch künftig darauf ankommen, Daten dort zu verarbeiten, wo sie entstehen und nur Ergebnisse weiterzuleiten. Wer eine tiefergehende Analyse betreiben will, kann den genauen Telegrammmitschnitt zu Rate ziehen.

Bildergalerie
Bildergalerie mit 5 Bildern

Verfügbarkeit und Sicherheit müssen Hand in Hand gehen

Mit der Zunahme der Vernetzung im industriellen Produktionsbereich sehen sich diese Monitoring-Systeme nun völlig neuen, zusätzlichen Anforderungen gegenüber. Bisher wurde die Kommunikation innerhalb eines nach außen abgesicherten Netzwerk-Bereichs, der sogenannten Trusted Zone, als vertrauenswürdig eingestuft und nicht weiter kontrolliert. Die hohe Anzahl an Zugangspunkten zum Netzwerk und die steigende Vernetzung machen jedoch auch innerhalb des Automatisierungsnetzwerkes ein sicherheitsrelevantes Monitoring notwendig. Zusätzlich zu den IT-Vorkehrungen braucht es ein eigenständiges Monitoring für die Automatisierungstechnik, weil in beiden Welten unterschiedliche Security-Ansätze gelten: Ist in der IT die Datensicherheit oberstes Gebot, so haben die Automatisierer als erstes die Produktionssicherheit im Visier – kontinuierliche Prozesse müssen gewährleistet sein. Deshalb ist es wichtig, jederzeit seinen Netzwerkzustand zu kennen, um Anomalien frühzeitig vor dem Ausfall nachgehen zu können.

Aus diesem Grund fungiert der Profinet-Inspektor NT zusätzlich als Intrusion-Detection-System. Er detektiert die Anwesenheit unbekannter Teilnehmer im Netzwerk und alarmiert den Betreiber umgehend – wahlweise per E-Mail oder SNMP-Trap und über die Weboberfläche des Geräts. Mit dieser Funktion und der millisekundengenauen Auflösung der Netzwerklast lassen sich gezielte Angriffe auf bestimmte Teilnehmer aufgrund erhöhter Netzwerklast und vermehrter Anfragen (Denial of Service) identifizieren. Zusätzlich werden Programmierzugriffe auf die SPS erkannt, um Hinweise auf Manipulationen zu identifizieren.

Abschottung ist keine Option

Die Scheu vieler Betreiber vor der Installation von Sicherheitsmaßnahmen besteht häufig im großen Aufwand, den Sicherheitslösungen mit sich bringen. Neben den Kosten schreckt vor allem ein immenser Konfigurationsaufwand für Firewalls, Router, Benutzerkonten etc. ab. Zudem lassen sich diese Maßnahmen nicht 1:1 auf den Schutz von Netzwerken der Automatisierungstechnik übertragen, ohne deren Verfügbarkeit zu gefährden. Der Abschottungsgedanke der IT zum Zweck des Datenschutzes läuft dem Gedanken nach einer weltweiten Vernetzung der Produktion zuwider. Doch trotz der Tatsache, dass es für die Automatisierungstechnik keine verbindlich formulierten Security-Standards gibt, kann eine störungsfreie Produktion künftig nur ermöglicht werden, wenn Sicherheit und Monitoring gleichermaßen gewährleistet sind. Lösungen, die beides kombinieren und erste Schritte in Richtung Security gehen, stehen bereit.

Dieser Beitrag erschien ursprünglich auf unserem Partnerportal elektrotechnik.

(ID:44929833)