Fabrikautomatisierung
Datensicherheit für Steuerungs- und Regelungsnetzwerke
Fortsetzung des Artikels von Teil 2
Schutz gegen versehentlich hervorgerufene Störungen
Obwohl die Mitarbeiter eines Unternehmens normalerweise keinen Schaden anrichten wollen, kommt es sehr oft vor, dass dies ungewollt passiert, etwa beim automatisierten Software-Update, das sich die Zielrechner im Firmennetz selber sucht. Wer kann schon auf vorsichtig agierende Update-Scripts vertrauen. Zu schnell ist da auch das vermeintlich »alte« Betriebssystem eines PCs am Montageband »aktualisiert«. Das Script konnte natürlich nicht wissen, dass die Treiberkonfiguration dieses PCs nicht mit dem neuesten Betriebssystem zusammenarbeitet. Weitere Risiken kommen von neuen Geräten, bei denen sich erst später herausstellt, dass sie in ihrer Standardkonfiguration das Netz mit Datenpaketen überschwemmen.
Hier ist der beste Schutz die oben beschriebene Segmentierung in Kompartimente oder Sub-Netze. Sie ist durch den simplen Einsatz eines Routers für »Cells« erreichbar. Kritische Geräte wie etwa SPSen lassen sich direkt hinter Routern platzieren.
Die zunehmende Leistungsfähigkeit moderner Router ermöglicht völlig neue Methoden zur Untersuchung von Datenpaketen. Während in klassischen Firewalls vorwiegend Ziel- und Absenderadresse kontrolliert werden, lassen sich bei der »Deep Packet Inspection« (DPI) mehr Parameter zur Filterung von Paketen einsetzen. Dies ist besonders sinnvoll, wenn Feldbusse auf Ethernet-Basis eingesetzt werden. Mit DPI lassen sich Datenpakete nach Feldbustyp (z.B. EtherNet/IP, Modbus TCP) blockieren oder durchlassen. Fortschrittliche Router können sogar den Zweck der Pakete überprüfen. Manche Router vermögen Modbus-TCP-Pakete zu blockieren, die »Write«-Befehle enthalten. Eine unerwünschte Konfiguration von Modbus-Clients ist damit ausgeschlossen.
Bei richtiger Segmentierung und Konfiguration des Netzwerks kann also gleichzeitig die Produktion laufen, während davon sicher getrennt neue Geräte installiert werden.
- Datensicherheit für Steuerungs- und Regelungsnetzwerke
- Schutz gegen externe Eindringlinge
- Schutz gegen versehentlich hervorgerufene Störungen
- Herausforderungen bei der Installation industrieller Netzwerke
- Hindernisse bei der Implementierung von Defense-in-Depth-Cyber-Sicherheit
- Die Herausforderungen annehmen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
B&R/Wibu-Systems
Automatisierungs- und Security-Technik »verheiratet«
Automatisieren
Schutz industrieller Anlagen mit integrierter Sicherheit
