Pilz: Security für Steuerungssysteme
Vorschaltgeräte schirmen Steuerungen ab
Fortsetzung des Artikels von Teil 1
Auch Dienstleistungen werden angeboten ...
Welche Maßnahmen bieten sich auf der Netzwerkebene an?
Solange ein Maschinennetz keine Verbindung zu weiteren Netzen hat, sind eventuell keine oder nur einfache Maßnahmen erforderlich. Sobald aber zwecks Datenanalyse, Condition-Monitoring, Predictive Maintenance, Kundenkommunikation oder Vernetzung mehrerer Produktionsstandorte solche Verbindungen geschaffen werden, bedarf es entsprechender Firewalls. Die Administratoren können dann Zonen mit hohen und weniger hohen Sicherheitsanforderungen bestimmen und per Firewall voneinander trennen. Auf jeden Fall ist es sinnvoll, getreu dem Konzept „Defense in Depth“ mehrere Schutzschichten zu etablieren, wie bei mittelalterlichen Burganlagen. Wenn es aber Veränderungen im Netzwerk gibt oder der Betreiber wechselt, ist eventuell eine neue Bedrohungsanalyse erforderlich.
Was kann das von Ihnen erwähnte vorgeschaltete Gerät leisten?
Das Gerät wird vor dem Steuerungssystem in das Produktionsnetzwerk eingeklinkt und schützt das Steuerungssystem vor Manipulation durch unbefugten Zugriff. Pilz bietet für seine konfigurierbare Kleinsteuerung PNOZmulti und seine SPS-Steuerung PSSuniversal PLC als Teil des Automatisierungssystems PSS 4000 neuerdings ein solches Vorschaltgerät an: die „SecurityBridge“. Es beruht auf einer ARM-Plattform und arbeitet auf Layer 2 des OSI-Schichtenmodells, dem Data-Link-Layer. Das Gerät umfasst eine konfigurierbare Firewall in Hard- und Software; es analysiert die ankommenden Prozessdatenpakete und hält sie gegebenenfalls zurück, wenn sie den Security-Anforderungen nicht genügen. Es „spricht“ die Echtzeit-Ethernet-Protokolle Profinet, EtherNet/IP, Modbus TCP und SafetyNet p, die auch von unseren Steuerungssystemen unterstützt werden, und leitet die sicherheitstechnisch unbedenklichen Prozessdatenpakete ohne nennenswerten zeitlichen Versatz durch. Zudem fungiert es als VPN-Server, über den gesicherte VPN-Verbindungen zu Konfigurations-PCs aufgebaut werden können. Konfigurationsänderungen an einem Projekt sind nur Anwendern möglich, die eine entsprechende Berechtigung haben.
Die Konfiguration der SecurityBridge hängt natürlich von der Risikoanalyse ab: Welche Verbindungen bestehen zum Netzwerk, welche Bedrohungen gibt es, was muss vor welchen Bedrohungen geschützt werden?
Bietet Ihr Unternehmen im Zusammenhang mit der SecurityBridge auch Dienstleistungen an?
Ja, wir werden demnächst auch entsprechende Dienstleistungen anbieten. Hierzu gehören Bedrohungsanalysen für Maschinen und Anlagen einschließlich Vorschlägen zu Security-Maßnahmen. Außerdem führen wir Schulungen bei uns im Unternehmen oder bei Kunden durch.
Generell gehört zur Security auch, die nötigen Voraussetzungen im Unternehmen zu schaffen. Die IT-Abteilungen müssen mit den Produktionsabteilungen reden, was längst nicht selbstverständlich ist. Mitarbeiter sind entsprechend zu schulen, E-Mails sind kritisch zu betrachten und nicht virengescannte USB-Sticks sind zu meiden. Dies sind nur einige Beispiele, die aber zeigen: Security ist eine Querschnittsaufgabe, die letztlich alle im Unternehmen betrifft.
- Vorschaltgeräte schirmen Steuerungen ab
- Auch Dienstleistungen werden angeboten ...
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
