Aufrufe
vor 11 Monaten

Industrielle Automation 6/2017

  • Text
  • Industrielle
  • Automation
Industrielle Automation 6/2017

KOMPONENTEN UND SOFTWARE

KOMPONENTEN UND SOFTWARE Intelligente Anomalie-Erkennung Wie die Visualisierung und das Management von Anomalien in Steuernetzen gelingt Stefan Sebastian, Produkt & Strategie bei der Rhebo GmbH in Leipzig Eine umfassende Überwachung eigener Steuernetze in Echtzeit können Unternehmen aufgrund fehlender effektiver Werkzeuge nicht realisieren. Um jedoch die Produktivität zu gewährleisten, sind eine intelligente Visualisierung von Steuernetz-Anomalien, eine sinnvolle Risikobewertung und ein klares Regelwerk für entsprechende Maßnahmen von Bedeutung. Mit der zunehmenden Komplexität und Offenheit werden Steuernetze anfälliger für Anomalien und Angriffe. Es bedarf eines neuen Netzwerkmanagements, das Störungen in der Produktivität verhindert. Bislang beschränken sich Lösungsansätze auf die Absicherung gegen bekannte externe Angriffe. Firewalls oder Intrusion-Detection- Systeme erkennen und blockieren Gefahren, die in der Bedrohungsliste definiert sind. Hinzu kommt, dass die Produktivität nicht nur durch externe Cyberangriffe gestört werden kann. Selbst in kleinen Fer tigungszellen finden sich häufig mehr als 50 verschiedene Komponenten unterschiedlicher Hersteller. Das bedeutet auch eine Vielzahl an Funktionalitäten und Konfigurationen, die nicht selten in Konflikt sowie ungehindert und kontinuierlich in Kommunikation zueinander stehen. Diese Komplexität fördert Netzwerkprobleme und Störungen. Sicherheitsaudits zeigen, dass Betreiber von Steuernetzen weder eine Übersicht ihrer eingebundenen Komponenten besitzen, noch die Kommunikationsstruktur kennen. Eine intelligente Anomalieerkennung für industrielle Steuernetze fängt mehrere Fliegen mit einer Klappe: Erstens schafft sie eine vollständige Transparenz im Steuernetz. Zweitens meldet sie verdächtige Vorfälle im Steuernetz inklusive Cyberangriffe, Netzwerkprobleme und Änderungen im Kommunikationsverhalten aufgrund von Manipulation, Netzwerk- oder Anlagenverschleiß. Und drittens sortiert sie Meldungen nach Relevanz und erlaubt eine effektive Reaktion auf identifizierte Anomalien. Das eigene Steuernetz verstehen Der Kern einer IT-Sicherheitsstrategie für Industrie-4.0-Umgebungen darf sich nicht auf eine Blackbox-Technologie verlassen, die über Updates und Feature-Listen Sicherheit verspricht. Unternehmen müssen die Souveränität über ihre Netzwerke wiedergewinnen. Basis einer jeden Strategie ist deshalb ein sauberes Network Mapping. Über das Network Mapping werden alle Komponenten im Steuernetz identifiziert und ihre Kommunikationsmuster vollständig analysiert. So erhalten Unternehmen ein Bild darüber, wer im Steuernetz aktiv ist, mit wem kommuniziert wird, welche hierarchischen (Befehls-)Strukturen vorherrschen, wie hoch das Datenvolumen über die Zeit ist und welche Abfragen und Befehle im Steuernetz kommuniziert werden (Inhaltsanalyse). Das Network Mapping erfolgt asset- und eventbasiert. Es ist Grundlage, das eigene Steuernetz zu verstehen und die aktiven Komponenten auf ihre Tätigkeiten und ihren Einflussbereich zu prüfen. Die Visualisierung des Netzwerkes weist dabei IP- und MAC- Nummer der Komponenten, bestehende Zugriffsmuster zwischen den Komponenten, Kommunikationshierarchien, verwendete Protokolle, Frequenz der Kommunikationsmuster und Inhalte der Datenpakete aus. So können fehlerhafte, redundante, konfliktbehaftete oder sicherheitsrelevante Komponenten, Konfigurationen und Kommunikationsstrukturen gezielt beseitigt werden. 60 INDUSTRIELLE AUTOMATION 6/2017

Beispielhafte Visualisierung des Wirkens der Malware WannaCry in einem Steuernetz Risikolandkarte erstellen In komplexen Steuernetzen können diverse Anomalien auftauchen, z. B. Cyberhacks, Malware-Angriffe, nicht autorisierte Zugriffe, neue Netzwerkteilnehmer, Veränderungen der Kommunikationshierarchie, Netzwerk- oder Anlagenverschleiß, fehlerhafte Datenpakete und Kapazitätsengpässe. Die Administratoren des Steuernetzes müssen schnell erkennen, welche Anomaliemeldung die Produktion empfindlich stören kann. Nur so können sie effektiv handeln. Auf Basis des Network Mappings wird deshalb eine Risikolandkarte für das Steuerungssystem erstellt. Sie definiert, zu welcher Risikostufe eine Komponenten und zu welcher Risikostufe Aktionen bzw. Eingriffe im Steuernetz gehören. Die Komponenten und Eingriffe werden auf einer Skala von 0 bis 100 eingestuft. Somit erhalten Steuernetzbetreiber einen Überblick, welche Komponenten und Kommunikationsveränderungen besonders empfindlich auf die Anlagenverfügbarkeit und Produktivität wirken. Die Risikolandkarte erlaubt im laufenden Betrieb der Anomalieerkennung eine Priorisierung von Meldungen. Wird eine Anomalie erkannt, wird sie automatisch mit einer Risikostufe versehen (Risk Score). Der Risk Score definiert, wie gefährlich eine Veränderung im Steuernetz auf die Fertigung wirkt. Da die Priorisierung in Echtzeit erfolgt, können Maßnahmen schnellstmöglich ergriffen werden. Auf dem Display der Anomalieerkennung kann der Administrator die Meldungen z. B. nach Risk Score filtern und gezielt überprüfen. Weitere Filtermöglichkeiten sind z. B. Protokolltyp, Anlage und MAC-Adresse. ANZ0967ad Neigungssensor NBT/S3 mit PROFIsafe über PROFINET www.twk.de Abwehrmaßnahmen einleiten Ein weiterer Aspekt der operativen Umsetzung ist die Integration der Anomalieerkennung in die bestehenden Kontrollsysteme. Diese können sich im Leitstand und in der Unternehmens-IT befinden. Über ein individuell definierbares Data-Filtering-Tool können Regeln festgelegt werden, an welches operativ ausführende System bestimmte Anomaliemeldungen gesendet werden sollen. So kann eine Anomaliemeldung, die auf eine unbekannte Malware hinweist, automatisch und in Echtzeit an die Firewall oder das Security Information und Event Management System (SIEMS) gesendet werden, um Abwehrmaßnahmen einzuleiten. Meldungen, die auf einen Verschleiß eines Anlagenteils hinweisen, können für die vorausschauende Instandhaltung an das MES gesendet werden. Sowohl die Visualisierung der Meldungen (Filter) als auch die Policys (Senderegeln) können Unternehmen selbstbestimmt einrichten. So kann die Anomalieerkennung individuell auf die Anforderungen eines Unternehmens an Sicherheit und Produktivitätssteuerung abgestimmt werden. www.rhebo.com Das Ziel fest im Blick, die Segel perfekt getrimmt: So manövriert unsere eingespielte Crew Ihre Maschinen auf optimalem Kurs durch die Gewässer der Automatisierung. Erleben Sie auf der SPS IPC Drives innovative Ingenieur-Lösungen von Eckelmann, die begeistern! Unsere Messe-Highlights 2017: www.eckelmann.de/sps_live Stand 7-320 Halle 7 WIR STEUERN IHRE MASCHINE AUF ERFOLGSKURS Besuchen Sie uns auf der INDUSTRIELLE AUTOMATION 6/2017 61 eag-0024_Anzeige_90x130_RZ.indd 1 02.11.17 12:57 Eckelmann.indd 1 03.11.2017 08:24:19

AUSGABE