Vernetzung von Maschinen und Anlagen
Klar trennen und gezielt verbinden
Um den Aufwand zu verringern und Security-Problemen vorzubeugen, ist es sinnvoll, die Vernetzung von Maschinen und Anlagen möglichst einfach zu gestalten. Doch mit welchen Methoden und Produkten lässt sich dies am leichtesten bewerkstelligen?
Die vergangenen 30 Jahre waren geprägt von einer sich rasant entwickelnden Digitalisierung, Automatisierung und Vernetzung. Auf handbediente und handgewartete Standalone-Maschinen und -Anlagen folgten erste Vernetzungen bzw. Dezentralisierungsansätze mittels Feldbussen – physikalisch und logisch untereinander inkompatibel. Parallel dazu war die IT in der Office-Welt bereits deutlich weiter.
IP-Netze auf Ethernet-Basis mit – im Vergleich zu Feldbussen – riesigen Bandbreiten waren Standard und weckten Begehrlichkeiten in der jetzt OT genannten Welt. Immer mehr Steuerungen, Anlagen und Maschinen bekamen Netzwerk-Anschlüsse oder wurden mittels geeigneter Interfaces netzwerkfähig gemacht. Als Kommunikationsbasis wurde meist das bereits existierende IT-Netz einfach mit einem Hub oder Switch erweitert – fertig.
Die so entstandenen flachen Netzwerk-Hierarchien hatten aus Anwendungssicht zweifellos ihre Vorteile:
- Jeder konnte mit jedem sprechen (zumindest physikalisch).
- Alle Dienste (Konfiguration, Nutzdaten, Servicedaten …) eines Netzwerkteilnehmers waren für jeden mehr oder weniger leicht zugänglich.
- Die Netze waren sehr leicht erweiterbar (einheitliche Physik)
- und hochflexibel (bei Umzug kam das Gerät einfach in eine andere Netzwerkdose).
Der immer breitere Ausbau sowie die höhere Verfügbarkeit und Zuverlässigkeit des Internets bei zugleich wachsenden Bandbreiten und sinkenden Kosten machten die Welt der OT dann noch ein bisschen schöner. Schlagworte und Kampagnen wie Industrie 4.0 und IoT/IIoT wurden geboren, und die Vernetzung wurde immer kleinteiliger und verzweigter. Das Internet als WAN verbindet nicht mehr nur LANs aus der IT-Welt untereinander, sondern macht auch Maschinen, Steuerungen, Sensoren und Aktoren allseits verfügbar.
Security
Das Thema Security spielte in der Vergangenheit bei vielen Installationen nur eine untergeordnete Rolle und war mit der Einrichtung eines mehr oder weniger starken Passworts abgehandelt. Kreativität, hohe Motivation und auch Erfolge der »dunklen Kräfte« haben hier jedoch ein Umdenken in Gang gesetzt.
Eine wirkungsvolle erste Security-Maßnahme in industriellen und kritischen Umgebungen ist es, die Maschinen oder Anlagenteile über eine Klein-Firewall physikalisch zu isolieren. Eine solche Maßnahme schützt nicht nur die so entstandene Netzwerkinsel vor unerwünschten oder gar schädlichen Zugriffen aus dem umgebenden Netzwerk heraus, sondern erschwert in der Gegenrichtung auch einen unerwünschten Informationsabfluss.
Für die sinnvolle Implementierung solcher Firewalls auf Whitelist-Basis gilt es natürlich zunächst, die Frage zu klären, welche Kommunikation für die jeweiligen Anwendung überhaupt zwingend erforderlich ist. Mit der Whitelist als Liste beteiligter Quell-/Ziel-IP-Adressen bzw. Hostnamen und den Portnummern wird dann über Regeln die erlaubte Kommunikation freigegeben. An dieser Stelle setzt häufig die Kritik an, und es kommen Befürchtungen auf, an langen und unübersichtlichen Regelkonstrukten und kryptisch bedienbaren Firewall-Konfigurationen zu verzweifeln oder gar zu scheitern. In vielen Fällen ist dies jedoch völlig unbegründet. Ist der Kommunikationsbedarf einmal strukturiert und geklärt, reichen häufig schon eine Handvoll Regeln völlig aus, um das Schutzniveau deutlich zu erhöhen.
Fernwirken und produktiver Betrieb
Zunächst gilt es, die für den Standardbetrieb benötigten Kommunikationsbeziehungen zwischen der segmentierten Insel und dem umgebenden Netzwerk sowie gegebenenfalls auch WAN-Verbindungen zu klären. Bei genauerer Betrachtung wird man in vielen Fällen feststellen, dass sich die Verbindungen relativ übersichtlich gestalten.
Bei einer CNC-Maschine beispielsweise ist für den Normalbetrieb häufig nur eine Verbindung zum DNC-Server oder zum Konstruktionsarbeitsplatz nötig. Besteht die Netzwerk-Insel aus mehreren Geräten wie etwa einer Steuerung mit dezentralen E/A-Baugruppen, wird die Hauptkommunikation innerhalb der Insel erfolgen. Die Anbindung an die Außenwelt beschränkt sich oft auf ein oder zwei Arbeitsplätze zur Leitebene oder Entwicklung.
Datenerfassung
Systeme zur Betriebs-/Maschinendatenerfassung (BDE/MDE) erfassen Daten und Störungen von Maschinen und Anlagen, um deren aktuellen Zustand zu überwachen. Neben der Reaktion auf konkrete Störungen werden daraus auch Informationen zur Wirtschaftlichkeit und Effizienz sowie für Predictive Maintenance abgeleitet.
Eine Möglichkeit der Umsetzung ist die anlagennahe zentrale Erfassung der Sensordaten etwa durch eine SPS oder ein Edge-Gateway, von wo aus dann eine gebündelte Weiterleitung an das BDE/MDE-System mit nur einer Netzwerkverbindung erfolgt. Alternativ dazu hat sich in den vergangenen Jahren in Maschinen auch das OPC-UA-Protokoll etabliert.
Der maschineninterne OPC-UA-Server stellt alle relevanten Informationen über eine Netzwerkverbindung bereit. Die Unterstützung proprietärer Kommunikationsprotokolle in BDE/MDE-Systemen kann dabei entfallen, und alle Daten werden über das standardisierte OPC-UA-Protokoll ausgetauscht.
In beiden Fällen reichen meist einige wenige Regeln aus, um die Verbindungen in der Firewall freizugeben.
- Klar trennen und gezielt verbinden
- Fernwartung
