Die durchgängige Kommunikation zwischen Sensor und MES via Ethernet ist Topthema in der Automatisierung. Mit dem Internet in der Fabrik erhöht sich aber die Gefahr des unbefugten Zugriffs. Erst das richtige Security-Konzept sorgt für Datensicherheit.
Dipl.-Ing. Günter Baumann ist im Geschäftszweig Industrielle Kommunikation der Siemens AG in Nürnberg tätig
Immer mehr Automatisierer setzen auf das Kommunikationsmedium Ethernet. Dieser durchgängige Standard, im Büro-Umfeld längst verbreitet, vereinfacht die vertikale Integration vom Sensor zur MES-Ebene (Manufacturing Execution System). Möglich wird damit das Anlagenüberwachen aus einer zentralen Warte, der Online-Service durch Spezialisten oder SPS-Check via Internet. Die Kehrseite des Direktzugriffs ist, dass unsichere Netze hohe Risiken bergen und nicht autorisierte Nutzer schaden können.
Inzwischen zeichnen sich erste Konzepte ab, die für den Einsatz in der Industrie taugen. Mit ihnen lassen sich an individuelle Anforderungen angepasste Sicherheitslösungen zu akzeptablen Kosten realisieren. Den Schlüssel dazu liefern sogenannte Security-Module mit skalierbarer Sicherheitsfunktionalität. Sie helfen, die Sicherheitsrisiken für die unterschiedlichsten Automatisierungsnetze zu minimieren, ohne dass durch ihren Einsatz der Bedarf an Mitarbeitern mit großem Spezialwissen steigt. Das Konfigurieren sollte ohne Detailkenntnisse der Sicherheitsverfahren möglich sein. Dabei ist es unerheblich, ob das Security-Modul als Hardware-Komponente oder als Software-Lösung beispielsweise für Client-PC eingesetzt wird.
Eine typische Aufgabe aus dem industriellen Bereich ist das sichere Verbinden von Automatisierungs- und Office-Netzwerk eines Werkes. Wenn die Sicherheitsanforderungen nicht allzu hoch sind, kommt als einfachste Lösung der Einsatz eines simplen Firewall-Systems mit Zugangsliste in Frage. Es schützt das Automatisierungsnetzwerk vor Übergriffen von innen und wird vor allem für große Intranets empfohlen, da das Risiko von Übergriffen mit der Anzahl der Nutzer stark zunimmt. Auf diese Weise lässt sich beispielsweise der Datenverkehr aus dem Office-Bereich ausfiltern, der für die Automatisierung nicht relevant ist. Das spart die Ressourcen des Automatisierungsnetzwerkes. Ist mehr Sicherheitstechnik gefordert, sorgt ein VPN (Virtual Private Network) für verbesserten Schutz. Dazu authentifiziert es den Kommunikationspartner, verschlüsselt die Nachrichten und kontrolliert die Datenintegrität. Da es immer Peer-to-Peer verbindet, muss jedes Gerät die VPN-geschützten Informationen lesen oder senden können.
Bei vielen Automatisierungsgeräten lässt sich die dafür erforderliche Funktionalität jedoch nicht integrieren. Eine SPS mit ihrem im Vergleich zum PC geringen Speicherplatz und ihren spezialisierten Prozessoren ist nun einmal nicht dafür ausgelegt, mit Verschlüsselungsalgorithmen zu arbeiten. Hier bieten sich VPN-Gateways an. Sie vertreten quasi das angeschlossene Netzsegment. Die Automatisierungseinrichtungen benötigen dann keine eigene VPN-Funktionalität. Mit Hilfe dieser Gateways lassen sich große Automatisierungsnetze auch recht einfach in mehrere Segmente unterteilen. Da nur zulässige Kommunikationswege möglich sind, beeinflussen sich die Segmente auch nicht gegenseitig, beispielsweise bei automatisierten Zellen.
Deutlich höher ist das Gefährdungspotenzial, wenn zwei Netzwerke übers Internet miteinander verbunden werden. Der Unterschied zum bereits beschriebenen Szenario ist die ständige Präsenz unerwünschter Aktivitäten von Hackern oder Crackern. Sie ist eine nicht zu unterschätzende Gefahr für Automatisierungsnetzwerke, die zum Internet geöffnet werden. Zusätzlich sind zwangsläufig Dritte direkt oder indirekt in die Kommunikation eingebunden, beispielsweise der direkte Provider und die vielen unbekannten Betreiber der Server, über die die Datenpakete laufen.
Hier empfiehlt sich unbedingt eine Kombination aus VPN und Firewall-System. Da ein Automatisierungsnetzwerk meist Bestandteil eines LAN ist, das bereits mit einer Firewall abgesichert ist, muss oft nur eine der Funktionalitäten ergänzt werden.
Sollen externe Mitarbeiter vom Home-Office aus oder für Serviceaufgaben via Internet auf das Automatisierungsnetzwerk zugreifen, muss im Gegensatz zur LAN-zu-LAN-Verbindung nur ein einzelner Computer mit der Anlage verbunden werden. Das Automatisierungsnetzwerk wird auch hier durch das vorhandene Firmen-Firewall-System geschützt, die Datensicherheit im Internet gewährleistet wieder ein VPN. Der externe PC-Arbeitsplatz als VPN-Client kann so via Modem oder ISDN-Karte direkt ins Internet.
Angepasste Sicherheit ist mit einem vertretbaren Aufwand möglich
Teilen:
