Anlagenbau & Prozesstechnik

Vernetzter als gedacht

OT-Security im Kontext von Industrie 4.0

03.04.2017 -

Durch den Vormarsch ethernetbasierter Protokolle und eine steigende Vernetzung in Produktionsanlagen wachsen ursprünglich isolierte industrielle Netzwerke zusammen.

Noch bis vor wenigen Jahren wurden Produktionsnetzwerke als weitgehend isolierte Einheiten konzipiert. Heute lassen sich Maschinen und Anlagen für die industrielle Automation und Leittechnik aus standardisierten Hardware- und Softwarekomponenten zusammensetzen. Typische Schnittstellen zur Leistungsabgrenzung oder auch Informationswandlung entfallen ersatzlos, denn Büroebene (Informational Technology, IT) und Produktionsebene (Operational Technology, OT) verwenden ethernetbasierte Protokolle, die in der Automatisierung bis hin in die unterste I/O-Ebene unaufhaltsam auf dem Vormarsch sind. Die derzeit propagierte Durchlässigkeit der Kommunikation vom Sensor bis zur Cloud stößt bei vielen Praktikern auf Ablehnung. Dennoch werden sich die Verantwortlichen aus IT und OT gemeinsam den neuen Herausforderungen an die Instandhaltungsbereiche stellen müssen. Dazu gilt es, ihre Kompetenzen im Sinne der Gewährleistung des Security-Gedankens zu vereinen.

Netzwerke wachsen, das Sicherheits-­Bewusstsein kaum
Solange Netzwerke noch von überschaubarer Größe waren, gestaltete sich deren Überwachung vergleichsweise einfach und eine großartige Kommunikationskontrolle wurde kaum durchgeführt. Durch die steigende Vernetzung innerhalb der Prozess- und Fabrikautomation auf dem Weg zu Industrie 4.0 werden Netzwerke jedoch in kurzer Zeit deutlich größer und unübersichtlicher – die Produktion ist vernetzter als gedacht. Die klassische Automatisierungs-Pyramide wird aufgelöst und die gewohnten Trennlinien oder auch klar abgesteckten Kompetenzen und Verantwortungen zwischen IT-Bereich und der Automatisierung überleben sich bzw. werden verschwinden. Dies ist ein Prozess, dessen Fortschreiten nicht nur Befürworter, sondern auch echte Gegner auf die Bühne bringt. Denn wer gibt schon gern seine über Jahre aufgebaute Vormachtstellung ab und traut der Instandhaltung den Umgang mit „geswitchten“ Netzen zu? Das Bewusstsein dafür, dass diese neuen Netzwerkstrukturen zusätzlich zu den Vorkehrungen der IT eine weitere Absicherung zur Gewährleistung einer kontinuierlichen Produktion benötigen, wächst jedoch nicht im gleichen Maß bzw. in der gleichen Geschwindigkeit wie die Netzwerke selbst.
Trotz steigendem Vernetzungsgrad und wachsender Komplexität wird die Verfügbarkeit der Produktionsprozesse allzu häufig als gegeben vorausgesetzt. Der technologische Wandlungsprozess ist eingeleitet und zeigt überwiegend positive Ergebnisse. So verlaufen die Inbetriebnahmen, bspw. mit Profinet, fast reibungslos und Planer und Programmierer haben den Know-how-Sprung mit Bravour gemeistert. In den Instandhaltungs- und Servicebereichen zeigt sich jedoch, dass die Verantwortlichen von der neuen Technologie überrascht werden und bei Störungsanalyse noch immer an Geräte-, Leitungs- oder Steckertausch denken. Das technische Personal steht dann oft vor plötzlichen Herausforderungen und muss sehen, wie es mit der unverhofften Situation umgeht. Mit Angeboten wie praxisorientierten Seminaren im Hause der Anlagen­errichter und -betreiber verzeichnet die Firma Indu-Sol große Erfolge, indem sie das notwendige Technologieverständnis vermittelt und dadurch den Wandlungsprozess der Netzwerkstrukturen aktiv unterstützt. Es gilt, auf Seiten des täglich zuständigen Personals rechtzeitig Bewusstsein durch Qualifizierung zu schaffen.

Das Netzwerk kennen, Datenflut ­bewältigen, Fehlerbilder detektieren
Durch den zunehmenden Einsatz dezentraler Intelligenzen kommt zum ohnehin schon vorhandenen, zyklischen Datenverkehr in ethernetbasierten Netzwerken parallel noch eine steigende Menge azyklischen Datenverkehrs hinzu. Treten Unregelmäßigkeiten im Netzwerk auf, wird die Ursachenforschung schnell zu einer echten Sisyphus-Arbeit. Nicht selten bleibt die Frage nach dem Warum unbeantwortet, weil sich der Zustand im Netz (zum Beispiel eine schwankende Netzlast) im Millisekunden-Bereich ändern kann und ein Nachstellen des internen Netzwerkzustandes zu einem Zeitpunkt X unmöglich ist. Wer so eine Situation schon einmal durchlebt hat oder sie sich vorstellen kann, weiß, welchen Wert historische Daten besitzen. Deshalb sind nicht zuletzt IT-Experten immer öfter verwundert, wie randläufig und inkonsequent das Thema Netzwerk-Monitoring in der Automatisierung mitunter angegangen wird.
Neben der Unübersichtlichkeit der Kommunikation erhöht ein vermehrtes Datenaufkommen die Gefahr von Flaschenhälsen (engl. bottle­necks) an überlasteten Switchports. Läuft deren interner Zwischenspeicher (sog. Queues) für Telegramme, die gerade nicht weitergeleitet werden können, aufgrund dieser hohen Last über, müssen aktuelle Prozessdaten aus Kapazitätsgründen verworfen werden (sog. Discards). Um solche und weitere qualitätsrelevante Netzwerkparameter zu überwachen, hat die Firma Indu-Sol in den letzten Jahren ein zuverlässiges System zur permanenten und passiven Analyse der Kommunikationsqualität in Profinet-Netzwerken entwickelt. Dieses System und das darin integrierte Mess- und Diagnosetool Profinet-INspektor NT stellen dem Betreiber wesentliche Informationen auf den Punkt bereit und melden ihm Anomalien sofort über entsprechende Alarmfunktionen. Wie hoch ist bzw. war die Netzwerklast zu einem bestimmten Zeitpunkt? Gibt oder gab es Verzögerungen in der Datenübertragung (Jitter)? Für diese und weitere Qualitätsparameter gibt es bereits Grenzwerte, die im Sinne einer stabilen Kommunikation nicht überschritten werden sollten.

Erfahrungsbasierte Qualitätswerte für eine ­stabile Profinet-Kommunikaton

  • Jitter (Abweichung von der geplanten Aktualisierungszeit)    ≤ 50 %
  • Telegrammlücke (Ausbleiben eines Telegramms)    0
  • Fehlertelegramm (zerstörte Telegramme)    0
  • Lastverhältnis (Profinet- zu Nicht-Profinet-Kommunikation)    100:1
  • Netzlast (Auslastung des Netzwerks, ­gemessen an 100 Mbit/s)    < 20 %

Unabhängig davon, ob die Ressourcen es ermöglichen, wird es auch künftig darauf ankommen, Daten dort zu verarbeiten, wo sie entstehen und nur Ergebnisse weiterzuleiten. Wer eine tiefergehende Analyse betreiben will, kann den genauen Telegrammmitschnitt zu Rate ziehen.

OT-Netzwerksecurity innerhalb der Trusted Zone
Mit der Zunahme der Vernetzung im industriellen Produktionsbereich sehen sich diese Monitoring-Systeme nun völlig neuen, zusätzlichen Anforderungen gegenüber. Verfügbarkeit und Sicherheit müssen Hand in Hand gehen. Bisher wurde die Kommunikation innerhalb eines nach außen abgesicherten Netzwerk-Bereichs, der sogenannten Trusted Zone, als vertrauenswürdig eingestuft und daher nicht weiter kontrolliert. Die hohe Anzahl an Zugangspunkten zum Netzwerk und die steigende Vernetzung intelligenter Geräte und Komponenten machen jedoch auch innerhalb des Automatisierungsnetzwerkes ein sicherheitsrelevantes Monitoring notwendig. Zusätzlich zu den IT-Vorkehrungen braucht es ein eigenständiges Monitoring für die Automatisierungstechnik, weil in beiden „Welten“ unterschiedliche Security-Ansätze gelten: Ist in der IT die Datensicherheit oberstes Gebot, so haben die Automatisierer als Primat die Produktionssicherheit im Visier – kontinuierliche Prozesse müssen gewährleistet sein. Deshalb ist es wichtig, jederzeit seinen Netzwerkzustand zu kennen, um Anomalien frühzeitig vor dem Ausfall nachgehen zu können.
Aus diesem Grund fungiert der Profinet-­INspektor NT zusätzlich als Intrusion-Detection-System. Er detektiert die Anwesenheit unbekannter Teilnehmer im Netzwerk und alarmiert den Betreiber umgehend – wahlweise per E-Mail, SNMP-Trap und natürlich über die Weboberfläche des Geräts. Mit dieser Funk­tion und der millisekundengenauen Auflösung der Netzwerklast lassen sich gezielte Angriffe auf bestimmte Teilnehmer aufgrund erhöhter Netzwerklast und vermehrter Anfragen (Denial of Service) identifizieren. Zusätzlich werden Programmierzugriffe auf die SPS erkannt, um Hinweise auf Manipulationen zu identifizieren.

Abschottung ist keine Option
Die Scheu vieler Betreiber vor der Installation von Sicherheitsmaßnahmen besteht häufig im großen Aufwand, den in der IT bewährte Sicherheitslösungen mit sich bringen. Neben den hohen Kosten schreckt hier vor allem ein immenser Konfigurationsaufwand für Firewalls, Router, Benutzerkonten etc. ab. Zudem lassen sich diese Maßnahmen nicht 1:1 auf den Schutz von Netzwerken der Automatisierungstechnik übertragen, ohne deren Verfügbarkeit zu gefährden. Der Abschottungsgedanke der IT zum Zweck des Datenschutzes läuft dem Gedanken nach einer weltweiten Vernetzung der Produktion jedoch zuwider.
Doch trotz der Tatsache, dass es für die Automatisierungstechnik keine verbindlich formulierten Security-Standards gibt, kann eine störungsfreie Produktion künftig nur ermöglicht werden, wenn Sicherheit und Monitoring gleichermaßen gewährleistet sind. Lösungen, die beides kombinieren und erste Schritte in Richtung Security gehen, stehen bereit.

Kontakt

Indu-Sol GmbH

Blumenstr. 3
04626 Schmölln
Deutschland

+49 34491 5818 0
+49 34491 5818 99