Aufrufe
vor 10 Monaten

Industrielle Automation 1/2016

  • Text
  • Industrielle
  • Automation
Industrielle Automation 1/2016

INDUSTRIELLE

INDUSTRIELLE KOMMUNIKATION IT als Vorlage ungeeignet Welche Anforderungen die Automatisierungstechnik an ihre Sicherheitskonzepte stellt Im Zuge von Industrie 4.0 verschmelzen Automatisierung und Informationstechnik immer stärker. Um jedoch eine global vernetzte Produktion zu realisieren, ist die Sicherstellung der Maschinen- und Anlagenverfügbarkeit sowie des Netzwerkes von hoher Relevanz. Auf bewährte IT-Sicherheitskonzepte zurückzugreifen, erscheint zunächst naheliegend, bei genauer Betrachtung zeigt sich aber, dass sie für die Automatisierung nicht geeignet sind. Doch warum ist das so und wie könnte eine adäquate Lösung aussehen? Die als Sicherheitsinstanzen in der IT etablierten Router und Firewalls sind für automatisierte Netzwerke überflüssig. Denn die Maschinen sind entweder gar nicht ins Büronetzwerk eingebunden oder die Verbindungsstelle zwischen Büro- und Produktionsnetzwerk ist bereits durch die IT-Abteilung des Unternehmens gegenüber dem weltweiten Netz abgesichert. Eine weitere Maßnahme sind aktive Scantools. Sie identifizieren zwar unberechtigte Teilnehmer im Netzwerk und ermitteln das Benutzerverhalten sowie den Ressourcenverbrauch, produzieren jedoch auch zusätzlichen „Traffic“. Damit erhöhen sie die Netzlast und behindern den wesentlichen Datenverkehr, der für eine reibungslose Maschinen-/Anlagenfunktion notwendig ist. Auch die Verschlüsselungsverfahren scheiden für die Automatisierer als Maßnahme aus, da Codie-rung und Decodierung den Anforderungen an Echtzeitkommunikation moderner Netzwerke zuwider laufen. Verfügbarkeit gewährleisten Also: Schotten dicht? Wer trotz stumpfer Waffen seine Festung schützen will, könnte einen Grenzzaun ziehen. In der IT heißt das, vor allem den Backbone – die Hauptverkehrsader des Datenstromes – vor unbefugtem Zugriff abzuriegeln. Würden Automatisierer dies in ihren Netzwerken tun, hätten allerdings auch die Mitarbeiter und „Verbündeten“ keinen Zugriff. In den Anlagen müssen jedoch Zugangspunkte zum Netzwerk geschaffen und freigehalten werden, da sie für die Programmierung, Diagnose oder andere Servicedienstleistungen durch Mitarbeiter oder Auftragnehmer essentiell sind. Speziell im Fehlerfall, wenn Gegenmaßnahmen zur Gewährleistung der Maschinen-/Anlagenfunktion zu ergreifen sind, schmerzt jeder Zeitverlust, der durch Zugangsprobleme verursacht wird. Die gängigen IT-Sicherheitsmaßnahmen behindern also das Hauptziel der Automatisierungstechnik, nämlich die Verfügbarkeit des Netzwerks und damit letztlich die Anlagenfunktion zu gewährleisten. Direkte Identifizierung und Meldung von Anomalien Wer nicht von Funktionsstörungen oder Anlagenstillständen überrascht werden will, der setzt auf eine Permanente Netzwerküberwachung (PNÜ). Diese Überwachungslösungen sind in der Lage, eine Plausibilitätserkennung durchzuführen. Dabei wird analysiert, ob Telegramme bestimmte Vorgaben wie Zeit und Inhalt einhalten; Abweichungen werden sofort erkannt und gemeldet. Somit wird es möglich, eine Bandbreite von Szenarien zu detektieren: von vergleichsweise banalen Zwischenfällen wie dem unbedachten Aufstecken eines Laptops auf die Anlage bis hin zu technisch ausgefeilten Angriffen wie einer Cyber-Attacke. Denn: Durch das Zwischenschalten des „Angreifers“ entsteht ein zeitlicher Verzug bei der Datenübertragung, der sogenannte Jitter. Dadurch können Informationen nicht in der vorgegebenen Zeit verarbeitet werden. Von außen und ohne permanente Überwachungslösung ist diese Verspätung nicht zu erkennen. Und ist der Angreifer erst einmal im Netzwerk, hat der Betroffene seine Chance verpasst, ihn auf frischer Tat zu ertappen. Im Gegensatz zur IT, wo selbst modernste Sicherheitssysteme getarnte Angriffe mitunter kaum erkennen können, hinterlässt ein unbekannter Teil-

You CAN get it... nehmer im Netzwerk einer automatisierten Anlage garantiert Spuren. Indem diese Anomalien aufgezeichnet und die zugehörigen Daten historisch verfügbar gehalten werden, erhält der Betreiber sicherheitsrelevante Hinweise. So hat er eine Chance, den Angriff überhaupt mitzubekommen und Gegenmaßnahmen einzuleiten. Hardware und Software für CAN-Bus-Anwendungen… Mess- und Diagnosetool kontrolliert logischen Datenverkehr Während Sicherheitssysteme in der IT eine Selbstverständlichkeit sind, bleiben Aktivitäten hinsichtlich der Weiterentwicklung des Security-Bereiches aufseiten der Automatisierungstechnik überschaubar. Erste Unternehmen reagieren mit niedergeschriebenen Sicherheitsrichtlinien. Man stelle sich nun vor, ein externer Dienstleister will die Anlagenverfügbarkeit wiederherstellen und den (möglichen) Schaden eines (anstehenden) Produktionsausfalls gering halten, muss sich aber erst in ein Regelwerk von Security-Anweisungen vertiefen. Dabei lassen sich die geforderten Funktionalitäten in einem Produkt vereinen. Mit dem Profinet-Inspektor NT hat Indu-Sol ein intelligentes, permanentes und passiv arbeitendes Mess- und Diagnosetool für Profinet-Netzwerke entwickelt. Es überwacht den logischen Datenverkehr und speichert Ereignisse wie Jitter, Telegrammfehler bzw. fehlende Telegramme oder Geräteausfälle. Bei Veränderungen und somit Überschreitung voreingestellter Schwellwerte der Qualitätsparameter im Netz werden Alarmmeldungen über Kanäle wie SNMP, E-Mail oder die Web-Oberfläche des Inspektors abgesetzt. Bisher passiert all dies primär mit dem Fokus auf die Sicherstellung der Netzwerkverfügbarkeit. Das Gerät und die Vorgehensweise sind aber auch dazu geeignet, dem Anwender sicherheitstechnische Hinweise zu liefern. Denn er kann historische Ereignisse nachvollziehen und erhält 01 Das Mess- und Diagnosetool analysiert permanent den logischen Datenverkehr und warnt sofort bei ersten Auffälligkeiten Hinweise auf Teilnehmer, die sich (unerwünscht) ins Netzwerk eingeschaltet haben. Und sollte der Elektroinstandhalter nicht in der Lage sein, die automatisch aufgezeichnete Anomalie selber auszuwerten, kann der Telegrammmitschnitt einem Fachmann zur Aus-wertung übermittelt werden. Gegenmaßnahmen auf Basis dokumentierter Angriffe Will die Automatisierungstechnik das volle Potenzial von Industrie 4.0 ausschöpfen, muss sie ihre Netzwerke mit zeitgemäßen Sicherheitssystemen ausrüsten. Die aus der IT bekannten Maßnahmen sind dabei aber als Vorlage ungeeignet. Da sich jedoch mittlerweile Lösungen zur PNÜ etabliert haben, können diese mitgenutzt werden, um erste Schritte in Richtung eines modernen Sicherheitssystems zu gehen. Noch können in der Automatisierungstechnik „Angriffe“ wie die genannten nicht verhindert werden, ohne die Netzwerkverfügbarkeit zu gefährden. Dennoch müssen sie dokumentiert werden, um eine Informationsbasis für effiziente Gegenmaßnahmen zu haben. www.indu-sol.com Alle Preise verstehen sich zzgl. MwSt., Porto und Verpackung. Irrtümer und technische Änderungen vorbehalten. PCAN-Gateways Linux-basierende Produktreihe zur Verbindung weit entfernter CAN- Busse über IP-Netze. Konfiguration über eine Webseite. Erhältlich in verschiedenen Ausführungen. PCAN-PCI Express CAN-Interface für PCI Express- Steckplätze. Als Ein-, Zwei- und Vierkanalkarte mit galvanischer Trennung erhältlich. PCAN-Repeater DR ab 260 € ab 220 € Repeater zur galvanischen Trennung von zwei CAN-Bus-Segmenten mit Busstatusanzeige und schaltbarer Terminierung. 180 € 02 Die Chronik rechts zeigt den Zustand des gesamten Busses. Der ermittelte Jitter wird teilnehmerbezogen entsprechend der Höhe der Abweichung farblich unterlegt www.peak-system.com Otto-Röhm-Str. 69 64293 Darmstadt / Germany Tel.: +49 6151 8173-20 Fax: +49 6151 8173-29 info@peak-system.com