Aufrufe
vor 9 Monaten

Industrielle Automation 6/2018

  • Text
  • Automation
  • Industrielle
Industrielle Automation 6/2018

Bild: Adobe Stock

Bild: Adobe Stock Echtzeitkommunikation anpassen lassen. Wie verhalten sich diese in Echtzeit? Oder wie lässt sich eine einfache Zertifikatsprüfung vornehmen? Dabei steht die Working Group immer im engen Kontakt zu den Anwendern, um später auch eine praxistaugliche Vorgehensweise zu entwickeln. Security-Maßnahmen in PROFINET-Netzwerken VERANTWORTUNG ÜBERNEHMEN Die Vernetzung in Anlagen nimmt immer mehr zu und damit auch Bedrohungen, z. B. durch unberechtigte Zugriffe oder Manipulation des Datenverkehrs. Vor diesem Hintergrund ist es nur folgerichtig, Automatisierungsnetzwerke immer wieder neu zu bewerten und entsprechende Security-Konzepte zu erarbeiten. Daher hat die PI-Working Group Industrie 4.0 das Thema Security zu einem Schwerpunkt erklärt – ein Statusbericht. Das Thema Security ist für die Kommunikationsspezialisten nichts Neues. So hat PI (PRO- FIBUS & PROFINET International) bereits im Jahr 2005 ein Security-Konzept veröffentlicht, das in mehreren Schritten weiter detailliert wurde. Aber Security ist ein Thema, das nie abgeschlossen ist – im Gegenteil! Bevor Konzepte und Maßnahmen erarbeitet werden, muss erst einmal genau geschaut werden, wo mögliche Angriffspunkte liegen. Bei einer solchen Bedrohungsanalyse orientierte sich PI an bewährten Konzepten aus der Informationstechnologie. Eins davon ist das STRIDE-Prinzip, das sich aus den sechs Anfangsbuchstaben der Begriffe zusammensetzt: Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilige. Darauf aufbauend wurden die schützenswerten Assets eines PROFINET-Systems identifiziert, mögliche Bedrohungen aufgezeigt, und diese bewertet, um anschließend Gegenmaßnahmen zu entwickeln. Dabei zeigte sich, dass z. B. schon heute die Durchführung von Netzlasttests, die sog. Security Level1 Tests, wichtiger Bestandteil bei der Zertifizierungsprüfung sind. Diese schützen in einem gewissen Umfang vor Denial of Service-Attacken. Auch das schon früh von PI eingeführte Zellenschutzkonzept hat immer noch Bestand. AKTIVITÄTEN VON PI Angesichts einer zukünftigen stärkeren Vernetzung müssen weitere Maßnahmen ergriffen werden. Allerdings hat die Working Group in ihren Untersuchungen festgestellt, dass sich Konzepte aus der Informationstechnologie nicht ohne weiteres auf die Automatisierungswelt übertragen lassen. Daher ist ein Schwerpunkt der Working Group die Beurteilung, wie sich gängige Schutzkonzepte aus der IT-Welt auf die Automatisierung und So wurde zum Beispiel bei Probeimplementierungen evaluiert, welche Cipher Suites echtzeitfähig sind. Cipher Suites sind eine standardisierte Sammlung kryptographischer Verfahren. Aus PI-Sicht wird es darum gehen, aus diesen Cipher Suites diejenigen auszuwählen, welche die erforderlichen Einsatzbereiche abdecken, etwa einen zyklischen Datentransfer ohne Unterbrechung durch zusätzlichen Security-Traffic oder eine sichere Erkennung von gefälschten Parametrierdaten. Auch bei der Authentifizierung und Integritätssicherung, also der Sicherstellung, dass die Daten auch wirklich von einem vertrauenswürdigen PROFINET-Gerät stammen und unverfälscht sind, ist man inzwischen einen Schritt weiter. Auf der SPS/IPC Drives in Nürnberg wird in einer Live-Demonstration ein Man-in-the-Middle-Angriff simuliert und gezeigt, wie ein Prototyp eines PROFINET- Gerätes reagiert, das bereits Security-Mechanismen integriert hat, die das Verfälschen von Daten erkennen. Ebenfalls extrem wichtig ist das Schlüsselmanagement (Key Deployment). Dabei geht es nicht nur um die Frage, wie der Schlüssel ins Feldgerät, also in diesem Fall in die PROFINET-Komponente, übertragen wird, sondern wie man diese Technologie auch ohne ausgebildete IT-Techniker anwendet. Diese Beispiele zeigen nur einen kleinen Ausschnitt aus der derzeitigen Themenbreite, mit der sich das Security-Team innerhalb von PI beschäftigt. Security verlangt vom Anwender, dass er Verantwortung übernimmt und ein Systemkonzept implementiert. Daher reicht ein dem Anwender an die Hand gegebenes einfaches Systemfeature nicht aus. PI wird im Rahmen seiner Security-Spezifikation Strategien empfehlen, mit denen eine Anlage bestmöglich geschützt wird. Bei allen Konzepten achtet PI darauf, dass die angebotenen Lösungen praktikabel bleiben und sich für zukünftige Anwendungen eignen. Joachim Koppers, Leiter PI WG „Security“ 20 PI-Magazin 2/2018

Neue EMV-Richtlinie UNGESTÖRTES ZUSAMMENSPIEL Anlagenprobleme liegen nach wie vor häufig im Bereich der elektromagnetischen (Un-)Verträglichkeit. Um dem abzuhelfen, wurde eine neue Richtlinie erarbeitet. Kommunikationsnetzwerke wie zum Beispiel PROFIBUS und PROFINET sind als robuste und zuverlässige Übertragungssysteme bekannt. Dennoch ist für deren Funktion die Beachtung einiger grundlegender Prinzipien wichtig, um einen störungsfreien Betrieb über ein langes Anlagenleben zu gewährleisten. Betrachtet man beispielsweise den Stand der Technik zur elektromagnetischen Verträglichkeit (EMV), sollte man davon ausgehen, dass die zu Grunde liegenden Fragestellungen seit den 1990er-Jahren bearbeitet und gelöst sind. Schließlich müssen alle Geräte und Systeme, die in der EU in Verkehr gebracht werden, seit dieser Zeit, im Rahmen der CE-Kennzeichnung entsprechenden EMV-Prüfungen unterzogen werden. Umso mehr erstaunt es, dass auch heute noch eine signifikante Anzahl von Problemen mit der EMV in Produktionsanlagen auftreten. So sind Anlagenstörungen laut Experten für Fehlersuche sehr häufig auf die EMV zurückzuführen. Bei genauerer Betrachtung lässt sich feststellen, dass viele Probleme im Bereich der elektromagnetischen Verträglichkeit aus dem Zusammenspiel verschiedener Komponenten und durch den Einfluss des Energieversorgungsund Erdungssystems entstehen. Aus diesem Grund hat sich die PI-Arbeitsgruppe „CB / PG3 Installation Guides PB and PN“ in den letzten zwei Jahren mit dem Thema Funktionspotentialausgleich und Schirmung für PROFIBUS und PROFINET grundlegend befasst. Dabei ging es insbesondere um Fragestellungen, die in verteilten Produktionsanlagen auftreten. Die Ergebnisse der oben genannten Arbeitsgruppe liegen seit dem Frühjahr 2018 in Form einer Richtlinie in deutscher und englischer Sprache vor. Die Richtlinie „Funktionspotentialausgleich und Schirmung von PROFIBUS und PROFI- NET“ soll Planern und Betreibern über sechs Handlungsempfehlungen eine EMV-gerechte Auslegung von Produktionsanlagen in der Fertigungsindustrie unter Verwendung von PROFIBUS oder PROFINET ermöglichen. Im nächsten Schritt soll die Richtlinie nun für Anlagen mit Explosionsgefährdungen im Bereich der Prozessindustrie erweitert werden. Prof. Dr. Karl-Heinz Niemann, Hochschule Hannover, Leiter der PI-Working Group Installation Guides Durchgängige Connectivity und Industrie 4.0 in Perfektion Festo bietet durchgängige Lösungen von der Mechanik bis in die Cloud für elektrische und pneumatische Antriebe. Unsere neue Automatisierungsplattform ermöglicht die einfachste Integration der Servoantriebsregler CMMT an PPROFINET, und eröffnet Ihnen erstmals komplette MC-Lösungen als Subsystem aus einer Hand. www.festo.com/ea PI-Magazin 2/2018 21

AUSGABE