|  |
Sichere Automation - Vernetzte Produktionsanlagen effizient schützen
Microsoft Windows, TCP/IP, Ethernet, Webbrowser oder Wireless verbreiten sich rasant in Anwendungen der Prozessautomatisierung. Die zunehmende Vernetzung macht die bisher abgeschottete Produktions-IT allerdings verwundbar. Hier sind Schutzlösungen gefragt, die Beeinträchtigungen der Prozesse durch Viren, Würmer oder einfach nur unberechtigte Zugriffe von innerhalb des Netzwerks ausschließen. Erste Security Appliances für den industriellen Einsatz ermöglichen jetzt eine sichere Übertragung bis hin zur einzelnen Anlage oder dem Automatisierungsgerät.
Nach einer aktuellen Studie der PA Consulting Group, einer führenden internationalen Management-, System- und Technologieberatung, kamen 49 % der Viren und Würmer, die Automatisierungsanlagen befielen, über das interne Unternehmensnetzwerk. Seit 2001 nehmen jedoch auch von außen geführte Attacken deutlich zu. Nach Ansicht der Berater rückt die Prozessautomatisierung verstärkt in den Blick von Hackern. Bereits 13 % der Sicherheitsvorfälle in diesem Umfeld von 2002 bis 2005 können als Sabotage klassifiziert werden. Der durchschnittliche Schaden der Sicherheitsvorfälle, die die PA Consulting Group untersucht hat, lag bereits bei 1,5 Mio. Euro pro Vorfall. Zahlen wie diese belegen, dass vernetzte Fertigungssysteme vor Schadeinwirkungen von außen und von innerhalb des Netzwerks geschützt werden müssen. Wegen der drohenden Gefahren auf die Möglichkeiten von TCP/IP beziehungsweise des Internets zu verzichten, wäre aber grundfalsch.
Potenzial vernetzter Systeme für die Prozessautomatisierung
Bereits heute ermöglicht die Vernetzung aller Unternehmensbereiche Prozessanwendern den direkten Zugriff auf Produktionsdaten, die Optimierung von Prozessen und ein verbessertes Supply-Chain-Management. Die Ferndiagnose und beispielsweise die Übertragung von Videobildern von wichtigen Prozessschritten in Kontrollzentralen erhöhen die Sicherheit und die Verfügbarkeit der Gesamtsysteme. Eine durchgängige Kommunikation und die zunehmende Vernetzung der Prozess- und Unternehmensleitebene können Prozesse enorm beschleunigen und deren Effizienz steigern. Ein weiterer, nicht zu unterschätzender Vorteil der Einführung offener Standards ist die Möglichkeit einer Fernwartung der Anlagen durch die Hersteller der Automatisierungssysteme. Möglich wird diese neben der Verbreitung von TCP/IP auch durch die zunehmende Nutzung so genannter „Commercial-off-the-shelf-Systeme“ (COTS) wie Microsoft Windows und anderer Produkte aus der klassischen IT.
Neue Möglichkeiten, neue Gefahren
Bei all diesen neuen Möglichkeiten kommt das Thema Security oft zu kurz. Industrielle Anwender ignorieren oft die Gefahren, die die durchgehende Vernetzung über das Internet oder das Intranet mit sich bringt. Und dies, obwohl die Sicherheitsrisiken größtenteils wohl bekannt und in vielen Fällen offensichtlich sind. Vor allem die Gefahr der Einschleppung von Würmern und Viren beispielsweise über eine Fernwartungsanwendung spielt hier eine wichtige Rolle. Hacker, Viren und Würmer verursachen in Produktionsanlagen nicht nur Vermögensschäden. Ausfälle von Kontroll-, Steuerungs- oder Fertigungssystemen in der Lebensmittelindustrie können auch Mensch und Umwelt gefährden.
Die Tatsache, dass Windows mittlerweile einen immer größeren Marktanteil im Bereich der Automatisierungstechnik erringt, verschärft die Problematik zusätzlich. Um auf neu entdeckte Verwundbarkeiten von Windows zu reagieren, werden im Bürofeld regelmäßig Sicherheitspatches auf den Systemen installiert. Bei Automatisierungsanwendungen ist diese Art der Fehlerbehebung nicht möglich. Vielfältige Abhängigkeiten zwischen der Version des Betriebssystems und der Automatisierungssoftware – die in vielen Fällen außerdem externen Zertifizierungen und Zulassungen unterliegt – machen regelmäßiges Patchen unpraktikabel. Zertifizierte Software, wie sie im Pharma- oder Lebensmittelumfeld in vielen Fällen verlangt wird, darf nicht verändert werden oder bedarf einer erneuten Abnahme. Gefragt sind Sicherheitslösungen, die speziell für die Anforderungen der Industrie entwickelt wurden.
Network Security goes Industrial
Mittlerweile gibt es einige industrielle Security Appliances, die den Datenverkehr auch in den geschilderten Situationen absichern. Die Security Appliance mGuard industrial von Innominate zum Beispiel kombiniert erstmalig umfassende Sicherheitstechnologien wie die Trennung von erwünschtem und nicht erwünschtem Datenverkehr (Firewall), die sichere und vertrauliche Kommunikation über Virtual-Private-Network-Verbindungen (VPN) und Virenschutz mit einer besonderen Tauglichkeit für industrielle Anwendungen. Letztere wird in der Erfüllung relevanter Industriestandards, der Hutschienenmontage und der einfachen Bedienbarkeit deutlich.
mGuards berühren die Software der einzelnen Anlagen nicht. Durch den patentierten Stealth Mode lassen sie sich in ein bestehendes Netzwerk einfügen, ohne dass die Netzwerkeinstellungen oder die Netzwerktopologie geändert werden müssen. Indem die mGuards vor Maschinen oder Gerätegruppen geschaltet werden und deren IP-Adresse übernehmen, werden sie für die Systeme – aber auch für Angreifer von außen – unsichtbar.
Sind entsprechende Sicherheitsstrukturen installiert, können bedenkenlos einzelne Systeme über DSL direkt an Fernwartungs- und Fernwirkanwendungen angeschlossen oder Automatisierungsgeräte in einem größeren Netz durch einen sicheren Tunnel über das Intranet erreicht werden. Wartungstechniker können nun über das Internet die Fernwartung eines Systems bei einem Kunden durchführen, ohne dass die Gefahr der Ausspähung, des Angriffs oder des Missbrauchs besteht. Die sichere Datenübertragung kann über die gebräuchlichen Standards IPsec oder über das speziell für die Fernwartung entwickelte Protokoll SSH realisiert werden.
Das GPRS-Modem Tainy von Dr. Neuhaus Telekommunikation kombiniert die Nutzung vom Paketdatenfunk mittels GPRS mit den Security-Funktionen von Innominate in einem industriellen Gerät für die Hutschiene. Damit lassen sich Telematik-Anwendungen über GPRS realisieren, ohne Kompromisse an der Security machen zu müssen. Die gute Netzabdeckung und die günstigen Tarife machen GPRS dabei nicht nur zum Ersatz für Punkt-zu-Punkt Verbindungen, sondern in vielen Fällen auch zu einer interessanten Alternative zu leitungsgebundener Kommunikation.
07/2006, Olaf Siemens
| | Olaf Siemens (38), ist seit 2002 im Vorstand der Innominate Security Technologies AG und dort seit 2004 als CEO tätig. Er ist für die strategische Ausrichtung des Unternehmens auf die Sicherheit für industrielle Anwendungen zuständig.
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Die Informationstechnologie hat unseren Alltag bereits weitgehend durchdrungen, Büro- und Produktionsprozesse sind ohne Netzwerktechnik und Internet nicht mehr denkbar. Mit steigendem IT-Einsatz erhöht sich jedoch auch die Abhängigkeit von diesen ... | |  | | Krypto-Schlüsseln und -Algorithmen droht Gefahr durch die fortschreitende Entwicklung leistungsfähiger Hardware und neuer mathematischer Verfahren. Wie lange können die heutigen Verfahren noch halten, was sie versprechen? Und welche Alternativen ... | |  | | Sicherheit in vernetzten Prozesssystemen Die Vorteile vernetzter Unternehmensbereiche liegen klar auf der Hand. Doch mit der Einführung von Standardtechnologien wird nicht nur die Kommunikation effizienter. Schadprogramme, die bisher lediglich ... | |  | | Auch in der Automatisierungstechnik erhält Netzwerksicherheit durch die fortschreitende Verbreitung von Industrial Ethernet einen hohen Stellenwert. Dabei lassen sich herkömmliche Security-Lösungen aus der Bürowelt in den seltensten Fällen ... | |  | | Das Kerpener IT-Beratungsunternehmen RZNet AG optimierte die zentrale Intel-Server-Infrastruktur der C. Rob. Hammerstein GmbH & Co. KG zu einem hochverfügbaren und ausfallsicheren System. Die Virtualisierung mit VMware und den RZNet-Entwicklungen ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
