Security in Automatisierungsnetzen
IT und Produktion gefahrlos koppeln
Zu einer Verbindung der Netze von Produktions- und Bürowelt gehört auch eine schlagkräftige Sicherheitsstrategie. In die Produkte - etwa Firewalls - fließt im günstigsten Fall auch das Know-how von Herstellern beider Lager ein.
In Ethernet-basierenden Automatisierungslösungen finden Security-Aspekte bislang kaum
Berücksichtigung. Aufgrund der zunehmenden Kopplung der Produktions- an die Büronetzwerke ist es
jedoch zwingend erforderlich, die gegenseitigen Zugriffe und Beeinflussungen zu regeln. Wie bei der
Entwicklung industrietauglicher Switches muss die Gerätetechnik die Anforderungen der
Automatisierung in puncto Robustheit und Handhabung erfüllen sowie die jeweiligen IT-Standards
unterstützen.
Ziel einer jeden Automatisierungslösung ist die Steigerung der Produktivität. Eine besondere
Bedeutung kommt dabei der Robotik zu. Roboter werden schneller und komplexer, und die Anforderungen
an ihre Präzision steigen stetig. Für das Kommunikationssystem bedeutet dies mehr Bandbreite,
schnellere Prozesse und Kommunikation sowie die Einbindung intelligenterer Sensorik und
Aktorik.
Wichtige Trends in der Automatisierung
Neben dem zunehmenden Einsatz von Robotern ist zur Senkung der Lifecycle-Kosten die
Vereinfachung des Engineerings wichtig. Daraus resultiert die Forderung nach einer nahtlosen
Kommunikation über alle Unternehmensebenen auf der Basis einer einheitlichen Technik. Vor diesem
Hintergrund haben Hersteller wie Phoenix Contact zahlreiche Ansätze der IT in die Produkte der
Automatisierungstechnik integriert. Dies macht einen konsequent durchgängigen Informationsfluss vom
Sensor bis in die Unternehmensleit- und Webebene möglich.
Anfang der 1980er-Jahre begann der Siegeszug der speicherprogrammierbaren Steuerungen (SPS).
Zentrale Einheiten lesen dort die Signale hunderter Sensoren ein und steuern aus diesen
Informationen die Aktorik, wobei die langen Kabelstrecken von Nachteil sind.
Dies hat weitreichende praktische Konsequenzen: Noch heute lassen sich 80 Prozent der Ausfälle
von Automatisierungssystemen auf Installations- und Kabelprobleme zurückführen.
Automatisierungssysteme arbeiten dezentral
Anfang der 1990er-Jahre etablierten sich dann Feldbussysteme wie Interbus. Peripheriegeräte -
zum Beispiel E/A-Karten - lassen sich nun dezentral installieren und über ein einziges Kabel
miteinander verbinden.
Dies bringt gleich mehrere Vorteile mit sich: Der dezentrale Ansatz ermöglicht die Überprüfung
einzelner Anlagenteile. Fehler lassen sich außerdem einfacher lokalisieren und umgehend beheben,
denn ein einzeln verlegtes Kabel kann schneller auf Beschädigungen untersucht und ausgetauscht
werden, als wenn es Teil eines dicken Kabelbaums wäre.
Im Bereich der aktiven Infrastruktur gilt ähnliches, denn dort hat sich zum Beispiel bei den
Switches der dezentrale Ansatz auch in Ethernet-basierenden Lösungen durchgesetzt.
Faktoren für effiziente Sicherheitstechnik
Der Einsatz von Security-Lösungen in Produktionsnetzwerken ist hauptsächlich durch folgende
Faktoren geprägt:
Zusammenarbeit und Verantwortlichkeiten der IT- und
Automatisierungstechniker,
spezifische technische Anforderungen des Automatisierungssystems - wie
Deterministik, Echtzeit oder Verfügbarkeit,
Ausbildungsstand der Fachdiziplinen bei der Administration der Infrastruktur
und
Verfügbarkeit robuster und für den Automatisierer nutzbarer Gerätetechnik.
Security-Produkte umfassen daher oft verschiedene Ausprägungen:
Infrastruktur mit mechanischer Zugriffsverriegelung,
Layer 2-Switches mit IEEE-konformen Security-Funktionen und
industrietaugliche Security Appliances, bei denen die Hardware exakt auf die
Software und auf den geplanten Einsatz abgestimmt ist.
Schutzfunktion
Eine wichtige Schutzfunktion verhindert den unberechtigten Zugriff auf Netzwerke. Während die
Schutzfunktion bei managebaren Layer-2-Switches über die Software aktiviert wird, können einfache
mechanische Verriegelungen ebenso wirkungsvoll vor unberechtigtem oder unbeabsichtigtem Zugriff
schützen. Offene RJ45-Ports sind auf diese Weise verschlossen, und gesteckte Patch-Kabel lassen
sich nur mit einem speziellen Werkzeug abziehen.
Managebare Layer-2-Switches
Managebare Layer-2-Switches bieten Security-Funktionen, die Zugriffe regeln, unerwünschten
Datenverkehr unterbinden oder das Abhören erschweren. Zu diesen Funktionen gehören die
Segmentierung durch Switches, die Einrichtung von VLANs (Virtual Local Area Network), spezielle
Mechanismen zur Multicast-Filterung sowie die Beschränkung von Zugriffen über Port-Based-Security.
Ihre Aktivierung erfordert allerdings eine entsprechende Parametrierung des Switches, die über
Konfigurations-Tools oder WBM (Web-based Management) durchgeführt wird und Expertenwissen sowie
eine Netzwerkplanung voraussetzt. In der Praxis lassen sich diese Anforderungen häufig kaum
erfüllen, sodass die Sicherheitsfunktionen in der Gerätetechnik selten zum Einsatz kommen.
Nicht von außen, wo der Internetzugang oft durch eine Unternehmens-Firewall geschützt ist,
sondern aus dem Unternehmensnetzwerk selbst kommen meist die Schadprogramme, die die
Automatisierungsanlagen lahmlegen. Der durchschnittliche Schaden, den ein Sicherheitsvorfall durch
Viren oder Würmer anrichtet, liegt bei etwa 1,5 Millionen Euro. Diese Zahl nennen die Management-,
System- und Technikberater der PA Consulting Group in einem aktuellen Report (www.paconsul
ting.com). Die Bedrohungen müssen in die Sicherheitsstrategie produzierender Unternehmen
einfließen. Die vom CERT-Institut registrierten Störfalle und die dort gemeldeten Sicherheitslücken
nehmen seit dem Jahr 2000 in einem Umfang von 50 bis 100 Prozent pro Jahr deutlich zu.
Folgenschwere Ausfälle im Industrieumfeld
Störfälle im industriellen Bereich haben dabei wesentlich gravierendere Folgen als Ausfälle im
Büronetzwerk. Steht eine Produktionsstraße für mehrere Stunden, kostet dies in den meisten Fällen
viel mehr, als PC-Abstürze im Büro an Schaden verursachen. Intelligente Eindringlinge können äußere
Sicherungssysteme, die Unternehmensnetze als Ganzes schützen, umgehen. Externe Servicetechniker,
die mit ihren Notebooks in der Regel innerhalb der Netzwerke tätig sind, befinden sich wie alle
internen Mitarbeiter bereits hinter den zentralen Unternehmens-Firewalls. Die so genannte "
Perimeter Security" von Sicherheitssystemen am Rand oder an den Übergängen der Netzwerke kann
Produktionszellen daher nicht ausreichend schützen. Hierzu bedarf es dezentral wirksamer Konzepte,
in der Literatur auch als "Defense-in-Depth" oder "Endpoint Security" bezeichnet, sowie
entsprechender Systeme für die Endgerätesicherheit. Prinzipiell lassen sich dabei Architekturen mit
größeren zentralisierten oder kleinen verteilten Sicherheitssystemen einsetzen.
Sicherheit im Netz durch Security-Appliances: Produktbeispiel
Zur individuellen Absicherung von Produktionszellen unterstützen beispielsweise die "FL-m-Guard"
-Industrie-Firewalls von Phoenix Contact eine dezentral verteilte Architektur. Laut Hersteller sind
sie speziell für den Einsatz im industriellen Umfeld konzipiert. Sie kombinieren die Eigenschaften
einer Stateful Inspection Firewall, die eingehende und ausgehende Datenpakete anhand vordefinierter
Regeln überwacht, mit den Optionen für die verschlüsselte, authentisierte Kommunikation über
Virtual-Private-Network-Verbindungen (VPN) und der Hochverfügbarkeit durch Router-Redundanz. Die
besondere Eignung der Security Appliances für industrielle Anwendungen soll vor allem ausmachen,
dass sie sich in industrielle Steuerungs- und Bediensysteme sowie Maschinen- und Anlagennetze
integrieren lassen, und dass sie wichtige Industriestandards erfüllen.
Eine solche Firewall kann als eigenständiges System in das Netzwerk integriert sein, um ein
Teilnetz, eine Produktionszelle oder ein einzelnes Automatisierungsgerät zu schützen. Ein Vorteil
dieses Konzepts ist die Rückwirkungsfreiheit der Firewall auf das geschützte System.
Erfüllung von Industriestandards
Das von Innominate Security Technologies patentierte Prinzip, das auch "Stealth-Mode"-Firewall
heißt, kann seine Wirkung auch bei Updates ohne Eingriffe in das zu schützende System entfalten.
Die Nachrüstung bestehender Systeme ist also auf einfache Weise möglich.
Im Router-Mode mit NAT-Funktion (Network Address Translation) können die Geräte als weiteres
typisches Szenario zur sicheren Anbindung zahlreicher Produktionszellen mit einem identischen
internen Adressraum genutzt werden.
Appliances bieten einen integrierbaren Firewall-Schutz - beispielsweise für Industrie-PCs und
Roboter, deren Steuereinheiten häufig auf Standard-PC-Systemen basieren.
Eine kompakte Firewall Appliance im PCI-Kartenformat lässt über den PCI-Bus des Host-Systems mit
Strom versorgen. Wie alle Systeme der entsprechenden Produktfamilie von Phoenix Contact arbeitet
die vorgestellte Firewall treiberlos, also ohne Datenkommunikation über den PCI-Bus, sowie
transparent und rückwirkungsfrei nutzbar. Mit einem Treiber versehen arbeitet das Gerät alternativ
als kombinierte Netzwerkkarte und Firewall.
Fazit: Schutz duch dezentrale Lösungen
Maschinen und Produktionssysteme sind immer häufiger via Ethernet mit der Außenwelt vernetzt.
Standardnetzwerkschnittstellen sowie neue Zugänge zum Unternehmensnetzwerk und zum "öffentlichen"
Internet machen sie dabei mehr denn je angreifbar.
Eine wirtschaftliche Lösung für ausreichende Sicherheit bieten nur dezentral wirksame
Schutzeinrichtungen mit verteilter Architektur.
Wichtig sind dabei nicht nur die Technik und die im Hintergrund arbeitenden Systeme, sondern
auch die Schnittstelle zum Anwender: Damit die erweiterte Sicherheitsinfrastruktur keinen höheren
Verwaltungsaufwand nach sich zieht, sind zusätzlich zentrale und leicht bedienbare
Managementsysteme zur Administration und Rechtevergabe erforderlich.
Lesen Sie mehr zum Thema
