Wago Kontakttechnik Linux-Rechner, Secure Gateway und Codesys-SPS in einem

Vielseitig in IIoT-Anwendungen einsetzbar sind die Controller der Serie PFC200 von Wago.
Vielseitig in IIoT-Anwendungen einsetzbar sind die Controller der Serie PFC200 von Wago.

Dank ihrer Linux-Basis bieten die Controller der Serien PFC100 und PFC200 von Wago umfangreiche IT-Security-Funktionen: Sie kodieren Daten nicht nur mittels SSL/TLS 1.2 in der Steuerung, sondern übertragen sie via VPN-Tunnel auch sicher in übergeordnete Systeme – per OPC UA und bald auch per MQTT.

Um für IIoT-Anwendungen in Frage zu kommen, muss Automatisierungstechnik auch in puncto IT-Sicherheit zuverlässig sein. Schließlich sind Produktionsdaten ein wertvolles Gut und müssen im IIoT besonders geschützt werden. Wagos Controller der Baureihen PFC100 (für kleinere Anwendungen) und PFC200 (für größere Anwendungen) tragen dem Rechnung: Sie haben nämlich ein plattformübergreifendes Realtime-Linux installiert, das als Open-Source-Betriebssystem langzeitverfügbar, skalierbar und Update-fähig ist und Tools wie Rsync unterstützt. Einsetzbar sind sie dementsprechend auch als Secure Gateways. Die installierte Linux-Basis unterstützt nicht nur wichtige Sicherheitsprotokolle, sondern profitiert auch davon, dass diese dank der großen Linux-Community ständig weiterentwickelt werden. Die Controller sind somit weniger eine einfache SPS, die zusätzlich Daten in die Cloud schicken kann, als vielmehr ein vollwertiger Linux-Rechner, der zusätzlich die Codesys-SPS-Runtime unterstützt. Außerdem lassen sich verschiedene Schnittstellen und Feldbusse wie CANopen, Profibus DP, DeviceNet und Modbus TCP herstellerunabhängig bedienen.

Die Controller entsprechen laut Wago den aktuell höchsten Sicherheitsanforderungen gemäß der ISO-27000-Reihe – je nach Anwendung und Risikoanalyse. Sie bieten Onboard-VPN-Funktionen auf Basis des sogenannten „Strongswan Package“ und des „OpenVPN“-Pakets, einer sicheren Kommunikationslösung für Linux-Betriebssysteme. Darüber hinaus lassen sich die Daten bereits in den Controllern mittels SSL/TLS-1.2-Verschlüsselung (Secure Sockets Layer/Transport Layer Security) kodieren. Einen VPN-Tunnel bauen die Controller dann direkt über IPsec oder OpenVPN auf und übertragen die Daten, wenn gewünscht, sogar kabellos in die Cloud. Während IPsec auf Betriebssystemebene bzw. Layer 3 verschlüsselt, sorgt OpenVPN auf der Anwendungsebene (Layer 5) für Datenintegrität. So entstehen abhör- und manipulationssichere Kommunikationsverbindungen zwischen den Controllern und den Netzzugangspunkten. Auch ein vorgeschalteter VPN-Router ist nicht mehr erforderlich.

Bei der Kommunikation mit einem der Controller wird eine verschlüsselte LAN/WAN-Verbindung aufgebaut, deren Inhalt nur die beiden Endpunkte verstehen können. Verbindungen werden nur nach erfolgter Authentifizierung aufgebaut. Als Verschlüsselungsverfahren dient das leicht realisierbare Pre-Shared-Key, bei dem die Schlüssel beiden Teilnehmern vor der Kommunikation bekannt sein müssen. Alternativ bietet sich das x509-Zertifikat als Verfahren für eine Public-Key-Infrastruktur zum Erstellen digitaler Zertifikate an. Wago beansprucht, mit dem Sicherheitskonzept der Controller schon heute alle relevanten Richtlinien zur IT-Security und sogar eine Vielzahl der Vorgaben aus dem BDEW-Whitepaper für Anwendungen in der Energie- und Wasserversorgung, die zur sogenannten „Kritischen Infrastruktur“ (KRITIS) zählen, zu erfüllen.

Die Controller können zudem als skalierbare Knotenpunkte dienen, die in bestehende Automatisierungssysteme integrierbar sind, ohne in den eigentlichen Automatisierungsprozess einzugreifen – die Daten werden parallel abgegriffen und per OPC UA oder demnächst MQTT in die Cloud geschickt. Via Anbindung an MES (Manufacturing Execution Systems) lassen sich die Daten auch produktionsintern verwenden. Anlagenbetreiber können dank Cloud-Fähigkeit stets den Überblick über ihre Produktionsanlagen behalten. Mit geringem Aufwand und relativ einfachen Mitteln lassen sich komplexe Prozesse nicht nur erfassen, sondern per Smartphone oder Tablet auch visualisieren. Relevante Bereiche sind über eine Hierarchieabstufung nach Detailtiefe filterbar, so dass mögliche Fehlfunktionen leichter und frühzeitig zu lokalisieren sind.