Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Sicherheit im Industrienetz

Zugriff unter Kontrolle

Sicherheit im Industrienetz

16. Oktober 2008, 22:00 Uhr | Ingo Hilgenkamp und Thorsten Rössel/jos Ingo Hilgenkamp ist Mitarbeiter der Business Unit Automation Systems bei Phoenix Contact Electronics in Bad Pyrmont; Thorsten Rössel ist Director Business Development bei Innominate Security Technologies in Berlin.

Unternehmen sind nur dann erfolgreich, wenn ihre Produktionsanlagen sicher und störungsfrei arbeiten. Ausfälle, Sabotage oder Datenverlust verursachen hohen wirtschaftlichen Schaden. Mit dem Einsatz von Ethernet stehen - im Gegensatz zum Feldbus - erstmals Security-Techniken zur Verfügung.

Die folgende Argumentationskette zeigt, wie sich bei einer geplanten Anlagenerweiterung auch die Netzwerksicherheit zum Schutz der Kommunikation und zur Erhöhung der Verfügbarkeit schrittweise integrieren lässt.

Bei der Wahl einer geeigneten Security-Strategie gibt es zwei Herausforderungen. Erstens sind die physikalischen Rahmenbedingungen vor Ort sowie die vorhandene und die erweiterte Netztopologie zu berücksichtigen. Zweitens muss das Gesamtsystem mit einem praktikablen Bedienkonzept bedienbar sein.

Security-Maßnahmen erforderlich

Feldbussysteme wie Interbus oder Profibus sind aufgrund ihrer proprietären Protokolle, Betriebssysteme und Applikationsprogramme sowie ihrer in sich geschlossenen Netze relativ gut vor Angriffen von außen geschützt. Dem gegenüber fordert der Trend zur offenen Automatisierungsplattform auf Basis von Industrial Ethernet Maßnahmen zur Erhöhung der Security. Durch die Vernetzung der Systeme untereinander, ihre Kopplung über Bereichsgrenzen hinweg sowie die Schaffung von Fernwartungsschnittstellen ergeben sich Gefahren, wie man sie aus Büronetzwerken kennt: Viren und Würmer, Trojaner, Denial-of-Service(DoS)-Attacken sowie Fehladressierungen. Automatisierungsanwender kennen die Abhängigkeit von funktionierenden IT-Systemen sowie der daraus resultierenden Verletzlichkeit durchaus. Erforderliche Maßnahmen leiten sie aber meist nur selten daraus ab. Rechner, Systeme und Infrastruktur eines Automatisierungsnetzwerks müssen vorbeugend gegen Attacken gehärtet und durch umfassende Maßnahmen flankiert werden (Bild 1). Der Versuch, typische Security-Strategien aus der Bürowelt einfach in Produktionsanlagen anzuwenden, ist meist zum Scheitern verurteilt.

Erhebliche Sicherheitslücken

Das Verbinden der Automatisierungssysteme mit den Büronetzwerken geschieht, um die Vorteile eines unternehmensweiten Datenverbunds nutzen zu können. Im Büronetz und an dessen Übergang zum Automatisierungsnetz finden sich die üblichen Schutzeinrichtungen wie Virenscanner und Firewalls als Perimeterschutz. In den Fertigungssystemen selbst verzichten die Verantwortlichen auf den Einsatz solcher Mechanismen und entsprechender Softwarekomponenten aus verschiedenen Gründen:

Mögliche negative Beeinflussung des Zeitverhaltens,

unumgänglicher permanenter und sofortiger Zugriff auf das Steuerungssystem zur schnellen Reaktion in Gefahrensituationen im Produktionsumfeld,

Einsatz von Altanwendungen, die mit aktuellen Betriebssystemen nicht mehr lauffähig wären,

unklare Rückwirkungen auf den Produktionsprozess durch die Installation von Patches, Updates oder neuen Virendefinitionsdateien,

Ablehnung von Gewährleistungsansprüchen durch Lieferanten bei Modifikationen der Software durch den Anwender und

zeitaufwändige Neuvalidierung der Anlage bei validierungspflichtigen Systemen nach Patches oder Updates.

Um netzwerkbasierende Störungen und einen Produktionsausfall dennoch zu vermeiden, bietet ein dreistufiges Konzept umfassenden Schutz und erfüllt gleichzeitig die Anforderungen der Automatisierungstechnik, da es mit mechanischem Zugriffsschutz arbeitet, die Security-Möglichkeiten von Managed Switches nutzt und spezielle Appliances mit Firewall und Router an geeigneten Knotenpunkten im Netzwerk platziert. Dieses Konzept lässt sich - in Abhängigkeit vom Gefährdungspotenzial - abgestuft in das gesamte Produktionsnetz integrieren.

Sicherheit durch dezentralen Schutz

Eine zentrale Firewall, die das gesamte Unternehmensnetzwerk oder den Übergang zwischen zwei Netzen absichert, schützt nicht vor intern ausgeführten Schadhandlungen. Autonome Produktionszellen lassen sich nur durch ein dezentral wirksames Konzept schützen, das auf einer Lösung für die Endgerätesicherheit basiert. Eine Segmentierung der Produktionsanlage in einzelne Sicherheitszellen, die wiederum mit einem abgestuften Schutzkonzept versehen werden, bringen Flexibilität und Zuverlässigkeit, wie sie vom Anwender erwartet werden. Dabei entspricht eine Sicherheitszelle einer funktionalen Produktionsinsel, zum Beispiel einer Maschine, Linie, oder (Teil-)Anlage. Sie definiert sich dadurch, dass die in ihr enthaltenen Systeme nicht sinnvoll weiterarbeiten können, wenn eines der beteiligten Systeme ausfällt.

Stufe 1 - Mechanische Sicherheitsmaßnahmen: Die einfachste Möglichkeit, um sich vor einem unberechtigten Zugriff auf das Produktionsnetzwerk zu schützen, ist der Einsatz mechanischer Verriegelungen (Bild 2). Offene RJ45-Ports sind dabei mit einem Stopfen verschlossen, der sich ebenso wie gesteckte Patch-Kabel nur mithilfe eines speziellen Werkzeugs wieder entfernen lässt. Durch diese simple Maßnahmen wird ein großer Anteil der Schadhandlungen unterbunden, nämlich das Trennen wichtiger Verbindungen sowie das fehlerhafte oder unbefugte Verbinden von Teilnehmern mit dem Netzwerk.

Stufe 2 - Sicherheit ohne Leistungsverlust: Eine Reihe von Industrial-Ethernet-konformen Security-Funktionen, die Zugriffe regeln, unerwünschten Datenverkehr unterbinden und das Abhören von Daten erschweren, bieten zum Beispiel die Konfigurationsmöglichkeiten eines Managed Switches der Produktlinie Factory Line von Phoenix Contact. Außerdem erhöhen diese Funktionen die Betriebssicherheit und die Verfügbarkeit der Anlage erheblich. Zu diesen Funktionen gehören auch das Einrichten von VLANs, Access Control auf Basis von MAC-Adressen sowie die Beschränkung von Zugriffen über Port-Security. Letztere verhindert,beispielsweise dass unerwünschte Teilnehmer Daten mit dem Netzwerk austauschen (Bild 3).

Access Control unterbindet in Verbindung mit Kennwörtern die unzulässige Konfiguration des Switches. Freie Ports lassen sich abschalten, während ein unberechtigter Zugriff auf das Netzwerk registriert und der Anwender via SNMP (Simple Network Management Protocol) und Meldekontakt alarmiert wird. Über VLAN (Virtual Local Area Network ) ist das gemeinsame Netzwerk schließlich in logische Netze unterteilbar, deren Grenzen sich ohne Berechtigung nicht überwinden lassen.

Die Security-Funktionen sind über die eine Netzwerkmanagementsoftware, SNMP oder über eine webbasierende Verwaltung parametriert. Darüber hinaus ist eine "Multi-Device Configuration" bei Infrastrukturkomponenten möglich. Ein Werkzeug wie Diag+ erlaubt die sinnvolle Administration der Ethernet-Infrastruktur aus dem Engineering-Werkzeug der SPS heraus. Die wichtigsten Funktionen sind:

Geräte- und Netzwerkdiagnose per SNMP,

Firmware-Download per TFTP (Trivial File Transfer Protocol) und

Topologieerkennung per LLDP (Link Layer Discovery Protocol).

Dies sind die typischen Infrastrukturparameter, die weitgehend identisch sind und sich daher zentral verwalten lassen. Verstöße gegen die Security-Vorgaben können via Meldekontakt oder als SNMP-Trap weitergeleitet werden. So sind Probleme zeitnah zu erkennen und prompte Abhilfemaßnahmen möglich.

Die Lösung bietet unter anderem folgende Vorteile:

Keine Verschlechterung des Zeitverhaltens,

keine weiteren Kosten durch zusätzliche Hardware,

durchgängiges und schlüssiges Sicherheitskonzept zur Verbesserung des Ratings nach Basel II,

Sicherheitsvorkehrungen sind auch nach einem Gerätetausch aktiv,

keine Verschlechterung des Redundanz-Verhaltens,

Schutz bestehender Investitionen,

automatische Berücksichtigung der neuen Datenpfade nach Aktivierung von Spanning Tree,

keine Beeinflussung der Applikationsprogramme und

Administration und Überwachung von einem zentralen Managementrechner.

Stufe 3 - Industrietaugliche Security-Geräte mit Firewall- und Router-Funktion: Der dezentrale Einsatz von Appliances mit Firewall und Router ermöglicht die individuelle Absicherung von verteilten Automatisierungssystemen. Die Mguard-Geräte sind speziell für den Einsatz im rauen Industrieumfeld konzipiert (Bild 4). Sie arbeiten als eigenständiges System im Netzwerk und schützen dort einen Teil des Anlagennetzes, eine komplette Produktionszelle oder eine einzelne Automatisierungskomponente.

Fazit

Sicherheit in Automatisierungsnetzwerken ist ein strategischer Wettbewerbsvorteil. Die Durchgängigkeit oder "Connectivity" der Informations- und Automatisierungstechnik erfordert eine neue Bewertung der Sicherheit von Automatisierungssystemen. Die technischen Sicherheitslösungen sind applikationsspezifisch und müssen den Anforderungen der Automatisierung entsprechen.

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
Redgate Software

Redgate Software
HP Deutschland GmbH

HP Deutschland GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
Xelion GmbH

Xelion GmbH
Vodia Networks GmbH

Vodia Networks GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH