26.02.2014 Aufrufe

atp edition Ganzheitliches anlagenweites Security Management (Vorschau)

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

3 / 2012<br />

54. Jahrgang B3654<br />

Oldenbourg Industrieverlag<br />

Automatisierungstechnische Praxis<br />

<strong>Ganzheitliches</strong> <strong>anlagenweites</strong><br />

<strong>Security</strong> <strong>Management</strong> | 34<br />

Hardware-basierte<br />

Informationssicherheit | 42<br />

Integriertes System- und<br />

Dienste-<strong>Management</strong> | 50<br />

Entwicklung von IT-<strong>Security</strong>-<br />

Tests für Profinet IO | 58


editorial<br />

Der Stuxnet-Effekt – Wird die<br />

IT-<strong>Security</strong> zur Innovationsbremse?<br />

Sicherheitslücke bei Blackberry“ ... „Hackerangriff auf Sony“. Uns Automatisierer<br />

betrifft das nicht! Das dachten wohl einige, die glaubten, Automatisierungssysteme<br />

wären noch eine unberührte Insel mit gekapselten Funktionen.<br />

Entkoppelt von den Risiken der Consumer-IT und Office-Anwendungen. Dann<br />

griff ‚Stuxnet’ gezielt Automatisierungssysteme an. Es folgte der Virus ‚Duqu’<br />

und auch zukünftig wird es für unsere Industrieanlagen oder kritische Infrastrukturen<br />

weitere Bedrohungen geben.<br />

Wir brauchen daher eine effektive Gegenoffensive. Dabei müssen wir Betreiber<br />

konsequent unsere Verantwortung wahrnehmen, um die Sicherheit, Verfügbarkeit<br />

und Integrität unserer Produktionsprozesse und -anlagen zu gewährleisten.<br />

Gleichzeitig müssen aber Hersteller und Lieferanten die Herausforderung<br />

annehmen, eine fast zehn Jahre alte Forderung der Endanwender umzusetzen:<br />

Informationssicherheit muss stets ein grundlegendes Designziel von Automatisierungssystemen<br />

und -komponenten sein.<br />

Zusätzliche Schutzmaßnahmen auf Betreiberseite können auf Dauer nur bedingt<br />

systematische Designfehler auf Systemseite kompensieren. Gehärtete<br />

Betriebssysteme, klare Autorisierungsmechanismen, auf die Kernanwendung<br />

reduzierte Kommunikationskanäle et cetera sind nur einige der Ideen, die als<br />

Designkriterien dienen können.<br />

Bislang gilt, dass moderne Kommunikationstechnologien, die sich in der IT<br />

etabliert haben, als „Enabler“ für Innovationen auch in der Automatisierungstechnik<br />

wirken. Der Einsatz von IT-Komponenten ist derzeit in der Systementwicklung<br />

von Automatisierungslösungen Standard. Die intensive Vernetzung<br />

von Geschäftsprozessen durch die horizontale und vertikale Informationsintegration<br />

bildet die Grundlage für viele Optimierungsvorhaben in unseren<br />

Unternehmen. Auch weiterführende Abläufe wie in der Instandhaltung oder<br />

der Logistik profitieren von konsistenten und flexibel nutzbaren Prozess- und<br />

Assetinformationen. Daher können Defizite in der IT-Sicherheit und ein damit<br />

einhergehender Vertrauensverlust zur Innovationsbremse werden. Dem gilt es<br />

gezielt und mit Nachdruck entgegen zu treten.<br />

Endanwender der Namur fordern daher seit geraumer Zeit quasi ‚eigensichere‘<br />

Automatisierungssysteme, die sich selbst vor Angriffen schützen. Heute ist<br />

diese Forderung keine Vision mehr, sondern eine Notwendigkeit. Die Herausforderung<br />

ist es, geeignete Technologien zu finden, die dies effizient ermöglichen.<br />

Die klassischen Antworten der IT – etwa Virenscanner oder automatisierte<br />

Sicherheitsupdates – taugen hierfür aufgrund der notwendigen Verfügbarkeit<br />

und der deutlich längeren Lebenszyklen der Automatisierungstechnik<br />

nur bedingt. Neue, innovative Konzepte, wie effektive Whitelistingverfahren,<br />

sind gefragt. Gleichzeitig müssen die Endanwender durch eine konsequente<br />

Fokussierung ihrer Anforderungen auf die Kernaufgaben der Prozessautomation<br />

zu einer Entflechtung von den Risiken der Standard-IT beitragen.<br />

Wenn man diese Herausforderung meistert, dann werden auch zukünftig IT<br />

und Automation gemeinsam bleiben, was sie bislang waren: Innovationstreiber,<br />

die es ermöglichen Produktions- und Geschäftsprozesse in einer global vernetzten<br />

Welt weiterzuentwickeln und zukunftsfähig zu gestalten.<br />

Martin Schwibach,<br />

BASF SE, Senior Automation<br />

Manager – Produktionsnahe<br />

Kommunikationstechnik<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

3


Inhalt 3 / 2012<br />

Verband<br />

6 | AALE 2012 in Aachen – Internationale Akademie<br />

für Angewandte Automatisierungstechnik geplant<br />

Standardtestfälle sollen für Transparenz bei der<br />

Auswahl von Funklösungen sorgen<br />

Neuer Leitfaden für Betriebsanleitungen<br />

7 | Übergreifende Lösungen für die Sicherheit<br />

Namur-Award für beste Nachwuchsautomatisierer<br />

Forschung<br />

8 | Funktionsfähige Modell-Anlage für<br />

interdisziplinäres Studienprojekt fertiggestellt<br />

Kolloquium: Beiträge für „Kommunikation<br />

in der Automation“ gesucht<br />

Smart-Card-Preis geht an langjährigen<br />

IT-Sicherheitsexperten Walter Fumy<br />

branche<br />

10 | Prozessindustrie in Asien sichert den Feldbuslösungen<br />

zweistellige Wachstumsraten<br />

EtherCAT jetzt auch koreanischer Standard<br />

11 | Sensorik kehrt im Jahr 2012 zu einer „normalen“<br />

Zuwachsrate zurück – China rückt in den Fokus<br />

FDI-Implementierung erstmals demonstriert<br />

GMA-Tagung parallel zur Messe Sensor + Test<br />

interview<br />

26 | „Viele Anlagen sind nur unzureichend geschützt“<br />

Eckhard eberle im Interview mit <strong>atp</strong> <strong>edition</strong><br />

4<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Praxis<br />

12 | Optimierte Echtzeitüberwachung von Prozess- und<br />

Systemdaten steigert Produktion in Textilfabrik<br />

14 | Fernwirkcontroller mit IEC-Protokoll bei den<br />

Stadtwerken in Völklingen eingesetzt<br />

16 | Kleinsteuerung alarmiert Lkw-Fahrer vor zu<br />

niedrigen Tunneln für ihr Fahrzeug<br />

20 | FDT2-Standard optimiert Zuverlässigkeit und baut<br />

rollenbasierte Sicherheitsanwendung aus<br />

24 | Software statt Hardware: Neue Funktechnik<br />

erlaubt völlig neue Wireless-Lösungen<br />

30 | Public Key Infrastructure schließt die Schutzlücke<br />

und gewährleistet eine sichere Kommunikation<br />

Hauptbeiträge<br />

34 | <strong>Ganzheitliches</strong> <strong>anlagenweites</strong> <strong>Security</strong> <strong>Management</strong><br />

A. Palmin, S. Runde und P. Kobes<br />

42 | Hardware-basierte Informationssicherheit<br />

M. Runde, K.-H. Niemann und C. Tebbe<br />

50 | Integriertes System- und Dienste-<strong>Management</strong><br />

R. Lehmann, R. Frenzel und M. Wollschlaeger<br />

58 | Entwicklung von IT-<strong>Security</strong>-Tests für Profinet IO<br />

H. Adamczyk und T. Doehring<br />

rubriken<br />

3 | Editorial<br />

66 | Impressum, <strong>Vorschau</strong><br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

5


verband<br />

AALE 2012 in Aachen – Internationale Akademie<br />

für Angewandte Automatisierungstechnik geplant<br />

die Konferenz für angewandte Automatisierungstechnik<br />

in Lehre und Entwicklung an Fachhochschulen<br />

D<br />

(AALE), findet 2012 an der FH Aachen statt. Das Programm<br />

am 3. und 4. Mai umfasst 40 Übersichts- und Fachvorträge,<br />

unter anderem mit Schwerpunkten in der Lehre, der<br />

Robotik, der Prozessautomatisierung oder der 3D-Simulation<br />

gesteuerter Systeme.<br />

Das aktualisierte Programm steht abrufbereit unter<br />

www.fh-aachen.de/aale2012. Dort kann auch die Anmeldung<br />

erfolgen. Die AALE ist das Forum, auf dem sich Professoren<br />

der Automatisierungstechnik oder verwandter<br />

Gebiete austauschen und aktuelle Themen diskutieren<br />

können. Verliehen wird bei der Tagung wieder der AALE<br />

Student Award: Damit werden Absolventen mit herausragenden<br />

Bachelor- beziehungsweise Master-Arbeiten in der<br />

Automatisierungstechnik ausgezeichnet.<br />

Der Verein der Freunde und Förderer der Angewandten<br />

Automatisierungstechnik an Fachhochschulen (VFAALE<br />

Standardtestfälle sollen für Transparenz bei der<br />

Auswahl von Funklösungen sorgen<br />

Mit einem neuen Richtlinienblatt zur VDI/VDE-Richtlinie<br />

2185 will der GMA-Fachausschuss 5.21 für mehr Transparenz<br />

bei Funksystemen sorgen und deren Einsatz vorantreiben.<br />

Denn wegen mangelnder Kenntnis der detaillierten Systemeigenschaften<br />

würden heute einige Funksysteme nicht genutzt<br />

oder sogar prinzipienbedingt generell abgelehnt, beklagt der<br />

FA 5.21 „Funkgestützte Kommunikation“. Damit würden die<br />

wirtschaftlichen Möglichkeiten der Funkkommunikation<br />

nicht ausgeschöpft. Daher bestehe dringender Bedarf für Testverfahren<br />

zur Bewertung unterschiedlicher Funklösungen.<br />

Entwickelt werden sollen Standardtestfälle zur einheitlichen<br />

Zeit- und Fehlerbewertung industrieller Funklösungen<br />

mit Bezug auf Klassen industrieller Automatisierungsanwendungen.<br />

Schwerpunkte sollen liegen auf:<br />

e.V.) plant auch die Gründung einer Plattform für kooperative<br />

Promotionen. Etwa zehn Vertreter von Hochschulen<br />

und Instituten haben bereits eine Absichtserklärung<br />

zur Gründung der Internationalen Akademie für Angewandte<br />

Automatisierungstechnik (IAAA) unterzeichnet.<br />

Hauptaufgabe soll die Förderung der wissenschaftlichen<br />

Zusammenarbeit von nicht-promotionsberechtigten<br />

Hochschulen Deutschlands, Österreichs und der Schweiz<br />

mit promotionsberechtigten Universitäten und Unternehmen<br />

sein, um kooperative Promotionen zu ermöglichen.<br />

Für dieses Projekt sucht der VFAALE weitere Unterstützung<br />

von Universitäten und Unternehmen.<br />

VFAALE E.V.,<br />

c/o Fachhochschule Düsseldorf,<br />

Fachbereich Elektrotechnik,<br />

Josef-Gockeln-Str. 9, D-40474 Düsseldorf,<br />

Tel. +49 (0) 211 435 13 08, Internet: www.vfaale.de<br />

Der Arbeitskreis Technische Dokumentation im ZVEI-<br />

Fachverband Automation hat seinen Leitfaden „Anforderungen<br />

an Betriebsanleitungen für elektrotechnische<br />

Produkte der Automatisierung“ überarbeitet. Der überarbeitete<br />

Leitfaden des ZVEI-Fachverbands Automation gibt einen<br />

Überblick über die aktuellen rechtlichen Vorschriften im<br />

Europäischen Wirtschaftsraum (EWR), die Einfluss auf die<br />

inhaltliche Gestaltung von Betriebsanleitungen haben.<br />

Behandelt werden die vier wesentlichen für Betriebsanleitungen<br />

relevanten Rechtsbereiche Haftungsrecht, Gemehr<br />

Transparenz durch einheitliche Verfahren,<br />

Förderung der Kommunikation und Vermeidung von<br />

Missverständnissen zwischen Automatisierungstechniker<br />

und Nachrichtentechniker,<br />

Unterstützung der Realisierung zuverlässiger Funklösungen<br />

sowie<br />

Vermeidung von Fehlinvestitionen.<br />

Im Rahmen der Arbeiten will der FA 5.21 Kenngrößen<br />

und statistische Parameter zur Zeit- und Fehlerbewertung<br />

sowie relevante Einflussgrößen spezifizieren und auf dieser<br />

Basis Anwendungsprofile und dazu passende Testfälle<br />

definieren. Interessierte Experten ruft der Fachausschuss<br />

zur aktiven Mitarbeit auf (gma@vdi.de).<br />

Verbesserung der Produktbewertung durch validierte<br />

Methoden und Modelle,<br />

Unterstützung des Qualitätsmanagements durch<br />

systematisches Vorgehen,<br />

VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik<br />

(GMA) VEREIN DEUTSCHER INGENIEURE E.V.,<br />

VDI-Platz 1, D-40468 Düsseldorf,<br />

Tel. +49 (0) 211 621 40, Internet: www.vdi.de<br />

Neuer Leitfaden für Betriebsanleitungen<br />

währleistungsrecht, Strafrecht und Vorschriften zum<br />

In-Verkehr-Bringen. Ebenfalls erläutert werden die daraus<br />

folgenden Anforderungen, etwa zu Formvorschriften,<br />

Aufbewahrungspflichten und Verantwortlichkeiten. Der<br />

Leitfaden ist unter www.zvei.org/automation erhältlich.<br />

ZVEI – Zentralverband Elektrotechnik- und<br />

Elektronikindustrie e.V.,<br />

Lyoner Straße 9, D-60528 Frankfurt am Main,<br />

Tel. +49 69 6302-0, Internet: www.zvei.org<br />

6<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Übergreifende Lösungen<br />

für die Sicherheit<br />

Erik Kahlert ist neuer Vorsitzender<br />

des Lenkungskreises im ZVEI-<br />

Fachverband Sicherheit. Er ist Nachfolger<br />

der langjährigen Vorsitzenden<br />

Angelika Staimer, die aus Altersgründen<br />

nicht mehr für eine Wiederwahl<br />

zur Verfügung stand. Hauptberuflich<br />

leitet der 43-jährige Elektroingenieur<br />

die Business Unit „Fire Safety and<br />

<strong>Security</strong>“ bei Siemens Building Technologies<br />

Deutschland. Neben dem<br />

Schwerpunkt Sicherheit verfügt Kahlert<br />

über umfangreiche internationale<br />

Erfahrung im Anlagengeschäft, insbesondere<br />

im Energiesektor.<br />

Der Fachverband Sicherheit bündelt<br />

die Leitmärkte Safety (Schutz<br />

von Menschenleben, technische Sicherheit<br />

von Anlagen und Gebäuden), <strong>Security</strong> (Schutz<br />

von Infrastruktur wie Flughäfen und Energieversorgung,<br />

ITK sowie Bevölkerungs- und Katastrophenschutz) und<br />

Defence (äußere Sicherheit). Dem Fachverband gehören<br />

mehr als 90 Unternehmen der Sicherheitsbranche an.<br />

ZVEI – ZENTRALVERBAND ELEKTROTECHNIK-<br />

UND ELEKTRONIKINDUSTRIE E.V.,<br />

Lyoner Straße 9, D-60528 Frankfurt am Main,<br />

Tel. +49 (0) 69 630 20, Internet: www.zvei.org<br />

Erik Kahlert:<br />

„Die hohen<br />

deutschen<br />

Sicherheitsstandards<br />

können nur<br />

im internationalen<br />

Kontext erhalten<br />

werden.“ Bild: ZVEI<br />

| EK12-06G |<br />

So kompakt sieht<br />

ein vollständiger<br />

Servoverstärker aus.<br />

Direkter Anschluss von Servomotor<br />

und Resolver an 12-mm-Busklemme.<br />

Namur-Award für beste<br />

Nachwuchsautomatisierer<br />

Für die Bewerbung um den Namur-Award 2012 können<br />

noch bis zum 29. Juni herausragende Abschlussarbeiten<br />

zum Thema „Intelligente Prozess- und Betriebsführung“<br />

eingereicht werden. Mit dem Preis möchte die Namur die<br />

Attraktivität des zukunftsträchtigen, interdisziplinären<br />

Arbeitsgebiets Prozessautomatisierung weiter erhöhen und<br />

junge Absolventen ermutigen, sich darin zu vertiefen. Prämiert<br />

werden die beste Diplom-/Masterarbeit mit 1000 Euro<br />

sowie die beste Promotionsarbeit mit 2000 Euro.<br />

Die Arbeiten können beispielsweise aus folgenden Fachgebieten<br />

stammen: Automatisierungstechnik, Elektrotechnik,<br />

Informationstechnik, Mess-, Regelungstechnik,<br />

Prozessleittechnik sowie Verfahrenstechnik. Lehrstuhlinhaber<br />

entsprechender Fachgebiete können formlos Anträge<br />

für die beste Abschlussarbeit einreichen. Zur Unterstützung<br />

der Bewerbung können zugehörige Veröffentlichungen<br />

ebenfalls eingereicht werden. Die Unterlagen<br />

erbittet die Namur per E-Mail an office@namur.de. Die<br />

Preisverleihung findet im Rahmen der Namur-Hauptsitzung<br />

am 9. November in Bad Neuenahr statt.<br />

Namur-Geschäftsstelle,<br />

c/o Bayer Technology Services,<br />

Gebäude K 9, D-51368 Leverkusen,<br />

Tel. +49 (0) 214 307 10 34,<br />

Internet: www.namur.de<br />

IPC<br />

I/O<br />

Motion<br />

Automation<br />

www.beckhoff.de/EL7201<br />

Halle 9, Stand F06<br />

Die Servoklemme EL7201 für das Beckhoff-EtherCAT-Klemmensystem<br />

integriert im Standardklemmengehäuse einen vollständigen<br />

Servoverstärker für Motoren bis 200 W:<br />

Direkter Anschluss von Servomotor, Resolver und Haltebremse<br />

an 12-mm-Busklemme<br />

Deutliche Reduzierung des Platzbedarfs sowie der Verdrahtungsund<br />

Inbetriebnahmekosten<br />

Die integrierte, schnelle Regelungstechnik ist für hochdynamische<br />

Positionieraufgaben ausgelegt.<br />

Die Servoklemme unterstützt Synchronmotoren mit einem<br />

Nennstrom bis 4 A.<br />

Die Kombination aus Servomotorserie AM3100 und Servoklemme<br />

bietet eine kostengünstige Servoachse im unteren Leistungsbereich.


8<br />

Forschung<br />

Funktionsfähige Modell-Anlage für<br />

interdisziplinäres Studienprojekt fertiggestellt<br />

Der Hochschule Darmstadt ist es gelungen, eine Montageanlage<br />

in Betrieb zu nehmen, die Automatisierungsvorgänge<br />

in einer Fabrik abbildet. An dieser interdisziplinär<br />

betriebenen Anlage können 300 Studierende<br />

jährlich unter realen industriellen Bedingungen ausgebildet<br />

werden.<br />

An dieser<br />

„Trainings“-Anlage<br />

können bis zu 300 Studenten<br />

Abläufe in der industriellen<br />

Produktion erlernen.<br />

Bild: Deutsche Messe GmbH<br />

Kolloquium: Beiträge für „Kommunikation<br />

in der Automation“ gesucht<br />

Für das Kolloquium „Kommunikation in der Automation“<br />

(KommA) können Interessierte noch grundlagen- oder<br />

anwendungsorientierte Beiträge einreichen. Das Jahreskolloquium<br />

befasst sich mit industrieller Kommunikation, die<br />

das Rückrat jeder dezentralen Automatisierung bildet. Die<br />

Veranstalter ifak e.V. und inIT (Institut für Industrielle Informationstechnik)<br />

der Hochschule Ostwestfalen-Lippe<br />

nehmen noch Beitragsvorschläge, die eine Länge von einer<br />

Seite nicht überschreiten sollten, bis zum 11. Mai entgegen.<br />

Einzureichen sind die Papers unter www.init-owl.de/kom-<br />

Smart-Card-Preis geht an langjährigen<br />

IT-Sicherheitsexperten Walter Fumy<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

Prof. Stephan Simons vom Fachbereich Elektrotechnik<br />

und Informationstechnik konzipierte das Modell gemeinsam<br />

mit Prof. Stephan Neser vom Fachbereich Mathematik<br />

und Naturwissenschaft. Es stellt eine vollständige Fabrikmontage<br />

dar: vom Hochregallager und der damit verbundenen<br />

Logistik über die Montage mittels Robotersystemen<br />

sowie die automatisierte Endprüfung der Waren zeichnet<br />

die Fertigungsstraße alle nötigen Produktionsschritte nach.<br />

Mit der Montageanlage soll auch die mittelständische<br />

Industrie in Darmstadt und der Region Automatisierungstechniken<br />

erarbeiten und erproben.<br />

Ganz aktuell läuft in der Anlage ein Projekt zur Anbindung<br />

von Code-Readern an speicherprogrammierbare<br />

Steuerungen. Diese Forschung im Rahmen einer Bachelorarbeit<br />

dient der Identifikation von Produkten in einer<br />

modernen Fabrik.<br />

Hochschule Darmstadt,<br />

University of Applied Sciences,<br />

Haardtring 100, D-64295 Darmstadt,<br />

Tel. +49 (0) 6151 16 02, Internet: www.h-da.de<br />

Dr. Walter Fumy erhielt für seine Verdienste im Bereich<br />

Sicherheit für intelligente Karten Anfang Februar den<br />

Fraunhofer-Smart-Card-Preis 2012. „Chipkarten sind das<br />

Sicherheitstoken in IT-Infrastrukturen. <strong>Security</strong> ist deshalb<br />

die wichtigste Säule, auf denen Smartcard-Architekturen<br />

aufbauen“, lautete die Begründung der Jury.<br />

Walter Fumy hat auf dem Gebiet der IT-Sicherheit und<br />

bei der Entwicklung von Sicherheitsstandards jahrzehntelange<br />

Erfahrung gesammelt. Die bekannteste Standardisierung,<br />

die er voran trieb, ist die ISO-Normenreihe<br />

2700x über Informationssicherheits-<strong>Management</strong>-Systeme.<br />

Ein wichtiges Prüfsystem, an dem er mitgewirkt hat,<br />

sind die Common Criteria, nach denen etwa Chips im<br />

Bereich Telekommunikation, Payment und elektroma2012.<br />

Dort finden sich weitere Informationen zur Agenda<br />

der Veranstaltung. Das Kolloquium findet am 14. November<br />

2012 zum dritten Mal statt. Dieses Jahr laden die Veranstalter<br />

ins Centrum Industrial IT in Lemgo.<br />

InIT – Institut für Industrielle<br />

Informationstechnik<br />

Hochschule Ostwestfalen-Lippe,<br />

Liebigstraße 87, D-32657 Lemgo, Tel. +49 (0) 5261 702 138,<br />

Internet: www.init-owl.de/komma2012<br />

nische Ausweise weltweit auf ihre<br />

Sicherheit hin geprüft werden.<br />

Fumy studierte in Erlangen Informatik<br />

und promovierte dort auch. Er<br />

kam 1986 zu Siemens und arbeitete<br />

dort zum Thema IT-Sicherheit in unterschiedlichen<br />

Bereichen. Heute ist<br />

Fumy Chief Scientist bei der Bundesdruckerei.<br />

Dr. Walter Fumy<br />

wurde mit dem<br />

Fraunhofer-Smartcard-Preis<br />

(Statuette)<br />

ausgezeichnet.<br />

Bild: Frauhofer SIT<br />

Fraunhofer-Institut für<br />

Sichere Informationstechnologie SIT,<br />

Rheinstraße 75, D-64295 Darmstadt,<br />

Tel. +49 (0) 6151 86 90, Internet: www.sit-fraunhofer.de


Weltweiter<br />

Fernzugriff<br />

Fernwirken<br />

Alarmieren<br />

Fernwarten<br />

… sicher und zuverlässig<br />

Überwachen Sie Ihre dezentralen Anlagenteile<br />

und kommunizieren Sie sicher mit<br />

entfernt gelegenen oder mobilen Maschinen.<br />

Phoenix Contact bietet Ihnen dafür:<br />

• Industrie-Modems für den welt weiten<br />

und universellen Fernzugriff auf<br />

Steuerungen und Ethernet-Netzwerke<br />

• <strong>Security</strong>-Router für sichere VPN-<br />

Verbindungen mit IPsec- Verschlüsselung<br />

• SPSen und Software zur Steuerung<br />

entfernter Anlagen und zum stetigen<br />

Anlagenüberblick<br />

Mehr Informationen unter<br />

Telefon (0 52 35) 31 20 00 oder<br />

phoenixcontact.de<br />

© PHOENIX CONTACT 2012


anche<br />

Prozessindustrie in Asien sichert den<br />

Feldbuslösungen zweistellige Wachstumsraten<br />

Der Markt für Feldbuslösungen in der Prozessindustrie<br />

wird in den kommenden fünf Jahren stärker wachsen<br />

als im Durchschnitt aller Industrien. Zu diesem Ergebnis<br />

kommt eine Studie der ARC Advisory Group. Das Marktforschungs-<br />

und Beratungsunternehmen sieht als Wachs-<br />

2011 2012 2013 2014 2015 2016<br />

Weltweit wird<br />

der Umsatz mit<br />

Feldbuslösungen<br />

kontinuerlich<br />

weiter wachsen.<br />

Quelle: ARC<br />

tumsmotor vor allem die Emerging Markets China und<br />

Indien. In Asien sei mit jährlichen Zuwächsen von 24<br />

Prozent zu rechnen – proportional zum Wachstum der<br />

Prozessindustrie in der Region. Das zweitstärkste Wachstum<br />

erwartet ARC mit über zehn Prozent in Lateinamerika,<br />

dort allerdings von einem sehr niedrigen Niveau aus.<br />

In den entwickelten Märkten, besonders in den Nordamerika,<br />

erwarten die Berater ein unterdurchschnittliches<br />

Wachstum der Feldbussysteme in der Prozessindustrie.<br />

Eine Beschleunigung der Feldbuseinführung in diesen<br />

Regionen prognostiziert ARC, da die Hersteller verbesserte<br />

Nachrüstlösungen entwickeln und Anwender auf<br />

dieser Basis auf Feldbussysteme umstellen. Unter Berufung<br />

auf die ARC-Studie teilte die Fieldbus Foundation<br />

mit, dass 2011 fast drei Viertel des Marktes der digitalen<br />

Feldbusse auf Foundation-Fieldbus-Lösungen entfielen.<br />

ARC Advisory Group,<br />

3 Allied Drive, Dedham, MA 02026 USA,<br />

Tel. +1 781 471 10 00, Internet: www.arcweb.com<br />

EtherCAT jetzt auch koreanischer Standard<br />

EtherCAT ist nun auch als koreanischer Industriestandard<br />

(KS) anerkannt worden. Das koreanische<br />

Büro der EtherCAT Technology Group (ETG) hatte sich<br />

zwei Jahre um diese Anerkennung durch das Amt für<br />

Technologie und Standards bemüht. Key Yoo, Leiter<br />

des ETG-Büros Korea, betont: „EtherCAT ist nicht nur<br />

der Systembus der größten koreanischen Steuerungshersteller,<br />

sondern hat Verbreitung in den Schlüsselbranchen<br />

unseres Landes gefunden, wie etwa der Herstellung<br />

von Halbleitern und Flachbildschirmen,<br />

Schiffsbau und Robotik. Dass EtherCAT jetzt nationaler<br />

Standard ist, macht es für andere koreanische Hersteller<br />

und Anwender noch einfacher, die Technologie<br />

einzuführen.“<br />

ETHERCAT TECHNOLOGY GROUP,<br />

Ostendstraße 196, D-90482 Nürnberg,<br />

Tel. +49 (0) 911 540 56 20, Internet: www.ethercat.org<br />

Assistenzsysteme für Planung und Betrieb<br />

In Ausgabe 6/2012 der <strong>atp</strong> <strong>edition</strong><br />

möchten wir das Thema Assistenzsysteme<br />

für Planung und Betrieb von Automatisierungssystemen<br />

diskutieren.<br />

Aktuelle Diskussionspunkte an der Nahtstelle<br />

von Wissenschaft und Praxis reichen<br />

von mathematisch-algorithmischen<br />

Grundlagen und formalen Modellen zur<br />

Beherrschung von Komplexität in Planung<br />

und Betrieb bis hin zu Entwicklungsmethodiken<br />

und Metriken zur Bewertung<br />

von gebrauchstauglichen Unterstützungssystemen.<br />

Besondere Herausforderungen sind dabei<br />

zunehmende Anforderungen an die<br />

Kompetenzförderlichkeit der Systeme bei<br />

zunehmender Heterogenität der Zielgruppen<br />

im Hinblick auf Ausbildung und<br />

Altersstruktur.<br />

Wir bitten Sie, bis zum 30. April 2012 zu<br />

diesem Themenschwerpunkt einen gemäß<br />

<strong>atp</strong>-Autorenrichtlinien ausgearbeiteten<br />

Beitrag per E-Mail an urbas@oiv.de<br />

einzureichen. Ziel ihres Beitrags sollte<br />

der „Brückenschlag“ zwischen aktuellen<br />

Erkenntnissen und Innovationen, den methodischen<br />

Grundlagen und den zukünftigen<br />

Anwendungen in der industriellen<br />

Praxis sein. Ansprechen soll Ihr Aufsatz<br />

technische Führungskräfte, Entscheider<br />

und Key Experts der Automatisierungsbranche.<br />

Alle Beiträge werden von einem<br />

Fachgremium begutachtet. Sollten Sie<br />

sich selbst aktiv an dem Begutach-tungsprozess<br />

beteiligen wollen, bitten wir um<br />

kurze Rückmeldung. Für weitere Rückfragen<br />

stehen wir Ihnen selbstverständlich<br />

gern zur Verfügung.<br />

Ihre Redaktion der <strong>atp</strong> <strong>edition</strong>:<br />

Leon Urbas, Gerd Scholz, Anne Hütter<br />

Call for<br />

Aufruf zur Beitragseinreichung<br />

Thema: Assistenzsysteme für Planung<br />

und Betrieb von Automatisierungssystemen<br />

Kontakt: urbas@oiv.de<br />

Termin: 30. April 2012<br />

10<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Sensorik kehrt im Jahr 2012 zu einer „normalen“<br />

Zuwachsrate zurück – China rückt in den Fokus<br />

Nach einem Rekordumsatz im Jahr 2011 gehen die<br />

Hersteller von Sensorik und Messtechnik trotz der<br />

Euro-Schuldenkrise von einem weiteren Umsatzwachstum<br />

um fünf Prozent im laufenden Jahr aus. Das ergab<br />

eine Umfrage, die der AMA-Fachverband für Sensorik<br />

im Januar unter seinen Mitgliedern durchführte. Im<br />

vergangen Jahr hatten die Erlöse einen Sprung um 15<br />

200%<br />

180%<br />

160%<br />

140%<br />

120%<br />

100%<br />

2003 2004 2005 2006 2007 2008 2009 2010 2011 2012<br />

Der Trend stimmt: Nach der Krisendelle sind die<br />

Hersteller von Sensorik und Messtechnik wieder auf<br />

dem Wachstumspfad. Quelle: AMA Fachverband für Sensorik<br />

Prozent gemacht und sich damit deutlich besser entwickelt<br />

als die deutsche Industrie im Durchschnitt, der<br />

2011 bei elf Prozent lag.<br />

Einen deutlichen Umsatzschub verzeichnete die Sensorik<br />

und Messtechnik durch den zunehmenden Export,<br />

wie der Verband mitteilte. AMA-Mitglieder steigerten<br />

das Exportvolumen in den Jahren 2004 bis 2011 um 75<br />

Prozent. Besonders deutlich zeigt sich das Exportwachstum<br />

in europäische Länder, Exporte in Länder außerhalb<br />

Europas hingegen stagnieren seit Jahren. Um seinen Mitgliedern<br />

den Weg auch ins nichteuropäische Ausland zu<br />

ebnen, will der Verband seine Wirtschaftskontakte im<br />

Wachstumsmarkt China weiter ausbauen.<br />

Der Aufschwung spiegelt sich auch in den Investionen<br />

der Hersteller von Sensorik und Messtechnik wider. 2011<br />

steigerten die Unternehmen ihre Investitionen um 16<br />

Prozent. 2012 sollen es vier Prozent werden, was dem<br />

Wert der Vorkrisenzeit entspricht. Auch bei der Beschäftigung<br />

legte die Branche deutlich zu. In den vergangenen<br />

sechs Jahren sei die Zahl der Mitarbeiter um 22 Prozent<br />

gestiegen, betont der Fachverband.<br />

AMA FACHVERBAND FÜR SENSORIK E.V.,<br />

Sophie-Charlotten-Str. 15, D-14059 Berlin,<br />

Tel. +49 (0) 30 221 90 36 20, Internet: www.ama-sensorik.de<br />

FDI-Implementierung erstmals demonstriert<br />

Kurz nach ihrer Gründung zeigte die FDI Cooperation<br />

eine erste Implementierung von FDI anhand eines<br />

Funktionsmodells. Bei der Demonstration wurden Foundation-Fieldbus-,<br />

Hart- und Profibus-Feldgeräte verschiedener<br />

Hersteller erstmals mithilfe von FDI Device Packages<br />

in ein ABB-Prozessleitsystem integriert und typische Anwendungsfälle<br />

wie Parametrierung, Konfigurierung, Diagnose<br />

und Wartung vorgeführt. Das System nutzte bereits<br />

Prototypen der von der FDI Cooperation entwickelten<br />

Standard-FDI-Host-Komponenten. Am Rande der Präsentation<br />

verkündete die FDI Cooperation auch die nächsten<br />

Schritte: Fertigstellung der FDI-Konformitätstestkonzepte<br />

(Mitte 2012), Abschluss der Validierung und Freigabe der<br />

FDI-Spezifikationen für den Mitglieder-Review in den<br />

Foundations (Mitte 2012) und Fertigstellung der FDI-Standard-Host-Komponenten<br />

wie EDD Engine und User Interface<br />

(UI) Engine durch die FDI Cooperation (Ende 2012).<br />

FDI COOPERATION LLC,<br />

c/o Dr. Sigrun Ebert-Heffels,<br />

Östliche Rheinbrückenstraße 50, D-76187 Karlsruhe,<br />

Tel. +49 (0) 721 595 56 76, Internet: www.fdi-cooperation.com<br />

GMA-Tagung parallel zur Messe Sensor + Test<br />

Parallel zur Messe Sensor + Test findet am 22. und<br />

23. Mai in Nürnberg die Tagung „Sensoren und<br />

Messsysteme“ der VDI/VDE-Gesellschaft Mess- und<br />

Automatisierungstechnik (GMA) statt. In vier parallelen<br />

Sessions werden aktuelle Lösungen aus der<br />

Sensorik und Messtechnik aufgezeigt. Begleitet von<br />

einer Posterausstellung bietet sich die Möglichkeit<br />

zur Diskussion mit allen Referenten und Tagungsteilnehmern.<br />

Die Themenschwerpunkte reichen von der mechanischen,<br />

chemischen und optischen Sensorik über<br />

Temperaturmessung, Bioanalytik und Magnetsensoren<br />

bis hin zu Messunsicherheit und Strukturmoni-<br />

toring. Diese Vielfalt ermöglicht den Teilnehmern<br />

einen Überblick über das heute Machbare und regt<br />

dazu an, eigene Lösungen für aktuelle und kommende<br />

Aufgabenstellungen abzuleiten. Details zum Programm<br />

und das Anmeldeformular sind zu finden unter<br />

www.sensoren2012.de.<br />

VDI/VDE-Gesellschaft Mess- und<br />

Automatisierungstechnik (GMA)<br />

VEREIN DEUTSCHER INGENIEURE E.V.,<br />

VDI-Platz 1, D-40468 Düsseldorf,<br />

Tel. +49 (0) 211 621 40, Internet: www.vdi.de<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

11


Praxis<br />

Optimierte Echtzeitüberwachung von Prozess- und<br />

Systemdaten steigert Produktion in Textilfabrik<br />

Moxa modernisiert Ethernet-basierte Kommunikationsstruktur bei Fabrik-eigener Stromversorgung<br />

Turbo-ring: Das Turbo-Ring-<br />

Protokoll garantiert Wiederherstellungzeiten<br />

unter 20 ms<br />

bei voller Auslastung mit 250<br />

Ethernet Switches.<br />

KommunikationsstarK:<br />

16+2G-Port<br />

Gigabit Managed<br />

Ethernet Switch.<br />

Effizient: Die moderne<br />

Industrial- Ethernet-Struktur<br />

sorgt für die Effizienzsteigerung<br />

in der Textilproduktion durch<br />

optimierte Echtzeit-Prozessund<br />

Systemdatenüberwachung.<br />

Bilder: Moxa<br />

Eine Textilfabrik in Moldawien benötigte eine zuverlässige<br />

Ethernet-basierte Kommunikationsstruktur mit<br />

dem Fabrik-eigenen Stromversorgungssystem. Für die<br />

Energieversorgung der Produktionsanlagen sind neben<br />

einer 330 kV-Umspannstation (eine so genannte Feldstation)<br />

dreißig 10-kV-Transformator-Unterwerke sowie ein<br />

Stromversorgungs-Unterwerk verantwortlich. Alle Stationen<br />

nutzen, neben den nach IEC 61850-3 zertifizierten<br />

Lösungen für die Stromerzeugung des Energieanbieters<br />

Areva, eine Industrial-Ethernet-Netzwerkinfrastruktur,<br />

um das Energieübertragungs- und Verteilungssystem zu<br />

optimieren und eine verbesserte Energieeffizienz für die<br />

Textilfabrik zu erzielen.<br />

Die Feldstationen übertragen Daten mittels Fernbedienungsterminals<br />

(Remote Terminal Unit, RTU) und speicherprogrammierbaren<br />

Steuerungen (Programmable<br />

Logic Controller, PLC). Deshalb muss zur Weiterleitung<br />

dieser Daten über das Ethernet-Netzwerk an das automatisierte<br />

SCADA-System des Energienetzwerks in der Leitstelle<br />

eine seriell-zu-Ethernet-Lösung eingesetzt werden.<br />

HOHE ANLAGENVERFÜGBARKEIT IST ESSENzIELL<br />

Die Verfügbarkeit des SCADA-Systems in der Leitstelle<br />

muss sieben Tage pro Woche rund um die Uhr garantiert<br />

sein, damit jederzeit Steuerungs- und Überwachungsdaten<br />

von Systemen und Prozessen innerhalb der Produktionsanlage<br />

verfügbar sind. Ein redundanter Gigabit-Ethernet-Backbone<br />

mit minimalen Wiederherstellungszeiten<br />

muss deshalb sicherstellen, dass die Energieübertragung<br />

und -verteilung konstant und ohne<br />

Ausfallzeiten durch Verbindungsunterbrechungen<br />

stattfinden kann. Seriell-zu-Ethernet-Geräteserver, die<br />

12<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Relais und Sensoren an ein Ethernet-Netzwerk anbinden,<br />

übertragen Echtzeitdaten an das SCADA-System<br />

in der Leitstelle. Da sich die Endgeräte an verteilten,<br />

entfernt von der Leitstelle gelegenen Orten befinden, ist<br />

eine schnelle Datenübertragung über lange Strecken<br />

mit ausreichender Bandbreite notwendig. Die strengen<br />

Anforderungen an die technische Ausrüstung von Umspannstationen<br />

erfordern überdies die Ausstattung des<br />

gesamten Netzwerks mit industriellen Geräten, die die<br />

entsprechenden Standards erfüllen, wie beispielsweise<br />

Anforderungen an den Betrieb innerhalb erweiterter<br />

Temperaturtoleranzen.<br />

GERINGE AUSFALLRATEN DANK TURBO RING<br />

Die Textilfabrik wählte für diese Aufgabe eine Energiemanagement-Lösungen<br />

von Areva für die Energieübertragung<br />

und -verteilung und kombinierte sie mit Moxas<br />

redundanten Ethernet Switches.<br />

So wird die zuverlässige und effiziente Kommunikation<br />

zwischen den RTUs und dem zentralen SCADA-<br />

System gewährleistet. Der gesamte Netzwerkring nutzt<br />

Moxas Gigabit-Managed-Ethernet-Switches EDS-518A<br />

um sich die selbstheilende proprietäre Turbo-Ring-Technologie<br />

zunutze zu machen. Turbo Ring erzielt bei einem<br />

Ausfall Wiederherstellungszeiten von weniger als 20 ms<br />

und stellt somit sicher, dass im Falle einer Verbindungsunterbrechung<br />

keine Daten verloren gehen und keine<br />

Unterbrechung der Energieversorgung stattfindet.<br />

Dank zweier Gigabit-Glasfaserschnittstellen sowie<br />

zweier Fast-Ethernet-Schnittstellen bieten die Switches<br />

ausreichend Bandbreite für eine zügige und zuverlässige<br />

Datenübertragung über lange Strecken. Darüber hinaus<br />

verfügen die Switches über fortschrittliche <strong>Management</strong>funktionen,<br />

erweiterte Sicherheitseinstellungen, Medienredundanz,<br />

redundante Spannungseingänge, sind immun<br />

gegen den Einfluss von Störstrom und arbeiten zuverlässig<br />

im erweiterten Temperaturbereich von -40 bis<br />

75 °C, wodurch sie den besonderen Umgebungsbedingungen<br />

im Bereich der Generatoren gerecht werden.<br />

Um die Kommunikation zwischen dem SCADA-System<br />

und den zahlreichen entfernt gelegenen Endgeräten,<br />

wie Stromzähler und Schutzrelais zu erleichtern,<br />

ist jede Umspannstation mit einem seriellen Geräteserver<br />

ausgestattet. Moxas NPort-5650-Geräteserver binden<br />

die RS-422/485 Geräte direkt an den Ethernet-Backbone<br />

an und übertragen die Daten in Echtzeit an das SCADA-<br />

System, damit dank einer aktuellen und vollumfänglichen<br />

Informationssammlung eine effiziente Netzführung<br />

erfolgen kann.<br />

Neben der optimierten Stromerzeugung, -übertragung<br />

und -verteilung konnte die Textilfabrik durch den Einsatz<br />

der Kombination aus Lösungen von Areva und Moxa<br />

auch eine Effizienzsteigerung der Produktion verzeichnen,<br />

die sich aus der stark verbesserten Echtzeit-Prozessund<br />

Systemdatenüberwachung ergab. Der Kunde entschied<br />

sich darüber hinaus für diese Lösung, weil er mit<br />

der Kooperation der beiden Lieferanten eine Komplettlösung<br />

für seine Anforderungen aus einer Hand erhielt.<br />

DER STANDARD IEC 61850<br />

Eine intelligente Umspannstation muss folglich in allen<br />

Bereichen über intelligente Primärgeräte verfügen, alle<br />

Sekundärgeräte müssen vernetzt sein, und Betrieb sowie<br />

Verwaltung müssen automatisiert sein. Zur Erfüllung<br />

dieser Anforderungen kommen die Standards IEC 61850<br />

für gemeinsame Kommunikationsmodelle und IEEE<br />

1588 für präzise Zeitsynchronisation von und zwischen<br />

Geräten und Systemen innerhalb einer Umspannstation<br />

zum Einsatz.<br />

IEEE 1588 ist ein Zeitsynchronisierungsstandard, der<br />

die Ausführung komplexer koordinierter Anwendungen<br />

und fortlaufender Ereignisse innerhalb der Umspannstation<br />

durch akkurate Zeitstempel bis auf Nanosekunden<br />

genau ermöglicht. IEC 61850 ist ein Automatisierungsstandard<br />

für Umspannstationen und ein Teil der<br />

internationalen Stromversorgungsnetze. Die abstrakten<br />

Datenmodelle, die in IEC 61850 definiert sind, können<br />

auf zahlreiche Kommunikationsprotokolle einschließlich<br />

MMS (Manufacturing Message Specification), GOO-<br />

SE und SMV abgebildet werden. Diese Protokolle können<br />

auf Hochgeschwindigkeits-TCP/IP-Netzwerken laufen,<br />

um eine schnelle Response-Zeit von unter 4 ms zu erzielen,<br />

wie sie für Schutzrelais erforderlich ist.<br />

Der IEC-61850-Standard bringt Stromversorgungsnetzen<br />

zahlreiche Vorteile. IEC 61850 schafft die Interoperabilität<br />

und Integration von Geräten durch die Standardisierung<br />

technischer und mechanischer Abläufe und<br />

verbessert durch eine einheitliche Kommunikationsstruktur<br />

die Zuverlässigkeit des Systems. Daraus folgen<br />

eine einheitliche Geräte- und Datenmodellierung sowie<br />

einheitliche Namen, eine schnellere Kommunikation<br />

und niedrigere Kosten für Installation, Konfiguration<br />

und Wartung dank desselben Gerätestandards im ganzen<br />

Automationssystem.<br />

Autor<br />

Martin Jenkner<br />

ist Business Development<br />

Manager bei der Moxa<br />

GmbH.<br />

Moxa Europe GmbH,<br />

Einsteinstraße 7, D-85716 Unterschleißheim,<br />

Tel. +49 (0) 89 370 03 99 53,<br />

E-Mail: martin.jenkner@moxa.com<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

13


praxis<br />

Fernwirkcontroller mit IEC-Protokoll bei den<br />

Stadtwerken in Völklingen eingesetzt<br />

Kompakte Bauweise und aktuelle Kommunikationsstandards machten Wago-Angebot zum Favoriten<br />

Leitsystem: Thomas Klein, Prokurist und<br />

Abteilungsleiter Netzbetrieb bei den Stadtwerken<br />

Völklingen Netz: Der Betrieb ersetzt<br />

Fernwirkbausteine mit dem alten SEAB-1F-<br />

Telegramm durch den Wago-Fernwirkcontroller<br />

750-872. Er beherrscht das genormte<br />

IEC-Fernwirkprotokoll.<br />

Trafostation-<br />

Schaltanlage mit<br />

Motor antrieb:<br />

Bei der Auswahl neuer<br />

Fernwirktechnik spielte<br />

der begrenzte Platz in den<br />

meisten Unterstationen<br />

die entscheidende Rolle.<br />

Wago überzeugte durch<br />

ein modulares Konzept.<br />

Trafostation-Fernwirkanbindung:<br />

Der Wago-Fernwirkcontroller<br />

(oben links) ist eine Komponente<br />

des modularen, feldbusunabhängigen<br />

I/O-Systems zur Einbindung<br />

von Fernwirksignalen. Bilder: Wago<br />

Die Stadtwerke Völklingen Netz GmbH hat mit Wago<br />

einen kompetenten Partner bei der Einführung des<br />

IEC-Protokolls gefunden. Weil der Strom-, Gas- und<br />

Wasserversorger aus Völklingen ohnehin ein neues<br />

Leitsystem bei sich installierte, entschied er sich für<br />

die kompakte und zeitgemäße Fernwirktechnik aus<br />

Minden. Der Fernwirkcontroller 750-872 erhielt den<br />

Vorzug, weil er zwei wichtige Anforderungen erfüllt:<br />

Er beherrscht das genormte IEC-Fernwirkprotokoll<br />

und braucht nur wenig Platz.<br />

KOMPAKTES MODULSYSTEM STATT BLOCKBAUWEISE<br />

Die Fernwirktechnik für die serielle Kommunikation<br />

mit der Leittechnik basiert auf der genormten IEC-Telegrammstruktur<br />

60870-5-101. Bei der Auswahl eines geeigneten<br />

Lieferanten spielte begrenzter Platz in vielen<br />

Unterstationen die entscheidende Rolle. Herkömmliche<br />

Fernwirktechnik in Blockbauweise ist zu groß. Der Wago-Fernwirkcontroller<br />

dagegen ist eine Komponente des<br />

modularen, feldbusunabhängigen I/O-Systems zur Einbindung<br />

von Sensor- und Aktorsignalen.<br />

Das System wird seit Jahren erfolgreich in der Automatisierungstechnik<br />

eingesetzt. Angepasst an zahlreiche<br />

industriellen Anforderungen, sind für unterschiedliche<br />

analoge oder digitale Ein- und Ausgänge über 400<br />

verschiedene I/O-Module verfügbar. Die Module sind<br />

12 mm breit und können je nach Bedarf hinzugefügt werden.<br />

So braucht ein kompletter Fernwirkcontroller mit<br />

beispielsweise vier Modulen nur einen Platz von 111 mm,<br />

während traditionelle Hersteller hier fertige Module mit<br />

16 oder 32 I/O-Eingängen/Ausgängen anbieten. Das<br />

macht sich auch preislich bemerkbar. Weiterer Wago-<br />

14<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Vorteil: die direkte Kontaktierung, sodass der Platz für<br />

eine zusätzliche Klemmleiste eingespart wird.<br />

ANGEPASSTE NETZWERK-LÖSUNG<br />

Der Fernwirkcontroller beherrscht das IEC-Protokoll<br />

normgerecht. Er war während des Ersteinsatzes bei den<br />

Stadtwerken zunächst für Punkt-zu-Punkt-Verbindungen<br />

zwischen der Leistelle und einer Unterstation eingerichtet.<br />

Die Stadtwerke jedoch benötigten die Technik für eine<br />

Netzwerk-Topologie in Linienstruktur. „Wago hat sich auf<br />

unseren Bedarf eingestellt und mit uns gemeinsam eine<br />

erweiterte Lösung gefunden“, berichtet Thomas Klein,<br />

Prokurist und Abteilungsleiter Netzbetrieb bei den Stadtwerken<br />

Völklingen Netz GmbH.<br />

An der Zusammenarbeit schätzt er vor allem die<br />

schnelle Reaktion auf Anforderungen und deren konsequente<br />

Umsetzung, obwohl sein Haus nicht zu den großen<br />

Stadtwerken gehört. Das sei insgesamt perfekt gelaufen.<br />

Thomas Klein: „Das habe ich noch nicht erlebt,<br />

dass sich ein namhafter Hersteller so flexibel zeigt.“<br />

BENUTZERFREUNDLICHES BAUKASTEN-SYSTEM<br />

In der Praxis haben die Stadtwerke die Flexibilität<br />

der Technik schätzen gelernt. Feldbus, Ein- und Ausgangsmodule<br />

und die Programmiersprache können<br />

frei gewählt werden. Die große Auswahl an I/O-Busklemmen<br />

reicht von hochverdichteten 16-Kanal-Digitalklemmen<br />

bis zu Spezialklemmen, wie eine<br />

3-Phasen-Leistungsmessklemme zur Überwachung<br />

von Transformatorstationen. Der Hersteller liefert<br />

gleich die Anschlusstechnik, Relais, Netzteile und<br />

der gleichen mit. Auch die Kommunikation per GPRS<br />

ist integrierbar.<br />

„Wir haben aktuell elf dieser Anlagen in Betrieb und<br />

sind begeistert. Wir müssen nur die Bausteine anschließen,<br />

die wir aktuell brauchen und können nach<br />

Bedarf erweitern. Für die Programmierung nutzen wir<br />

Der Fernwirkcontroller 750-872<br />

Der Fernwirkcontroller setzt die Daten gemäß der verschiedenen IEC-Protokolle<br />

um. Die Lösung ist skalierbar vom 32-Bit-Controller bis zum Industrie-<br />

PC. Die feldseitigen Messwerte werden über angereihte I/O-Module eingebunden.<br />

Es existieren Lösungen für die Gasversorgung und -verteilung mit<br />

EX-i-eigengesicherten Baugruppen (EX-geschützt).<br />

Die Zeitsynchronisierung erfolgt für IEC, SNTP, NTP, DCF77 oder GPS.<br />

Optional ist eine Wireless-Kommunikation via GPRS. Mittels Import und<br />

Export von CSV-Dateien erfolgt der Datenaustausch mit anderen Konfigurationstools.<br />

Ergänzend ist eine Anbindung von Elementen der Gebäudetechnik<br />

möglich. Klassische Fernwirk- und Automationsanwendungen werden mit<br />

einem System umgesetzt.<br />

die Entwicklungsumgebung CoDeSys mit seinen fertigen<br />

Programmbausteinen. Das funktioniert gut und<br />

erfüllt alle professionellen Anforderungen“, vergibt<br />

der Leiter des Bereichs Netzbetrieb gute Noten für den<br />

praktischen Einsatz.<br />

Aus seiner Sicht ist es für den Betrieb des Energieversorgungsunternehmens<br />

von Vorteil, dass sich die<br />

Technik bereits in der Automatisierung als fehlerfrei,<br />

zuverlässig und robust bewährt hat. Sie ist auch bei<br />

härteren Umfeldbedingungen einsetzbar. Zusätzlich<br />

mache die zertifizierte Federklemmtechnik den Einsatz<br />

der Fernwirktechnik flexibler.<br />

Die Fernwirktechnik wird nun schrittweise mit Wago-<br />

Technik erneuert. Pro Jahr sollen fünf bis zehn Fernwirkstationen<br />

umgebaut werden. An einer Erweiterung der<br />

GPRS-Funkübertragung wird gearbeitet.<br />

IEC-Protokolle<br />

Autor<br />

Der Fernwirkcontroller unterstützt die Fernwirkprotokolle<br />

IEC 60870-5-101 für die serielle Übertragung oder gemäß<br />

IEC 60870-5-104 für die TCP/IP-basierte Kommunikation.<br />

Innerhalb dieser signalorientierten Protokolle werden<br />

Meldungen, Messwerte, Bitmuster, Zählwerte und (Stell-)<br />

Befehle jeweils mit und ohne Zeitstempel ausgetauscht.<br />

Außerdem deckt er die Norm IEC 61850 ab, welche die<br />

Schutz- und Leittechnik in elektrischen Schaltanlagen der<br />

Mittel- und Hochspannungstechnik beschreibt. Hierzu<br />

gehört unter anderem die Überwachung und Steuerung<br />

bei Windenergieanlagen, bei Wasserkraftwerken oder bei<br />

einer verteilten Energieerzeugung wie Blockheizkraftwerken<br />

oder PV-Anlagen.<br />

Kontakttechnik GmbH & Co. KG,<br />

Hansastr. 27, D-32432 Minden,<br />

Tel. +49 (0) 571 887 90 11,<br />

E-Mail: martin.paulick@wago.com<br />

Martin Paulick<br />

ist Produktmanager Automation<br />

bei der Wago.<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

15


praxis<br />

Kleinsteuerung alarmiert Lkw-Fahrer vor zu<br />

niedrigen Tunneln für ihr Fahrzeug<br />

Kleinsteuerung warnt in Echtzeit mit betreffendem Lkw-Kennzeichen vor drohender Unfallgefahr<br />

Bild 1: Signalbrücke mit mechanischen Sensoren<br />

und dem neuen Lichtschranken-Sensor<br />

Bild 2: Überblick über das Gesamtsystem mit den<br />

verschiedenen Signalbrücken<br />

Zu hohe Lkw tragen immer wieder zu Verkehrsstörungen<br />

bei, indem sie Tunnel beschädigen. Damit Sperrungen<br />

und die daraus resultierenden Staus vermieden<br />

werden, bieten sich moderne Signalbrücken von HIG<br />

Traffic Systems an. Die Kleinsteuerung ILC 170 ETH<br />

2TX koordiniert die schnelle und reibungslose<br />

Funktions weise der Anlage (Bild 1).<br />

UNFÄLLE IN TUNNELN VERURSACHEN KOSTEN<br />

UND ARBEITSAUSFÄLLE<br />

In den Niederlanden ist das steigende Verkehrsaufkommen<br />

jeden Tag spürbar. Deshalb hat das Land in den vergangenen<br />

Jahren viel Geld in die Infrastruktur investiert.<br />

Insbesondere die Autobahnen sind gut ausgebaut und um<br />

viele Tunnelanlagen erweitert worden. Diese Tunnel machen<br />

den größten Kostenfaktor des Straßenbaus aus. Jeder<br />

Zentimeter zusätzlicher Bohrdurchmesser lässt die Investitionsausgaben<br />

anwachsen, sodass die Tunnel grundsätzlich<br />

nur so hoch gebaut werden, dass Lkw mit Standardmaß<br />

ungehindert passieren können.<br />

Aufgrund steigender Frachtmengen sind immer mehr<br />

Fahrzeuge mit Überhöhe auf den Straßen und somit in<br />

Tunneln unterwegs, die dafür nicht ausgelegt wurden.<br />

Die Unfälle beschädigen die Bauwerke und führen zu<br />

Staus. Beides kostet den Staat viel Geld. Auch die Menschen,<br />

die ihre Arbeitsstätte nicht erreichen können,<br />

erwirtschaften nichts, was letztendlich Mindereinnahmen<br />

der öffentlichen Hand nach sich zieht.<br />

Vor diesem Hintergrund bemühen sich die verantwortlichen<br />

Stellen, Staus vor Tunneln zu unterbinden,<br />

deren Ursache in zu hohen Lkw liegt.<br />

WARTUNGSARME UND VERSCHLEISSFREIE SENSORIK<br />

Bisher wurden Fahrzeuge mit Überhöhe durch eine<br />

mechanische Sensorik erfasst, welche unter der<br />

Schilderbrücke aufgehängt ist. Die Signale werden<br />

dann an die nächste Brücke weitergeleitet. Dort zeigt<br />

ein Leuchtzeichen den Verkehrsteilnehmern an, dass<br />

ein Lkw mit Überhöhe detektiert worden ist und der<br />

Tunnel daher teilweise oder komplett gesperrt werden<br />

muss. Diese Lösung erwies sich als unvorteilhaft,<br />

weil die mechanischen Sensoren anfällig für Verschleiß<br />

sind und folglich relativ häufig gewartet werden<br />

müssen.<br />

Die Wartung führt zur Sperrung von mindestens einer<br />

der Autobahn-Spuren. Das verursacht zusätzliche<br />

Kosten und möglicherweise sogar einen Stau. Darum<br />

suchten die Verantwortlichen nach einer wartungsarmen<br />

und verschleißfreien Lösung. Sie sollte durch Einsatz<br />

moderner Smart-Sensoren einen deutlichen Mehrwert<br />

bieten. Fündig wurde man bei der in Bodegraven<br />

ansässigen HIG Traffic Systems, einem auf die Verkehrsleittechnik<br />

spezialisierten Unternehmen.<br />

DYNAMISCHES VERKEHRSMANAGEMENT IN ECHTZEIT<br />

In den vergangenen 40 Jahren hat sich HIG Traffic Systems<br />

auf dem niederländischen Markt als wichtiger<br />

Partner im Verkehrsbereich etabliert. Etwa die Hälfte<br />

seines Umsatzes generiert das Unternehmen aus der<br />

Bereitstellung entsprechender Produkte. Außerdem<br />

setzt HIG Traffic Systems komplette Projekte um und<br />

fungiert als Systemintegrator. Der Anbieter stellt sein<br />

Fachwissen und Dienstleistungen rund um die in der<br />

16<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Bild 4:<br />

Steuerung im<br />

Schaltschrank:<br />

Der ILC 170 ETH<br />

2TX übernimmt<br />

die Steuerung<br />

und das Daten-<br />

<strong>Management</strong><br />

für das System.<br />

Bilder: Phoenix Contact.<br />

Bild 3: Das am ersten Brückenkopf installierte<br />

Lichtschrankensystem erfasst die Geschwindigkeit<br />

und Fahrspur des zu hohen Lkw.<br />

Verkehrserkennung genutzten Sensoren zur Verfügung.<br />

Das Produkt-Portfolio umfasst unter anderem Sensoren<br />

zur Fahrzeugerfassung, Geräte für die Achsgewichtsbestimmung<br />

beim Überfahren sowie Höhen- und Geschwindigkeitssensoren.<br />

Durch die Kombination von Kommunikationstechnologien<br />

unterstützen die von HIG Traffic Systems gelieferten<br />

Lösungen ein dynamisches Verkehrs-<strong>Management</strong><br />

in Echtzeit.<br />

SYSTEM WARNT MIT NUMMERNSCHILD-ANGABE<br />

Das System zur Erfassung, Identifikation und Selektierung<br />

von Lkw mit Überhöhe besteht aus Sensoren und<br />

Aktoren, die in einiger Entfernung vor dem Tunnel montiert<br />

werden. So lässt sich das jeweilige Fahrzeug aus<br />

dem Autobahnverkehr ziehen und umleiten, ohne das<br />

der Tunnel gesperrt werden muss. Das System beinhaltet<br />

mehrere vor dem Tunnel angeordnete Signalbrücken,<br />

wobei sich die erste Brücke je nach geografischer Gegebenheit<br />

bis zu zehn Kilometer vom Tunnel entfernt befinden<br />

kann (Bild 2). So stellt das System die rechtzeitige<br />

Reaktion des Lkw-Fahrers auf die durch das System<br />

erzeugte Warnmeldung sicher.<br />

Das am ersten Brückenkopf installierte patentierte<br />

Lichtschrankensystem Tirtl (The Infra-Red Traffic Logger)<br />

der CEOS Industrial Pty. Ltd., welches aufgrund<br />

der Bauform an eine Schildkröte erinnert, detektiert<br />

die Geschwindigkeit, Fahrspur und die Objekt-Abmessungen<br />

des zu hohen Lkw (Bild 3).<br />

Das Messsignal wird mittels in die Fahrbahn eingelassener<br />

Induktionsschleifen verifiziert. Ein intelligentes<br />

Kamerasystem generiert beim Überfahren der<br />

Schleifen ein Bild des Fahrzeugs, wertet es aus und<br />

stellt die Beschriftung auf dem Kennzeichen, die<br />

durch eine integrierte Bildverarbeitung ermittelt worden<br />

ist, zur Verfügung. Das Kamerasystem ist an einen<br />

Industrie-PC angekoppelt, während die Induktionsschleifen<br />

und Lichtschranken direkt mit der Steuerung<br />

kommunizieren.<br />

Ist das Messergebnis durch den Auswerte-Algorithmus<br />

als Fahrzeug mit Überhöhe erkannt, steuert die SPS<br />

ein auf der zweiten Signalbrücke angebrachtes Leuchtschild<br />

an. Dieses blendet die Warnung mit dem Kennzeichen<br />

des zu hohen Lkw ein, damit sich dessen Fahrer<br />

tatsächlich angesprochen fühlt. Nun kann er die<br />

Autobahn an der nächsten Ausfahrt verlassen und den<br />

Tunnel über eine Landstraße umgehen.<br />

Sollte der Fahrer dennoch nicht reagieren, kontrolliert<br />

das auf dem letzten Brückenkopf montierte System,<br />

ob sich sein Lkw noch immer auf der Autobahn befindet.<br />

Ist dies der Fall, wird entweder eine Fahrspur oder<br />

der komplette Tunnel gesperrt.<br />

KLEINSTEUERUNG ALS ZENTRALES BINDEGLIED<br />

Als SPS (Speicherprogrammierbare Steuerung) wählte<br />

HIG Traffic Systems die Kleinsteuerung ILC 170 ETH<br />

2TX von Phoenix Contact (Bild 4). In der Anlage dient<br />

der Controller als zentrales Bindeglied zwischen den<br />

Sensoren, der Bildverarbeitung, den Leuchtschildern<br />

und dem Leitsystem. Er erfasst die Daten der Sensoren,<br />

prüft diese auf Plausibilität und initiiert die Anzeige<br />

der fahrzeugspezifischen Warnmeldung. Ferner kom-<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

17


praxis<br />

Prozesse steuern mit ILC 1xx<br />

Die Steuerungen der 100er Leistungsklasse von Phoenix<br />

Contact eignen sich nicht nur für Anwendungen der Verkehrstechnik.<br />

Aufgrund ihrer vielen Funktionen bieten sie sich zur<br />

Steuerung und Überwachung prozesstechnischer Applikationen<br />

beispielsweise im Bereich Nahrungsmittel und Getränke<br />

sowie Chemie und Pharmazie an.<br />

Zu den Eigenschaften der ILC 1xx zählt die flexible Erweiterbarkeit<br />

um die Standard- und Funktionsklemmen des<br />

Automatisierungsbaukastens Inline, sodass alle Anforderungen<br />

der Anwendung passgenau umgesetzt werden können.<br />

Die einfach mit der Software PC Worx Express programmierbaren<br />

Controller unterstützen sämtliche relevanten Automatisierungs-<br />

und IT-Protokolle, damit eine durchgängige<br />

Kommunikation vom Sensor bis in die Unternehmensleitebene<br />

sichergestellt ist.<br />

Ein integrierter Webserver erlaubt in Kombination mit dem<br />

Tool WebVisit die einfache Erstellung eigener Webseiten, die<br />

dann auf die Steuerung geladen werden. So kann der<br />

Anwender seine Maschine oder Anlage aus der Ferne per<br />

Standard-Webbrowser bedienen und überwachen. Über den<br />

ebenfalls eingebauten FTP-Server lassen sich Rezepturdaten<br />

via Netzwerk auf die Steuerung schreiben oder protokollierte<br />

Applikationsdaten einlesen.<br />

In Verbindung mit einer SQL-Bibliothek bauen die ILC 1xx die<br />

direkte Kommunikation zu SQL-Datenbanken auf, um etwa Daten<br />

aufzuzeichnen oder zu verwalten. Der ILC 170 ETH 2TX und der<br />

ILC 190 ETH 2TX verfügen über einen steckbaren Parametrierungsspeicher.<br />

So können Programme oder Log-Files einfach<br />

durch den Wechsel der SD-Memory-Card ersetzt werden, ohne<br />

dass ein Zugriff über den PC erfolgen muss.<br />

muniziert der ILC 170 ETH 2TX mit dem Leitsystem,<br />

sodass die ermittelten Daten dort gespeichert und zur<br />

weiteren Verarbeitung durch öffentliche Stellen verwendet<br />

werden können (Bild 5).<br />

„Wir haben diese Kleinsteuerung aufgrund ihrer<br />

Kommunikationsfähigkeit sowie der einfachen Programmierung<br />

und flexiblen Erweiterbarkeit ausgewählt.<br />

Da alle Steuerungen von Phoenix Contact über mindestens<br />

eine Ethernet-Schnittstelle verfügen und beliebig<br />

um Übertragungsstandards wie RS232, RS422, RS485,<br />

CAN oder Profibus ergänzt werden können, eignen sie<br />

sich insbesondere als zentrale Kommunikationseinheit“,<br />

sagt Erwin Wagemans, Vertriebsmitarbeiter von<br />

HIG Traffic Systems.<br />

Überzeugt hat den Verkehrstechnik-Spezialisten<br />

auch die Zuverlässigkeit der für den industriellen Einsatz<br />

konzipierten SPS, weil sich die Wartungsintervalle<br />

der Gesamtanlage deutlich senken lassen: „Die<br />

Kleinsteuerung bietet die Möglichkeit, Parameter und<br />

Daten aus der Anwendung auf eine SD-Karte zu<br />

schreiben. So wird beispielsweise die Applikation auf<br />

der SD-Karte gespeichert, um im Bedarfsfall sofort per<br />

FTP darauf zugreifen zu können. Via FTP werden die<br />

aktuellen Betriebszustände der Anlage und die ermittelten<br />

Daten übertragen. Falls erforderlich werden diese<br />

dann in der jeweiligen Verkehrszentrale archiviert<br />

und ausgewertet.<br />

So lassen sich Anlagenausfälle und Probleme mit den<br />

Sensoren im Vorfeld erkennen und eine gezielte Wartung<br />

durchführen, was die Betriebskosten der Anlage<br />

senkt“, sagt Wagemans.<br />

INDUSTRIELLE STEUERUNG STABILISIERT DAS SYSTEM<br />

Indem HIG Traffic Systems eine industrielle Steuerung<br />

nutzt, erweist sich das Gesamtsystem stabiler als<br />

in der Vergangenheit mit proprietären Lösungen. Der<br />

MTBF-Wert (Mean Time Between Failures) ist deutlich<br />

gestiegen, weshalb sich der Kosten- und Zeitaufwand<br />

für Wartungsarbeiten entsprechend reduziert.<br />

Durch die freie Programmierbarkeit unterstützt die<br />

Kleinsteuerung von Phoenix Contact außerdem nahezu<br />

alle gängigen IT-Protokolle. HIG Traffic Systems<br />

kann also die vom jeweiligen Anwender gewünschten<br />

IT-Standards einfach in der entsprechenden Applikation<br />

umsetzen.<br />

Autor<br />

Dipl.-Ing. Michael Gulsch<br />

ist Mitarbeiter im Systemmarketing<br />

Steuerungstechnik<br />

bei der Phoenix Contact<br />

Electronics GmbH in Bad<br />

Pyrmont.<br />

Phoenix Contact Electronics GmbH,<br />

Dringenauer Str. 30, D-31812 Bad Pyrmont,<br />

Tel.: +49 (0) 5281 94 60,<br />

E-Mail: mgulsch@phoenixcontact.com<br />

18<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Abo plus<br />

<strong>atp</strong> <strong>edition</strong><br />

als Heft<br />

+ als ePaper<br />

Die Referenzklasse fü r die<br />

Automatisierungstechnik<br />

Erfahren Sie auf höchstem inhaltlichen Niveau, was die<br />

Automatisierungsbranche bewegt. Alle Hauptbeiträge<br />

werden in einem Peer-Review-Verfahren begutachtet,<br />

um Ihnen maximale inhaltliche Qualität zu garantieren.<br />

Sichern Sie sich jetzt dieses erstklassige Lektü reerlebnis.<br />

Als exklusiv ausgestattetes Heft oder als praktisches<br />

ePaper – ideal fü r unterwegs, auf mobilen Endgeräten<br />

oder zum Archivieren.<br />

Gratis für Sie: Der Tagungsband AALE 2011 als ePaper<br />

Das Kompendium bietet eine Zusammenstellung der Fachreferate des 8. Fachkolloquiums fü r<br />

angewandte Automatisierungstechnik in Lehre und Entwicklung an Fachhochschulen.<br />

Die Veranstaltung versteht sich als Forum fü r Fachleute der Automatisierungstechnik aus Hochschulen<br />

und Wirtschaft. Sie wird von der Fakultät Mechatronik und Elektrotechnik der Hochschule Esslingen mit<br />

Unterstü tzung des VFAALE und dem Kompetenzzentrum Mechatronik BW e.V. organisiert und ausgerichtet.<br />

1. Aufl age 2012, 350 Seiten<br />

<strong>atp</strong> <strong>edition</strong> erscheint in der Oldenbourg Industrieverlag GmbH, Rosenheimerstr. 145, 81671 Mü nchen<br />

Oldenbourg-Industrieverlag<br />

www.<strong>atp</strong>-online.de<br />

Vorteilsanforderung per Fax: +49 (0) 931 / 4170 - 492 oder im Fensterumschlag einsenden<br />

Ja, ich möchte <strong>atp</strong> <strong>edition</strong> im Abo-plus-Paket lesen.<br />

Bitte schicken Sie mir die Fachpublikation fü r zunächst ein Jahr (12 Ausgaben) als gedrucktes Heft<br />

+ digital als ePaper (PDF-Datei als Einzellizenz) fü r € 638,40 (Deutschland) / € 643,40 (Ausland).<br />

Als Dankeschön erhalte ich den Tagungsband AALE 2011 gratis als eBook.<br />

Nur wenn ich nicht bis von 8 Wochen vor Bezugsjahresende kü ndige, verlängert sich der Bezug um<br />

ein Jahr.<br />

Die sichere, pü nktliche und bequeme Bezahlung per Bankabbuchung wird mit einer Gutschrift von<br />

€ 20,- auf die erste Jahresrechung belohnt<br />

Antwort<br />

Leserservice <strong>atp</strong><br />

Postfach 91 61<br />

97091 Würzburg<br />

Firma/Institution<br />

Vorname/Name des Empfängers<br />

Straße/Postfach, Nr.<br />

Land, PLZ, Ort<br />

Telefon<br />

Telefax<br />

E-Mail<br />

Branche/Wirtschaftszweig<br />

Bevorzugte Zahlungsweise □ Bankabbuchung □ Rechnung<br />

Bank, Ort<br />

✘<br />

Bankleitzahl<br />

Kontonummer<br />

Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von 14 Tagen ohne Angabe von Gründen in Textform (Brief, Fax, E-Mail) oder durch<br />

Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform. Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Datum, Unterschrift<br />

PAATPE0212<br />

Absendung des Widerrufs oder der Sache an den Leserservice <strong>atp</strong>, Franz-Horn-Str. 2, 97082 Wü rzburg<br />

Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pfl ege der laufenden Kommunikation werden personenbezogene Daten erfasst, gespeichert und verarbeitet. Mit dieser Anforderung erkläre ich mich damit einverstanden, dass ich vom<br />

Oldenbourg Industrieverlag oder vom Vulkan-Verlag □ per Post, □ per Telefon, □ per Telefax, □ per E-Mail, □ nicht über interessante Fachangebote informiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.


Praxis<br />

FDT2-Standard optimiert Zuverlässigkeit und<br />

baut rollenbasierte Sicherheitsanwendung aus<br />

Plattform zur Integration intelligenter Geräte durch weiterführende Spezifikation sicherer gemacht<br />

Bild 1:<br />

Programmtechnische<br />

Verifizierung des DTM<br />

Herstellers<br />

Während der vergangenen acht Jahre hat sich die<br />

FDT-Technologie einen Namen als Standard gemacht,<br />

der einerseits einen offenen Zugang zu Geräte-<br />

Informationen ermöglicht und andererseits die Netzwerkstandards<br />

aus Prozess- und Fertigungsautomatisierung<br />

auf einer gemeinsamen Plattform zusammenführt.<br />

Selbstverständlich verlangt die große<br />

Verbreitung des FDT-Standards eine kontinuierliche<br />

Weiterentwicklung, um den neuesten Sicherheitsstandards<br />

und -risiken Rechnung zu tragen. Darüber<br />

hinaus erfordern die Echtzeit-Automatisierungsumgebungen,<br />

in denen FDT eingesetzt wird, dass jede<br />

Weiterentwicklung des Standards stets auf eine bestmögliche<br />

Qualitätssicherung abzielt. Daher standen<br />

diese vom Markt vorgegebenen Anforderungen beim<br />

erst kürzlich freigegebenen Standard FDT2 immer im<br />

Zentrum der aufwendigen Entwicklungsarbeiten.<br />

Qualitätssicherung<br />

Die FDT Group besitzt seit vielen Jahren Erfahrung in<br />

der Entwicklung, Wartung und Unterstützung des FDT<br />

Standards (IEC-62345/ISA 103). Hieraus ergibt sich<br />

eine Fülle von gewonnenen Erkenntnissen und typischen<br />

Einsatzszenarien – sowohl in Bezug auf die Anwender<br />

als auch auf die Hersteller –, die alle in die<br />

Entwicklung des neuen FDT2-Standards eingeflossen<br />

sind. Daher können sich Anwender wie gewohnt auf<br />

FDT2 als robuste und zuverlässige Integrationstechnologie<br />

verlassen.<br />

Um die Qualität der Produkte, die den FDT-Standard<br />

nutzen, sicherzustellen, betreibt die FDT Group<br />

ein Netzwerk unabhängiger Testzentren. Dort wird<br />

die Konformität jedes einzelnen Produkts überprüft<br />

und bescheinigt. Sobald ein Produkt die Konformitätstests<br />

in einem dieser Prüflabore erfolgreich absolviert<br />

hat, werden die Testergebnisse an die Zertifizierungsstelle<br />

der FDT Group übermittelt, die anschließend<br />

ein Konformitätszertifikat ausstellt. Damit erhält<br />

das Produkt außerdem den Anspruch, in den<br />

Katalog zertifizierter Produkte auf der FDT Group<br />

Website (www.fdtgroup.org) aufgenommen zu werden.<br />

Bild 1 illustriert die einzelnen Schritte des Zertifizierungsverfahrens.<br />

Die FDT Group beauftragt<br />

zudem einen unabhängigen Prüfer, der die Verfahren,<br />

Vorgehensweisen und Aufzeichnungen dieser Testzentren<br />

regelmäßig auditiert, um auf diese Weise eine<br />

lückenlose Funktionsfähigkeit des gesamten Programms<br />

zu gewährleisten.<br />

Alle Produkte, die nach dem neuen FDT2-Standard<br />

zertifiziert sind, erhalten ein digital signiertes Zertifikat,<br />

das zum Zeitpunkt der Installation oder während<br />

des Betriebs elektronisch ausgelesen werden<br />

kann. Dieses digital signierte Zertifikat nutzt das<br />

System einer Public-Key-Infrastruktur (PKI) mit Zer-<br />

20<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Bild 2: Darstellung der digitalen Signatur. Bilder: FDT-Group<br />

tifizierungsstelle (Certificate Authority – CA). Damit<br />

ist eine FDT-Rahmenapplikation jederzeit in der<br />

Lage, programmtechnisch festzustellen, ob das Zertifikat<br />

tatsächlich von der FDT Group ausgestellt<br />

wurde (die sogenannte Nichtabstreitbarkeit – Non-<br />

Repudiation) und zum jeweiligen Produkt gehört.<br />

Diese Informationen können dem Anwender dynamisch<br />

unter Verwendung von Symbolen oder sonstigen<br />

Methoden angezeigt werden. Das heißt, es ist<br />

auf einen Blick zu erkennen, welche der installierten<br />

Produkte von der FDT Group zertifiziert wurden und<br />

welche nicht.<br />

Wie im Artikel „Common Components gewährleisten<br />

eine „eingebaute“ Interoperabilität bei FDT 2.0“<br />

(<strong>atp</strong> <strong>edition</strong> 6/2011, S. 18-21) beschrieben, entwickelte<br />

ein Konsortium innerhalb der FDT Group sogenannte<br />

Common Components zur Herstellung FDTkonformer<br />

Produkte. Diese Komponenten beinhalten<br />

den Großteil der FDT-Spezifikation. Und da diese für<br />

DTMs und Rahmenapplikationen verfügbaren Common<br />

Components – sowohl einzeln als auch im Verbund<br />

– umfassend getestet wurden, ist eine hohe<br />

Interoperabilität garantiert. Durch die Nutzung der<br />

Common Components können sich Hersteller auf die<br />

eigentlichen Mehrwert-generierenden Aspekte ihrer<br />

Software konzentrieren und erreichen zudem eine<br />

deutlich schnellere Markteinführung ihrer FDT-basierten<br />

Produkte. Darüber hinaus sorgen die ausführlich<br />

vorgetesteten Common Components dafür, dass<br />

sich der Zertifizierungsprozess aller mit diesen Komponenten<br />

ausgestatteten Produkte erheblich einfacher<br />

gestaltet.<br />

Software-Authentizität und Integrität<br />

Die Implementierung des FDT-Standards erfolgt in der<br />

Regel über Software-Komponenten aus der Hand verschiedener<br />

Anbieter, die zu einer interagierenden Automatisierungs-<br />

oder Asset-<strong>Management</strong>-Umgebung zusammengestellt<br />

werden. Es wäre für eine einzelne FDT-Anwendung<br />

also keineswegs ungewöhnlich, über mehrere dutzend<br />

DTMs (die Gerätetreiber) von verschiedenen Herstellern<br />

zu verfügen, die alle in einer gemeinsamen Rahmenapplikation<br />

(dem Host) installiert werden. Während die Möglichkeit<br />

der freien Anbieterauswahl einerseits einen erheblichen<br />

Vorteil des FDT-Standards darstellt, drohen<br />

andererseits Sicherheitsprobleme, wenn die Installation<br />

und Wartung des Automatisierungs- beziehungsweise<br />

Asset-<strong>Management</strong>-Systems nicht stringent koordiniert<br />

werden. Die Entwickler von FDT2 haben diese potenziellen<br />

Fallstricke vorausgesehen und entsprechende Industriestandards<br />

eingebunden, um das Fehlerrisiko zu minimieren.<br />

Zunächst einmal basiert der neue FDT2-Standard<br />

auf der .NET-Technologie. In der Microsoft-Implemen-<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

21


Praxis<br />

Bild 3:<br />

Zertifizierungsverfahren<br />

Autoren<br />

M&M Software GmbH,<br />

Industriestr. 5,<br />

D-78112 St. Georgen,<br />

Tel. +49 (0) 7724 94 15 52,<br />

E-Mail: vht@mm-software.com<br />

Volker Herbst<br />

ist Regional Sales Manager<br />

bei der M&M Software<br />

GmbH.<br />

Katrien Peeters<br />

führt das Geschäfts- und<br />

Zertifizierungsbüro der<br />

FDT Group in Belgien.<br />

Ihre Hauptaufgaben liegen<br />

in der Organisation von<br />

Veranstaltungen der FDT<br />

Group und der Administration.<br />

2006 graduierte sie an<br />

der Université Catholique de Louvain in<br />

Louvain-la-Neuve.<br />

FDT Group, Business Office,<br />

Certification Office, Culligan Laan 1B,<br />

1831 Diegem, Belgium,<br />

Tel. +32 2 403 13 33,<br />

E-Mail: katrien.peeters@fdtgroup.org<br />

tierung einer .NET-gestützten Software-Installation<br />

garantiert das zugehörige Sicherheitsmodell, dass die<br />

digitalen Signaturen sämtlicher auf dem Zielsystem<br />

installierten Komponenten verifiziert werden. Während<br />

des Installationsvorgangs wird die Quelle der<br />

digitalen Signatur angezeigt, sodass sich der Anwender<br />

davon überzeugen kann, dass die installierte Software<br />

tatsächlich vom gewünschten Anbieter stammt.<br />

Über den Signatur-Prozess selbst wird zudem sichergestellt,<br />

dass die Software nach Erhalt der Signatur<br />

nicht verändert wurde. Die Microsoft-Marke dieser<br />

Technologie ist ‚Authenticode‘. Sie basiert auf der<br />

Protokoll-Strukturnorm X.509.<br />

Unternehmen, die FDT-basierte DTMs oder Rahmenapplikationen<br />

mit digitaler Authenticode-Signatur<br />

entwickeln wollen, müssen bei einer Zertifizierungsstelle<br />

(Certificate Authority, CA) oder lokalen<br />

Registrierungsstelle (Local Registration Authority,<br />

LRA) ein Zertifikat beantragen. Mit diesem<br />

Zertifikat können sie dann ihren Software-Code<br />

digital signieren. Im Rahmen dieses Beantragungsverfahrens<br />

stellt die CA beziehungsweise LRA sicher,<br />

dass die Identität des Antragstellers sorgfältig<br />

geprüft wird. Durch die Nutzung elektronischer<br />

Signaturen ist das Betriebssystem somit in der Lage,<br />

die Quelle und den Hersteller einer Software programmtechnisch<br />

zu verifizieren (Bild 1 und Bild 2).<br />

Genauso kann auf diese Weise ausgeschlossen werden,<br />

dass die Software nach der Signierung durch<br />

den Hersteller versehentlich oder in betrügerischer<br />

Absicht manipuliert wurde.<br />

Digitale Signaturen sind keine zwingende Voraussetzung,<br />

um eine Software zu installieren. Der Anwender<br />

wird jedoch unmissverständlich darauf hingewiesen,<br />

wenn eine Signatur fehlt oder nicht ordnungsgemäß<br />

verifiziert werden kann. In solchen<br />

Fällen erscheint die bei Software-Installationen be-<br />

22<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


kannte Meldung in der Art „Windows kann den Herausgeber<br />

nicht verifizieren...“. Anwender von FDT2-<br />

basierter Technologie sollten unbedingt sicherstellen,<br />

dass die von der Installationsroutine gemeldete Quelle<br />

der Software tatsächlich mit der gewünschten<br />

übereinstimmt, bevor sie den Software-Installationsvorgang<br />

fortsetzen.<br />

Skalierbare Sicherheit<br />

Seit seiner Einführung unterstützt der FDT-Standard ein<br />

rollenbasiertes Sicherheitsmodell. Auf diese Weise können<br />

die Rechte und Bedienmöglichkeiten der einzelnen<br />

Anwender genau auf deren Aufgabenbereich eingegrenzt<br />

werden: Beobachter, Bediener und Ingenieure.<br />

Der FDT2-Standard bietet nun erstmals die Möglichkeit,<br />

diese rollenbasierte Sicherheit noch genauer<br />

zu spezifizieren. So können beispielsweise einzelne<br />

Geräteparameter je nach Aufgabe des Anwenders vor<br />

dem Zugriff geschützt werden. Damit kann der Hersteller<br />

eines DTMs genau festlegen, in welchem Maße<br />

Anwender aus einem bestimmten Aufgabenbereich<br />

Änderungen vornehmen dürfen.<br />

Datensicherheit<br />

Die FDT2-Rahmenapplikation erzeugt eine einheitliche<br />

Projektdatenbasis, in der die Daten aller per DTM in ein<br />

Automatisierungssystem integrierten Geräte gespeichert<br />

werden. So können Projektdaten von einer zentralen<br />

Stelle aus als Backup gesichert und bei Bedarf wiederhergestellt<br />

werden. Diese Datenbasis erlaubt somit die<br />

Datenspeicherung und -sicherung aller Geräte eines<br />

Systems in einer einzigen Projektdatei. Ein solcher zentralisierter<br />

Ansatz unterstützt den Anwender wirksam<br />

bei der Wahrung der Datensicherheit.<br />

Fazit<br />

Bei der FDT-Technologie handelt es sich um eine robuste<br />

Plattform zur Integration intelligenter Geräte<br />

unabhängig von den verwendeten Netzwerktypen. Der<br />

Standard FDT2 erhöht diese Zuverlässigkeit durch<br />

verbesserte Sicherheit und Interoperabilität. Der Anwender<br />

kann sich damit voll und ganz auf die betrieblichen<br />

Abläufe konzentrieren, statt sich aufwendig um<br />

die Infrastruktur kümmern zu müssen.<br />

Feldbusunabhängig<br />

in den Ex-Bereich!<br />

Das WAGO-I/O-SYSTEM 750 - Your intelligent link<br />

between field and control system<br />

Kompakt, Flexibel & Modular:<br />

• Kleinste, feldbusunabhängige Steuerung (PLC)<br />

• Programmierbar nach IEC 61131-3<br />

• Über 400 verschiedene I/O-Module<br />

• Standard-I/O- und Ex i-Module kombinierbar<br />

• Einspeisungen verschiedener Potentiale in einer Station<br />

• Unterstützung der Fernwirkprotokolle IEC 60870 und IEC 61850<br />

Ausgelegt für den Ex-Bereich:<br />

• Zugelassen für den Einsatz in Zone 2/22<br />

• Ex i I/O-Module zum Anschluss eigensicherer Sensorik/Aktorik<br />

• Zertifiziert nach ATEX, IEC-Ex, UL ANSI/ISA 12.12.01, UL508, Schiffbau, GOST-R, etc.<br />

CAGE CLAMP ® -Technologie:<br />

• Federkraftbasierte und gasdichte Klemmverbindung<br />

• Wartungsfrei & vibrationsfest<br />

• Hohe Verfügbarkeit und Zuverlässigkeit von Anlagen und Geräten<br />

www.wago.com


Praxis<br />

Software statt Hardware: Neue Funktechnik<br />

erlaubt völlig neue Wireless-Lösungen<br />

Software Defined Radio und Cognitive Radio bieten mehr Flexibilität und Zusatzfunktionen<br />

Software Defined Radio (SDR) und Cognitive Radio<br />

(CR) eröffnen der Funkkommunikation in der Automatisierungstechnik<br />

völlig neue Möglichkeiten. Das<br />

zeigt eine Studie, die das Institut für Automation und<br />

Kommunikation (ifak) im Auftrag der Deutschen Forschungsgesellschaft<br />

für Automation und Mikroelektronik<br />

(DFAM) erstellt hat.<br />

Im Unterschied zu herkömmlichen in Hardware implementierten<br />

Funksystemen werden bei einem SDR<br />

einige oder alle Physical-Layer-Funktionen, wie beispielsweise<br />

Filterung, (De-)Modulation und (De-)Kodierung<br />

durch Software realisiert. Die damit erreichbare<br />

(Re-)Konfigurierbarkeit steigert die Flexibilität eines<br />

Funkgerätes erheblich. Diese hohe Flexibilität bildet die<br />

ideale technische Basis für Multistandard-Funkgeräte<br />

und für die Realisierung von Cognitive Radios, die in<br />

der Lage sind, ihre Umgebung zu beobachten, Veränderungen<br />

wahrzunehmen und darauf entsprechend vorgegenbener<br />

Ziele zu reagieren. Im Unterschied zu adaptiven<br />

Radios, die heute bereits Stand der Technik sind,<br />

berücksichtigen Cognitive Radios neben dem Kommunikationskanal<br />

auch weitere Einflüsse wie Anforderungen<br />

der Applikation, Eigenschaften des Netzwerkes oder<br />

Zustand und Verhaltensmuster des Nutzers.<br />

Effizientes Koexistenzmanagement<br />

Damit bieten SDR und CR das Potenzial, die neuen Herausforderungen<br />

bei Funkanwendungen in der Automatisierungstechnik<br />

effizient zu bewältigen: beispielsweise das<br />

Koexistenzmanagement verschiedener Funksysteme in den<br />

Produktionsanlagen unter Einhaltung internationaler Standards,<br />

einheitliche Inbetriebnahme- und Diagnosewerkzeuge<br />

sowie die weltweite Einsetzbarkeit von Funksystemen für<br />

Maschinen und Anlagen. Heute müssen sich Hersteller<br />

dafür auf einen geeigneten internationalen Standard festlegen<br />

oder eine breite Produktpalette anbieten. In den<br />

Funkkomponenten müssen sie zur Minimierung des Investitionsrisikos<br />

langfristig verfügbare Chipsätze oder<br />

Module verwenden, was angesichts der rasanten Entwicklung<br />

der Funktechnologien schwierig ist und mitunter zu<br />

Kompromisslösungen führt, die nicht optimal für industrielle<br />

Funkanwendungen geeignet sind.<br />

SDR hingegen ermöglicht beispielsweise flexible Signal-<br />

und Frequenzwahl, dynamische Anpassung der<br />

Luftschnittstelle, die Aggregierung von Spektrum, verkürzte<br />

Entwicklungszeiten, kleinere Risiken bei der Geräteentwicklung<br />

und kundenspezifische Anpassungen,<br />

optimale Ausnutzung moderner Antennentechnologien,<br />

den globalen Einsatz von Funklösungen sowie die Realisierung<br />

von optimierten Funklösungen für die industrielle<br />

Automation. Dem gegenüber stehen Nachteile wie<br />

aufwendigere <strong>Security</strong>-Maßnahmen, eventuell schlechteres<br />

Zeitverhalten, noch hoher Energie- und Platzbedarf<br />

sowie hohe Material- und Zertifizierungskosten für Multistandard-Radios.<br />

Cognitive Radio bringt zusätzliche Vorteile wie Erhöhung<br />

der spektralen Effizienz, Vermeidung der Reservierung<br />

von Spektrumressourcen, effizientere Algorithmen<br />

für das Koexistenzmanagment durch Selbstkonfiguration<br />

sowie die zeitliche Optimierung der Übergänge zwischen<br />

Anwendung, drahtgebundener Kommunikation und der<br />

Funkkommunikation. Nachteile könnten die Behinderung<br />

von Nicht-CR-Anwendungen, Beeinflussung durch<br />

Denial-of-Service(DoS)-Attacken sowie die komplizierten<br />

Algorithmen und der Ressourcenbedarf sein.<br />

verschiedene Funkstandards – eine Hardware<br />

Mit SDR wird beispielsweise die Realisierung von Geräten<br />

und Basisstationen ermöglicht, die verschiedene Funkstandards<br />

auf einer Hardware unterstützen. Es könnten<br />

Diagnosesysteme realisiert werden, die flexiblen Zugang<br />

zum Funkmedium haben und eine einheitliche Schnittstelle<br />

zum Benutzer bereitstellen. Darüber hinaus kann<br />

SDR im Vorfeld der Geräteentwicklung dazu dienen, Klarheit<br />

über eine Funktechnologie oder Implementierung für<br />

einen bestimmten Einsatzfall in Bezug auf Echtzeitfähigkeit,<br />

Gerätedichte, Systemdichte, Interferenz, Koexistenz<br />

und den Einfluss des Abstandes zwischen den Funkkomponenten<br />

zu erhalten und minimal mögliche Applikationszyklen<br />

und Sendeintervalle zu ermitteln.<br />

Auch die Verwendung in einem universellen Konformitätstestsystem<br />

für verschiedene Funkstandards ist<br />

denkbar, da mit SDR auch Fehler in der physikalischen<br />

Schicht emuliert werden können. Wichtig ist auch die<br />

Möglichkeit, moderne Antennentechnologien für die<br />

Umgehung von Hindernissen und die optimale Ausrichtung<br />

der Antennenhauptkeule in Richtung des (mobilen)<br />

Kommunikationspartners zu verwenden oder mehrere<br />

Ausbreitungspfade für die redundante Übertragung von<br />

Informationen zu nutzen.<br />

Adaptive beziehungsweise kognitive Funksysteme<br />

können zusätzlich die temporäre Installation eines Funksystems<br />

in unbekannter Funkumgebung ermöglichen.<br />

Für Safety-Anwendung besteht die Chance, verbesserte<br />

Redundanzkonzepte in die Funkgeräte zu implementieren<br />

und eventuell mit flexiblen Methoden zur Ortsbestimmung<br />

zu kombinieren.<br />

kosten und energieverbrauch als hürde<br />

SDR ist heute in Funkkommunikationssystemen des Militärs,<br />

der Satellitenkommunikation und der Public Safety<br />

bereits etabliert. Verstärkt wird SDR auch in Mobilfunk-Basisstationen<br />

eingesetzt und auch in mobile Endgeräte<br />

dringt die Technik zunehmend vor. In der Automatisierungstechnik<br />

allerdings bestand bisher keine<br />

Notwendigkeit, neue Funktechniken einzusetzen, da der<br />

Bedarf an drahtloser Kommunikation durch existierende<br />

Funkkommunikationssysteme abgedeckt werden kann.<br />

Dennoch eröffnet die SDR-Technologie auch dort völlig<br />

neue Möglichkeiten. Allerdings stehen hohe Bauteilkosten,<br />

der Platzbedarf und vor allem die hohe Energieaufnahme<br />

einer breiten Nutzung von SDR in industriellen Funksystemen<br />

heute noch im Wege. Diese Nachteile müssen erst<br />

durch einen funktionalen und wirtschaftlichen Gewinn<br />

für den Anwender aufgewogen werden. Am ehesten könnte<br />

das in naher Zukunft bei Speziallösungen für Safety-<br />

24<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


prozentuale<br />

Anzahl<br />

der Kunden<br />

Mobilfunk<br />

Basisstationen<br />

Satelliten<br />

Modems<br />

Im militärischen Bereich<br />

befindet sich Sofware Defined<br />

Radio schon in einem fortgeschrittenen<br />

Marktstadium –<br />

in der Automatiserungstechnik<br />

steht diese Technik noch vor<br />

der Einführung. Bild: ifak<br />

Innovatoren,<br />

Technologie-<br />

Enthusiasten<br />

funkgestützte<br />

Automation<br />

Erstanwender,<br />

Visionäre<br />

Mobilfunkgeräte<br />

frühe Mehrheit,<br />

Pragmatiker<br />

BOS 1 -Funk<br />

späte Mehrheit,<br />

Konservative<br />

militärische<br />

Kommunikation<br />

Nachzügler,<br />

Skeptiker<br />

Zeit<br />

Kunden wollen<br />

Technologie und<br />

Leistungsfähigkeit<br />

Kunden wollen<br />

komfortable<br />

Produkte<br />

1 Behörden und Organisationen mit Sicherheitsaufgaben (Public Safety)<br />

Anwendungen oder Funk-Diagnosesysteme gelingen. Auch<br />

bei der Entwicklung von optimierten Funklösungen für die<br />

Automatisierungstechnik kann SDR zeitnah helfen. Nach<br />

diesen Speziallösungen könnte SDR, ähnlich wie im Mobilfunksektor,<br />

mittelfristig Einzug in die Basisstationen<br />

halten. Wann die Technik in Geräten wie Sensoren, Aktoren<br />

oder in Remote-I/O-Module integriert werden kann,<br />

hängt maßgeblich von der technologischen und preislichen<br />

Entwicklung der Hardwarekomponenten ab.<br />

mit herkömmlicher funktechnik nicht lösbar<br />

Aber gerade die zunehmende Anzahl an eingesetzten<br />

Funkkommunikationssystemen könnte in Zukunft zu<br />

neuen Herausforderungen führen, die mit herkömmlicher<br />

Funktechnik nicht mehr zu lösen sind. Die in den Produktionsanlagen<br />

eingesetzten Funksysteme teilen sich<br />

eine begrenzte Spektrumressource. Hinzu kommen<br />

Funksysteme, die außerhalb der Produktion genutzt werden,<br />

aber dasselbe Frequenzband nutzen. Ein Koexistenzmanagement<br />

ist deshalb zwingend erforderlich, um den<br />

störungsarmen parallelen Betrieb der Funksysteme zu<br />

gewährleisten. Adaptive oder kognitive Funksysteme<br />

können dabei helfen, das aufwendige manuelle datenbankgestützte<br />

Koexistenzmanagement zu unterstützen<br />

oder langfristig sogar überflüssig machen.<br />

In der Studie „Software Defined Radio und Cognitive<br />

Radio in der industriellen Automation“ werden auch der<br />

aktuelle Stand sowie die Perspektiven der technologischen<br />

und regulatorischen Entwicklungen mit Bezug auf<br />

SDR und CR detailliert dargestellt.<br />

SDR UND CR WERDEN SICH DURCHSETZEN<br />

In der Automatisierungstechnik wird mittel- und langfristig<br />

kein Weg an SDR und CR vorbeiführen. Die Vorteile von<br />

SDR und CR liegen auf der Hand, und mit Verbesserung<br />

der Hardwarekomponenten und mit fallenden Preisen wird<br />

auch die Hemmschwelle sinken, diese Technologien in der<br />

Automatisierungstechnik einzusetzen. Es gibt somit eigentlich<br />

keinen Grund, nicht schon heute die Anforderungen<br />

an eine industrietaugliche SDR-Plattform zusammenzutragen,<br />

Konzepte zu entwickeln, industrielle Funkstandards<br />

exemplarisch zu implementieren und somit erste<br />

praktische Erfahrungen mit den SDR- und CR-Technologien<br />

zu sammeln sowie deren Zeitverhalten zu untersuchen.<br />

Auch die Methoden und Algorithmen für das automatisierte<br />

Koexistenzmanagement können unabhängig von<br />

der Hardware entwickelt werden. Hier ist noch einiges<br />

an Vorarbeit zu leisten. Warten lohnt nicht, da die spezifischen<br />

Anforderungen für industrielle Anwendungen<br />

und die eigens für diesen Applikationsbereich definierten<br />

Funkstandards nur in Zusammenarbeit mit den Herstellern<br />

von Automatisierungsgeräten berücksichtigt<br />

werden können. Unabhängige externe Zulieferer wird es<br />

nicht geben.<br />

Autoren<br />

Dr. Lutz Rauchhaupt ist Leiter des<br />

Forschungsschwerpunktes „Drahtlose<br />

industrielle Kommunikation“ am ifak<br />

und Mitautor der Studie „Software<br />

Defined Radio und Cognitive Radio<br />

in der industriellen Automation“.<br />

ifak – Institut für Automation und Kommunikation e.V. Magdeburg,<br />

Werner-Heisenberg-Str. 1, D-39106 Magdeburg,<br />

Tel. +49 (0) 391 990 14 95, E-Mail: lutz.rauchhaupt@ifak.eu<br />

André Gnad beschäftigt sich am ifak<br />

mit Test- und Diagnosesystemen für<br />

industrielle Funksysteme und war<br />

Projektleiter der DFAM-Studie „Software<br />

Defined Radio und Cognitive Radio<br />

in der industriellen Automation“.<br />

ifak – Institut für Automation und Kommunikation e.V. Magdeburg,<br />

Werner-Heisenberg-Str. 1, D-39106 Magdeburg,<br />

Tel. +49 (0) 391 990 14 90, E-Mail: andre.gnad@ifak.eu<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

25


interview<br />

eckhard eberle:<br />

„Durch eine steigende Vernetzung<br />

ist die Anzahl der<br />

Schnittstellen gewachsen,<br />

die potenzielle Angriffspunkte<br />

bieten. Anwender<br />

und Hersteller müssen<br />

nun gemeinsam dafür<br />

Sorge tragen, dass daraus<br />

kein Schaden entsteht",<br />

fordert der CEO Industrial<br />

Automation Systems der<br />

Siemens-Division Industry<br />

Auto mation.<br />

26<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


„Viele Anlagen sind nur<br />

unzureichend geschützt“<br />

Eckard Eberle im Interview mit <strong>atp</strong> <strong>edition</strong><br />

Automatisierungsanlagen werden immer stärker vernetzt. Und mit dem Trend zu offenen Systemen haben<br />

Standard-Technologien aus der Bürowelt Einzug gehalten – das schafft neue Einfallstore für Angriffe auf die IT.<br />

<strong>atp</strong> <strong>edition</strong> sprach darüber mit mit Eckard Eberle, CEO Industrial Automation Systems, Siemens-Division Industry<br />

Automation. Der Informationssicherheit widmen sich auch alle Hauptbeiträge dieser Ausgabe der <strong>atp</strong> <strong>edition</strong>.<br />

Bilder: Siemens<br />

<strong>atp</strong>: Herr Eberle, wo steht die IT-<strong>Security</strong> für die Automatisierungstechnik<br />

heute? Wie gut geschützt sind die Anlagen?<br />

ECKARD EBERLE: IT-<strong>Security</strong> in der Automatisierung<br />

hat in den letzten zwei Jahren enorm an Bedeutung gewonnen.<br />

In der Pre-Stuxnet-Ära war IT-<strong>Security</strong> bei dem<br />

Großteil unserer Kunden hauptsächlich in der Office-<br />

Welt ein Thema. Im Vordergrund stand dort ganz klar die<br />

Datensicherheit. Seit Stuxnet wissen wir, dass auch industrielle<br />

Automatisierungsnetze Ziel von Angriffen sein<br />

können. Aus unserer Sicht sind noch viele Anlagen unzureichend<br />

geschützt. Viel zu oft wird den potenziellen<br />

Bedrohungen auf Anwenderseite nicht die notwendige<br />

Aufmerksamkeit gewidmet. Wir spüren aber ganz klar,<br />

dass dieses Thema für Anwender und Hersteller immer<br />

wichtiger wird.<br />

<strong>atp</strong>: Worüber reden wir, wenn wir heute von Industrial <strong>Security</strong><br />

in der Prozess- oder Fertigungsautomatisierung<br />

sprechen – wie lautet Ihre Definition?<br />

ECKARD EBERLE: Industrial <strong>Security</strong> in der Prozess- oder<br />

Fertigungsautomatisierung umfasst alle – einschließlich<br />

datentechnischer – Maßnahmen, die Manipulation von Abläufen<br />

in Prozessen der Industrie und Infrastruktur sowie<br />

den Verlust des geistigen Eigentums verhindern sowie<br />

Schäden an Umwelt, Reputation und Finanzen vermeiden<br />

helfen sollen. Dabei kann niemand 100-prozentige Sicherheit<br />

garantieren. Industrial <strong>Security</strong> muss als Prozess gelebt<br />

und als <strong>Management</strong>-Aufgabe verstanden werden.<br />

<strong>atp</strong>: Wo liegen die größten Herausforderungen?<br />

ECKARD EBERLE: Industrieanlagenbetreiber wurden 2010<br />

vom Stuxnet-Angriff überrascht. Die wenigsten Anlagenbetreiber<br />

hatten es bis zu diesem Zeitpunkt für möglich<br />

gehalten, dass industrielle Anlagen durch gezielte Angriffe<br />

über Datennetze attackiert werden. Noch ist es eine große<br />

Herausforderung, dafür ein Bewusstsein zu schaffen und<br />

die Notwendigkeit von Schutzmechanismen überall zu verankern.<br />

Denn oft geschieht solch ein Angriff unbemerkt und<br />

das konkrete Schadensausmaß ist nicht direkt erkennbar.<br />

<strong>atp</strong>: Geht es eher um Hardware, um Software oder um die<br />

Psychologie der Anwender?<br />

ECKARD EBERLE: Es geht um alle drei Faktoren. Industrial<br />

<strong>Security</strong> darf nicht mit einem Produkt oder gar einem<br />

Tool verwechselt werden, das einfach per Katalog gekauft<br />

werden kann. Genauso wenig reichen umfangreiche Listen<br />

von Vorschriften aus, die für sich genommen zwar alle richtig<br />

und gut sind, aber erst dann wirken, wenn diese auch<br />

gelebt werden.<br />

<strong>atp</strong>: Können Sie dafür ein Beispiel nennen?<br />

ECKARD EBERLE: Ein hochentwickeltes Sicherheitskonzept<br />

ist machtlos, wenn ein Mitarbeiter einen USB-Stick<br />

am Netz anschließt und dieses infiziert. In einem solchen<br />

Fall können Hard- und Software-Mechanismen die Ausbreitung<br />

eines etwaigen Virus zwar eindämmen, aber<br />

nicht verhindern. Nur eine umfassende <strong>Security</strong>-Strategie<br />

hilft, präventiv Angriffen entgegen zu wirken. Hier<br />

stehen Richtlinien und Schulungen der Mitarbeiter an<br />

erster Stelle. Dieses Vorgehen ist sehr effizient, und es<br />

lässt sich schon viel mit geregelten Prozessen und<br />

Richtlinien erreichen.<br />

<strong>atp</strong>: Existiert bereits eine allgemein anerkannte und verbindliche<br />

Definition der Schutzziele?<br />

ECKARD EBERLE: Sicherlich gibt es allgemeine Schutzziele<br />

wie in der ISA 99 beschrieben oder allgemein die Verhinderung<br />

von Umweltschäden und der Gefahr für Leib und<br />

Leben oder des Verlusts von geistigem Eigentum. Doch im<br />

Kern muss man sich darum bemühen, dass kein unkontrollierter<br />

Zugriff auf Anlagen und Produktionsprozesse<br />

möglich ist. Gerade in diesem Bereich haben wir in den<br />

letzten Jahren im Bereich Safety-Automatisierung viele<br />

Erfahrungen gemacht, die wir auf den <strong>Security</strong>-Bereich<br />

übertragen können.<br />

<strong>atp</strong>: Immer komplexere Produkte und Produktionskonstellationen<br />

erfordern eine immer weiter gehende Vernetzung<br />

mit immer neuen Schnittstellen, die wiederum<br />

potenzielle Einfallstore für Angreifer sind. Wie lässt sich<br />

diese Gefahr bannen?<br />

ECKARD EBERLE: Diese Gefahren lassen sich durch <strong>Security</strong>-Strategien<br />

reduzieren. Das fängt bei der Systemhärtung<br />

an, wobei zum Beispiel ungenutzte USB-Ports<br />

abgeschaltet werden oder LAN-Anschlüsse hardwareseitig<br />

blockiert werden. Dies führt weiter über eine konsequente<br />

Umsetzung von Sicherheitsmaßnahmen, etwa der<br />

Netzwerksegmentierung und dem Aufbau sicherer Auto-<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

27


interview<br />

matisierungszellen, hin zu Einzelmaßnahmen wie Anti-<br />

Virus-Programmen und Whitelisting-Software auf PCbasierten<br />

Systemen oder auch zu definierten <strong>Security</strong>-<br />

Richtlinien für die Mitarbeiter. Die Hersteller sind natürlich<br />

angehalten, immer effizientere Sicherheitsfunktionen in<br />

ihren Produkten zu integrieren. Wir arbeiten stetig an der<br />

kontinuierlichen Verbesserung unserer Produkte im Bereich<br />

der Industrial <strong>Security</strong>.<br />

<strong>atp</strong>: Eine absolute Abschottung scheint oft unmöglich; zwischen<br />

der Produktion und der Außenwelt kann man zwar<br />

Schleusen aufbauen – aber irgendwann muss doch ein<br />

Mitarbeiter mit Laptop oder Datenträger Kontakt zur Produktionssteuerung<br />

aufbauen. Wie lässt sich ausschließen,<br />

dass auf diesem Weg Angriffe erfolgen?<br />

ECKARD EBERLE: Es gibt Verfahren, um Systeme zu härten<br />

und somit dieser Art von Angriffen zu begegnen. So<br />

lässt sich zum Beispiel die Kommunikation zwischen HMI/<br />

Steuerung und Engineering-Station mit einem Passwort<br />

absichern. Ebenso lassen sich die Bausteine im PLC-Programm<br />

vor unautorisiertem Zugriff schützen. Will ein<br />

Service-Mitarbeiter aus der Ferne auf die Anlage zugreifen,<br />

steht ein sicherer VPN-Tunnel einschließlich Passwortabfrage<br />

bereit.<br />

Wenn ein Mitarbeiter – etwa in einem Servicefall – per<br />

Laptop oder Datenträger an die Anlage muss, sollte gewährleistet<br />

sein, dass sowohl auf PC-Systemen wie auch<br />

auf Servicegeräten ein entsprechender Virenschutz vorhanden<br />

ist.<br />

<strong>atp</strong>: Zunehmend werden unternehmensweite Systeme wie<br />

ERP mit der Produktionsebene vernetzt. Wie lässt sich das<br />

unter <strong>Security</strong>-Aspekten verantworten?<br />

ECKARD EBERLE: Systeme wie ERP oder DCS lassen sich<br />

einfach in ein Sicherheitskonzept integrieren. Gerade bei<br />

ERP-Systemen kann man auf das breite Angebot der IT-<br />

Sicherheit zurückgreifen und auf Basis Front und Back<br />

Firewall mit einer DMZ (demilitarised Zone) für umfassenden<br />

Schutz sorgen. Die einzelnen Zonen des Netzwerkes<br />

können auf diese Weise voneinander getrennt werden,<br />

was die Sicherheit wesentlich erhöht.<br />

<strong>atp</strong>: Auch unter dem Dach der digitalen Fabrik soll eine<br />

zunehmende Vernetzung und Datendurchgängigkeit realisiert<br />

werden – lässt sich das sicherheitstechnisch beherrschen?<br />

ECKARD EBERLE: Die Beherrschung der digitalen Fabrik<br />

unter Sicherheitsgesichtspunkten ist machbar, wie wir<br />

beispielhaft in unserem Werk in Amberg zeigen. Es wird<br />

sicher noch einige Jahre in Anspruch nehmen, bis dieser<br />

visionäre Ansatz flächendeckend anzutreffen ist. Wir untersuchen<br />

dort das Zusammenspiel von digitalem Engineering<br />

und Produktion seit einiger Zeit sehr erfolgreich.<br />

Sicherheitstechnisch lässt sich ein hochkomplexes Gebilde<br />

nur durch konsequente Umsetzung von übergreifenden<br />

<strong>Security</strong>-Maßnahmen beherrschen. Das heißt: Hersteller<br />

und Anwender müssen effizient zusammenarbeiten. Gerade<br />

auf Anwenderseite ist eine Kooperation von IT und<br />

Automatisierung sehr wichtig.<br />

<strong>atp</strong>: Schaffen der Einsatz von Wireless-Technologien und<br />

von immer mehr mobilen Endgeräten neue Risiken?<br />

ECKARD EBERLE: Wir empfehlen unseren Kunden, auf<br />

industriell erprobte Lösungen zurück zugreifen, wenn eine<br />

mobile Lösung gewünscht ist. Diese lassen etwa die Bedienung<br />

einer Maschine nicht zu, wenn sich das Endgerät<br />

außerhalb des definierten Bedienbereichs befindet. Wireless-Technologien<br />

an sich bieten eine ausreichende Sicherheit,<br />

da aktuelle Verschlüsselungsmechanismen nutzbar<br />

sind.<br />

<strong>atp</strong>: Wer ist für ausreichende IT-<strong>Security</strong> verantwortlich:<br />

der Hersteller oder der Anwender?<br />

ECKARD EBERLE: Für eine ausreichende Sicherheit<br />

können nur beide Parteien gemeinsam sorgen. Auf der<br />

einen Seite steht der Hersteller, der mit seinen Produkten<br />

die Grundlage für die Umsetzung einer konsequenten<br />

Sicherheitsstrategie schafft. Auf der anderen<br />

Seite steht der Anwender, der durch den konsequenten<br />

Einsatz der Produkte sowie ihrer Sicherheitsfunktionen<br />

und die Umsetzung von Sicherheitsrichtlinien ein umfassendes<br />

Konzept erstellen kann. Eine 100-prozentige<br />

Sicherheit ist allerdings nicht realisierbar. Sicherheit ist<br />

ein Prozess, der, einmal eingeführt, einer kontinuierlichen<br />

Überwachung und Erneuerung bedarf. Wir helfen<br />

unseren Kunden dabei mit Dienstleistungen im <strong>Security</strong>-<br />

Umfeld wie dem <strong>Security</strong> Assessment, um Sicherheitsrisiken<br />

und Strategien zusammen mit dem Kunden zu<br />

definieren und zu implementieren.<br />

<strong>atp</strong>: Welche <strong>Management</strong>ebene beim Anwender sollte aus<br />

Sicht eines Herstellers das Thema IT-<strong>Security</strong> verantworten,<br />

um die besten Erfolge zu erzielen?<br />

ECKARD EBERLE: Nach unserer Auffassung liegt die<br />

Aufgabe, für das Bewusstsein des Themas Industrial<br />

<strong>Security</strong> in einem Unternehmen zu sorgen, in der obersten<br />

<strong>Management</strong>ebene. Die Erfahrung zeigt, dass sich<br />

IT-Abteilung und Automatisierungsabteilung im Bereich<br />

<strong>Security</strong> nicht immer einig sind. Bei IT-<strong>Security</strong> innerhalb<br />

der Prozess- und Fertigungsindustrie gelten verschärfte<br />

Anforderungen an die jeweilige Lösung. Während<br />

in der Office-IT-<strong>Security</strong> die Datensicherheit im<br />

Vordergrund steht, besitzt in der Industrial <strong>Security</strong> die<br />

Verfügbarkeit der Anlage die höchste Priorität. Es ist<br />

Aufgabe des oberen <strong>Management</strong>s, diese Differenzen im<br />

Vorfeld auszuräumen.<br />

<strong>atp</strong>: Wie verhalten sich funktionale Sicherheit und IT-<strong>Security</strong><br />

zu einander: ergänzen sie sich, bedingen sie sich,<br />

behindern sie sich ...?<br />

ECKARD EBERLE: Ganz klar: Funktionale Sicherheit und<br />

IT-<strong>Security</strong> ergänzen sich. IT-<strong>Security</strong> schützt gegen Cyber-Angriffe<br />

auf das Automatisierungssystem. Funktionale<br />

Sicherheit kann hier bis zu einem gewissen Maße auch<br />

hilfreich sein, dient aber in erster Linie zur Absicherung<br />

gegen zufällige Fehler im System.<br />

<strong>atp</strong>: Es existiert ein „Dschungel“ domänenspezifischer<br />

Standards für IT-<strong>Security</strong> in der Automatisierung.<br />

28<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Reichen diese aus? Sind es zu viele? Besteht Harmonisierungsbedarf?<br />

ECKARD EBERLE: Aus heutiger Sicht existieren noch viele<br />

verschiedene Standards. Bislang gibt es noch keine international<br />

gültige Norm. Daher versuchen Hersteller zusammen<br />

mit unabhängigen Partnern, wie den CERT-Organisationen,<br />

deren Entwicklung und Harmonisierung weiter<br />

voran zu treiben.<br />

<strong>atp</strong>: Standardisierung erlaubt einerseits, Systeme mit höherer<br />

Sicherheit zu entwickeln, weil mehr Unternehmen<br />

„Sicherheit ist<br />

ein Prozess, der,<br />

einmal eingeführt,<br />

einer kontinuierlichen<br />

Überwachung<br />

und Erneuerung<br />

bedarf“, hebt Eckard<br />

Eberle hervor.<br />

Know-how einbringen. Das erhöht zwar den Aufwand für<br />

potenzielle Angreifer – aber wenn ein Angreifer die Systeme<br />

„geknackt“ hat, gewinnt er direkt Zugang zu allen Unternehmen,<br />

die diese Technologie einsetzen. Schafft die<br />

Standardisierung also größere Sicherheit oder größere<br />

Gefahren?<br />

ECKARD EBERLE: Gemeinsam mit den Anwendern haben<br />

die Hersteller von Automatisierungsprodukten die Offenheit<br />

ihrer Systeme vorangetrieben. Dies war auch immer<br />

wieder von den Anwendern gefordert worden, um mit<br />

offenen Systemen Produktivität zu erhöhen. Standard-<br />

Technologien aus der Bürowelt, wie Microsoft-Technologien,<br />

Internet-Kommunikation oder Ethernet-Kommunikationsnetze,<br />

haben daher Einzug in die automatisierte<br />

Industrieproduktion und Infrastruktur gehalten. Durch<br />

eine steigende Vernetzung ist die Anzahl der Schnittstellen<br />

gewachsen, die potenzielle Angriffspunkte bieten.<br />

Anwender und Hersteller müssen nun gemeinsam dafür<br />

Sorge tragen, dass daraus kein Schaden entsteht.<br />

<strong>atp</strong>: Kann die <strong>Security</strong> in der Automatisierung von den Sicherheitsbemühungen<br />

der nichtindustriellen IT profitieren?<br />

ECKARD EBERLE: Bei der Standardisierung von IT-Komponenten<br />

spielen auch die Sicherheitsexperten, die sich<br />

zunehmend dem Industrieautomatisierungsumfeld widmen,<br />

eine nicht zu unterschätzende Rolle. Meist aus dem<br />

IT-Umfeld stammend, tragen sie mit ihren Analysen dazu<br />

bei, dass die Automatisierungshersteller ihre Produkte<br />

hinsichtlich IT-Verwundbarkeiten optimieren<br />

können. Für Siemens ist das<br />

Thema wichtig und wir nehmen die Hinweise<br />

dieser Experten sehr ernst. Wir<br />

veröffentlichen regelmäßig Updates<br />

und arbeiten stetig an der kontinuierlichen<br />

Verbesserung unserer Produkte<br />

in diesem Bereich.<br />

<strong>atp</strong>: Was erwarten Sie von Microsoft<br />

mit Blick auf IT-<strong>Security</strong>? Wird<br />

dieses Betriebssystem angesichts<br />

der Bedrohungen auch künftig<br />

eine Rolle in der Automatisierung<br />

spielen?<br />

ECKARD EBERLE: Microsoft hat<br />

gerade in den letzten Jahren<br />

einiges im Bereich <strong>Security</strong><br />

geleistet. Wir sehen Microsoft<br />

auch in Zukunft als starken<br />

Partner in der Automatisierung.<br />

Die Erfahrung zeigt, dass<br />

eine kooperative Partnerschaft<br />

auf diesem Gebiet Früchte trägt.<br />

Die Fragen stellten Leon Urbas<br />

und Gerd Scholz<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

29


Praxis<br />

Public Key Infrastructure schließt die Schutzlücke<br />

und gewährleistet eine sichere Kommunikation<br />

Hardwaremodule und Herstellerzertifikate verhindern zudem Produktpiraterie<br />

Automatisierungstechnische Systeme besitzen meist keine<br />

inhärenten sicherheitsrelevanten Eigenschaften. Der<br />

Einsatz einer Public Key Infrastructure (PKI) schafft die<br />

Grundlage für den Aufbau von sicheren Kommunikationsverbindungen.<br />

Bei einer Verwendung von Hardwaremodulen<br />

(TPM) und Herstellerzertifikaten kann darüber hinaus<br />

ein Schutz vor Produktpiraterie ermöglicht werden.<br />

In der Automatisierungstechnik werden zunehmend<br />

IT-Standardtechnologien aus der Welt der Office IT eingesetzt.<br />

Dies gilt insbesondere für die Nutzung von<br />

Ethernet und der vom Internet bekannten auf TCP/IP<br />

basierenden Protokolle. Daraus ergeben sich einerseits<br />

zahlreiche Vorteile. Es werden aber auch Bedrohungen<br />

hinsichtlich der IT-Sicherheit relevant.<br />

Einige Beispiele für fehlende sicherheitsrelevante Eigenschaften<br />

in automatisierungstechnischen Systemen<br />

sind:<br />

Auf Feldbus-Ebene besitzen die Kommunikationsprotokolle<br />

keine integrierten Schutzmechanismen.<br />

Teilnehmer und Daten werden nicht authentifiziert,<br />

sodass im Rahmen eines möglichen Angriffs Systeme<br />

auf Feldebene beliebig erweitert und beliebige Nachrichten<br />

eingespielt werden können.<br />

Die Konfiguration und Bedienung von Automatisierungssystemen<br />

setzt in der Regel keine Authentifizierung<br />

voraus, sodass beispielsweise keine Überprüfung<br />

von Berechtigungen zum Starten/Stoppen<br />

von SPS-Programmen möglich ist.<br />

Eine Übertragung von SPS-Programmen findet in der<br />

Regel ohne Verwendung von Sicherheitsmaßnahmen<br />

(Nutzerauthentifizierung, Verschlüsselung) statt.<br />

Um einen gewissen Schutz zu erreichen, sehen bestehende<br />

Richtlinien wie die „Profinet <strong>Security</strong> Guideline“ eine<br />

Segmentierung von Automatisierungsnetzen in Teilnetze<br />

und die Absicherung dieser Teilnetze mit sogenannten<br />

<strong>Security</strong>-Gateways (SG) vor. Die Kommunikation in den<br />

Teilnetzen selber ist bei einem solchen Konzept allerdings<br />

weiterhin ungeschützt. Außerdem erfordern Anschaffung,<br />

Integration und Wartung von <strong>Security</strong> Gateways<br />

einen erheblichen Aufwand.<br />

PKI-LÖSUNG LÄSST SICH FLEXIBEL INTEGRIEREN<br />

Um umfassende IT-Sicherheitslösungen flexibel in<br />

Automatisierungsnetze integrieren zu können, bietet<br />

sich die Etablierung einer geeigneten Public Key Infrastructure<br />

(PKI) an. Eine entsprechende PKI-Lösung<br />

wird derzeit im Rahmen des aktuell laufenden<br />

FuE-Projekts „SEC_PRO – Sichere Produktion mit<br />

verteilten Automatisierungssystemen“ prototypisch<br />

umgesetzt. Weitere hiermit zusammenhängende Themen,<br />

die im Rahmen von SEC_PRO untersucht werden,<br />

sind:<br />

Einsatz von hardwareunterstützten Schutzmaßnahmen<br />

(Smartcard, TPM) im Bereich der Automatisierungstechnik,<br />

auch zum Schutz gegen Produktpiraterie,<br />

Konfigurationsstation<br />

Geräte-Hersteller<br />

Root-Zertifikat (CA-Zertifikat)<br />

Bedienstation<br />

IO-Controller<br />

Teilnehmerzertifikate<br />

(CA-Zertifikat)<br />

IO-Device<br />

Teilnehmerzertifikate<br />

IO-Device<br />

Bild 1: Durch die Zertifizierung von Signaturschlüsseln,<br />

können auch mehrstufige PKIs mit<br />

einer hierarchisch organisierten CA-Struktur<br />

realisiert werden.<br />

Bild 2: Teilnehmer einer PKI am Beispiel von Profinet IO.<br />

Neben IO-Controller, IO-Devices sowie Bedien- und Konfigurationsstationen<br />

und deren Nutzern sind auch Gerätehersteller zu<br />

berücksichtigen, da sie Geräte bereits bei der Produktion mit<br />

Schlüsseldaten und entsprechenden Zertifikaten ausstatten können.<br />

Bilder: Hochschule Ostwestfalen-Lippe<br />

30<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Herausforderung<br />

Automatisierungstechnik<br />

Maßnahmen zum verbesserten Schutz der Automatisierungsanlagen<br />

durch die Sicherstellung der Authentizität<br />

der Nutzdatenübertragung und eine Analyse<br />

des Echtzeitverhaltens derartig geschützter<br />

Netzwerke unter realen Bedingungen,<br />

Handhabbarkeit und Akzeptanz von PKI-Lösungen<br />

in der Automatisierungstechnik.<br />

INTEGRITÄT UND AUTHENTIZITÄT ALS BASIS<br />

Zum Aufbau sicherer Kommunikationsbeziehungen<br />

ist es erforderlich, dass der Empfänger einer Nachricht<br />

überprüfen kann, ob die Nachricht unverändert (Integrität)<br />

von einem bestimmten Teilnehmer (Authentizität)<br />

gesendet wurde. Ist dies möglich, so können<br />

hierauf aufbauend weitere Mechanismen realisiert<br />

werden, wie beispielsweise eine teilnehmerspezifische<br />

Rechteverwaltung (Access Control) oder ein Austausch<br />

von Sitzungsschlüsseln, die zur Absicherung der zwischen<br />

zwei Teilnehmern ausgetauschten Nutzdaten<br />

zum Einsatz kommen.<br />

Integrität und Authentizität von Nachrichten können<br />

durch Einsatz digitaler Signaturverfahren sichergestellt<br />

werden. Bei einem solchen Verfahren besitzt der<br />

Sender ein Schlüsselpaar, bestehend aus einem privaten<br />

Schlüssel (private key) und einem zugehörigen öffentlichen<br />

Schlüssel (public key). Mit dem privaten<br />

Schlüssel kann sein Besitzer Signaturen für beliebige<br />

digitale Daten erzeugen. Die Signaturen können anschließend<br />

mithilfe des öffentlichen Schlüssels verifiziert<br />

werden. Zur Überprüfung von Integrität und Authentizität<br />

muss der entsprechende öffentliche Schlüssel<br />

also bekannt sein. Damit nun ein Teilnehmer nicht<br />

von allen anderen Teilnehmern die öffentlichen<br />

Schlüssel vorab sicher speichern muss, werden Public<br />

Key Infrastrukturen (PKI) genutzt.<br />

Im Rahmen einer PKI werden Zertifikate verwendet,<br />

die einen öffentlichen Schlüssel durch eine Signatur<br />

an eine Teilnehmeridentität binden. Die Zertifikate werden<br />

hierbei von einer für alle Teilnehmer vertrauenswürdigen,<br />

übergeordneten Stelle (Certification Authority<br />

(CA)) signiert, sodass letztendlich jeder Teilnehmer<br />

nur den öffentlichen CA-Schlüssel sicher speichern<br />

muss, um die Authentizität eines beliebigen in einem<br />

Zertifikat übermittelten öffentlichen Teilnehmerschlüssels<br />

überprüfen zu können. Durch die Zertifizierung<br />

von Signaturschlüsseln, können auch mehrstufige PKIs<br />

mit einer hierarchisch organisierten CA-Struktur realisiert<br />

werden (siehe Bild 1).<br />

BINDUNG ZWISCHEN SCHLÜSSEL UND GERÄT<br />

Bild 2 zeigt am Beispiel von Profinet IO verschiedene<br />

Teilnehmer, die innerhalb einer PKI für die Automatisierungstechnik<br />

zu betrachten sind. Neben IO-Controller,<br />

IO-Devices sowie Bedien- und Konfigurationsstationen<br />

und deren Nutzern sind auch Gerätehersteller<br />

zu berücksichtigen, da sie Geräte bereits bei der<br />

Produktion mit Schlüsseldaten und entsprechenden<br />

Zertifikaten ausstatten können. Mit geeigneten Hard-<br />

Mit dem <strong>atp</strong>-award werden zwei Autoren der <strong>atp</strong> <strong>edition</strong> für<br />

hervorragende Beiträge ausgezeichnet. Ziel dieser Initiative<br />

ist es, Wissenschaftler und Praktiker der Automatisierungstechnik<br />

anzuregen, ihre Ergebnisse und Erfahrungen in Veröffentlichungen<br />

zu fassen und die Wissenstransparenz in der<br />

Automatisierungstechnik zu fördern. Teilnehmen kann jeder<br />

Autor der zum Zeitpunkt der Veröffentlichung nicht älter als<br />

35 Jahre ist. Nach Veröffentlichung eines Beitrags ist der Autor,<br />

wenn er die Bedingung erfüllt, automatisch im Pool. Die<br />

Auswahl des Gewinners übernimmt die <strong>atp</strong>-Fachredaktion.<br />

Derjenige Autor, der im Autorenteam der jüngste ist, erhält<br />

stellvertretend für alle Autoren die Auszeichnung. Der Preis<br />

wird in zwei Kategorien ausgelobt: Industrie und Hochschule.<br />

Die Kategorien ermittlung ergibt sich aus der in dem Beitrag<br />

angegebenen Adresse des jüngsten Autors.<br />

Veröffentlichungen – Beitrag zum Wissenspool im<br />

Fachgebiet Automatisierungstechnik<br />

Die Entwicklung eines Wissensgebietes erfolgt durch einen<br />

kooperativen Prozess zwischen wissenschaftlicher Grundlagenforschung,<br />

Konzept- und Lösungsentwicklung und Anwendung<br />

in der Praxis. Ein solcher Prozess bedarf einer gemeinsamen<br />

Informationsplattform. Veröffentlichungen<br />

sind die essentielle Basis eines solchen Informationspools.<br />

Der <strong>atp</strong>-award fördert den wissenschaftlichen Austausch<br />

im dynamischen Feld der Automationstechnik. Nachwuchsinge<br />

nieure sollen gezielt ihre Forschungen präsentieren<br />

können und so leichter den Zugang zur Community erhalten.<br />

Der Preis ist mit einer Prämie von jeweils 2000€ dotiert.<br />

Die Auswahl erfolgt in zwei Stufen:<br />

Voraussetzung für die Teilnahme ist die Veröffentlichung<br />

des Beitrags in der <strong>atp</strong> <strong>edition</strong>. Jeder Aufsatz, der als Hauptbeitrag<br />

für die <strong>atp</strong> <strong>edition</strong> eingereicht wird, durchläuft das<br />

Peer-Review-Verfahren. Die letzte Entscheidung zur Veröffentlichung<br />

liegt beim Chefredakteur. Wird ein Beitrag veröffentlicht,<br />

kommt er automatisch in den Pool der <strong>atp</strong>-award-<br />

Bewerber, vorausgesetzt einer der Autoren ist zum Zeitpunkt<br />

der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet<br />

wird der jüngste Autor stellvertretend für alle Autoren der<br />

Gruppe. Eine Jury aus Vertretern der <strong>atp</strong>-Fachredaktion<br />

und des -Beirats ermittelt schließlich den Gewinner in den<br />

jeweiligen Kategorien Hochschule und Industrie.<br />

Der Rechtsweg ist ausgeschlossen.<br />

Beiträge richten Sie bitte an:<br />

Oldenbourg Industrieverlag GmbH<br />

Herrn Prof. Leon Urbas<br />

Chefredakteur <strong>atp</strong> <strong>edition</strong> / automatisieren! by <strong>atp</strong><br />

Rosenheimer Straße 145 • 81761 München<br />

Tel. +49 (0) 89 45051 418 • E-Mail: urbas@oiv.de<br />

Beachten Sie die Autorenhinweise der <strong>atp</strong> <strong>edition</strong><br />

für Hauptbeiträge unter folgendem Link:<br />

http://www.<strong>atp</strong>-online.de<br />

Bitte senden Sie Ihre Beiträge an: urbas@oiv.de


Praxis<br />

waremodulen (TPM) kann zusätzlich eine feste physikalische<br />

Bindung der privaten Schlüssel an die Geräte<br />

erreicht werden.<br />

Durch den Einsatz einer PKI in der Automatisierungstechnik<br />

ergeben sich folgende Vorteile:<br />

Eine sichere Authentifizierung aller Teilnehmer ist<br />

möglich.<br />

Auf Grundlage der Teilnehmerauthentifizierung ist<br />

eine feingranulare Rechteverwaltung (Access Control)<br />

möglich (beispielsweise rollen- oder gruppenbasiert).<br />

Mithilfe digitaler Signaturen können beliebige Teilnehmer<br />

Daten (etwa im Rahmen eines Schlüsselaustauschprotokolls,<br />

wie dem Diffie-Hellman-Protokoll)<br />

authentisch austauschen.<br />

Werden die Geräte schon vom Hersteller mit Schlüsseln<br />

und Zertifikaten einer herstellereigenen PKI<br />

ausgeliefert, ist eine eindeutige Authentifizierung<br />

dieser Geräte bei der ersten Inbetriebnahme möglich<br />

und eine initiale Konfiguration kann bereits über<br />

eine gesicherte Verbindung stattfinden.<br />

Werden darüber hinaus fest mit dem Gerät verbundene<br />

Hardwaremodule (etwa TPM) zur Generierung<br />

und sicheren Speicherung des privaten Teilnehmerschlüssels<br />

eingesetzt, so kann der Diebstahl (oder die<br />

Anfertigung einer Kopie) dieses Schlüssels sicher<br />

verhindert werden. Darüber hinaus kann diese feste<br />

Bindung des privaten Schlüssels an das individuelle<br />

Gerät als Grundlage für einen Schutz vor Produktpiraterie<br />

dienen.<br />

KOMPLEXITÄT VOM ANWENDER FERNHALTEN<br />

Eine besondere Herausforderung ist eine einfache Erstellung,<br />

Verwaltung und Verteilung der Schlüssel<br />

und Zertifikate durch den Anwender. Die Anwender<br />

einer Automatisierungslösung haben in aller Regel<br />

keine Kenntnisse über kryptographische Verfahren<br />

und PKI. Daher muss ein Konfigurationsprogramm<br />

diese Komplexität von dem Anwender fernhalten. Beispielsweise<br />

sollten schon verfügbare Konfigurationsprogramme<br />

um entsprechende PKI-Funktionalitäten<br />

erweitert werden, deren Nutzung von Anwendern<br />

keine PKI-spezifischen Detaileingaben bei der Konfiguration<br />

erfordern.<br />

Eine weitere Herausforderung bei einem Einsatz einer<br />

PKI in der Automatisierungstechnik stellt die Sperrung<br />

von Zertifikaten dar, da bestehende Lösungen zum Sperren<br />

von Zertifikaten auf zentrale Server aufbauen. Eine<br />

Sperrung eines Zertifikats ist beispielsweise nötig, wenn<br />

ein privater Schlüssel kompromittiert wurde oder ein<br />

Mitarbeiter ausgeschieden ist.<br />

Bei einer Realisierung einer PKI-Lösung für die Automatisierungstechnik<br />

ist schließlich zu beachten, dass in<br />

den eingesetzten Komponenten meist stark ressourcenbeschränkte<br />

eingebettete Systeme eingesetzt werden,<br />

sodass auf die Auswahl geeigneter kryptographischer<br />

Verfahren zu achten ist, die hinreichend effizient auf<br />

solchen Systemen implementierbar sind.<br />

FAZIT<br />

Durch den Einsatz einer PKI in der Automatisierungstechnik<br />

ist die Grundlage für den Aufbau von sicheren<br />

Kommunikationsverbindungen geschaffen. Bei einer Verwendung<br />

von Hardwaremodulen (TPM) und Herstellerzertifikaten<br />

kann darüber hinaus ein Schutz vor Produktpiraterie<br />

ermöglicht werden.<br />

Eine besondere Herausforderung stellt die Entwicklung<br />

einer einfachen und möglichst transparenten Konfigurations-<br />

und Verwaltungslösung für eine PKI zum<br />

Einsatz in der Automatisierungstechnik dar. Im Rahmen<br />

des laufenden FuE-Projekts SEC_PRO sollen anhand von<br />

Profinet IO die Einsatzmöglichkeiten einer PKI aufgezeigt<br />

und erprobt werden.<br />

Autoren<br />

M. Sc. Stefan Hausmann<br />

(geb. 1984) ist Wissenschaftlicher<br />

Mitarbeiter am inIT<br />

– Institut Industrial IT der<br />

Hochschule Ostwestfalen-<br />

Lippe. Sein Hauptarbeitsgebiet<br />

ist die IT-Sicherheit in<br />

der Automatisierungstechnik.<br />

inIT – Institut Industrial IT,<br />

Hochschule Ostwestfalen-Lippe,<br />

Fachbereich Elektrotechnik und Technische Informatik,<br />

Liebigstraße 87, D-32657 Lemgo,<br />

Tel. +49 (0) 5261 702 59 74,<br />

E-Mail: stefan.hausmann@hs-owl.de<br />

Prof. Dr. rer. nat. Stefan<br />

Heiss (geb. 1960) ist<br />

stellvertretender Institutsleiter<br />

des inIT – Institut<br />

Industrial IT der Hochschule<br />

Ostwestfalen-Lippe und<br />

vertritt die Lehrgebiete<br />

Mathematik und IT-Sicherheit.<br />

Seine Forschungsgebiete<br />

sind die Kryptographie und IT-Sicherheit<br />

in vernetzten Systemen.<br />

inIT – Institut Industrial IT,<br />

Hochschule Ostwestfalen-Lippe,<br />

Fachbereich Elektrotechnik und Technische Informatik,<br />

Liebigstraße 87, D-32657 Lemgo,<br />

Tel. +49 (0) 5261 70 25 39,<br />

E-Mail: stefan.heiss@hs-owl.de<br />

32<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Jetzt<br />

doppelt sparen:<br />

Edition<br />

15% Rabatt<br />

gwf Praxiswissen<br />

im Fortsetzungsbezug<br />

20% Rabatt<br />

für gwf-Abonnenten<br />

Diese Buchreihe präsentiert kompakt aufbereitete Fokusthemen aus der Wasserbranche und Fachberichte<br />

von anerkannten Experten zum aktuellen Stand der Technik. Zahlreiche Praxisbeispiele zeigen individuelle<br />

Lösungen und vermitteln praktisches Know-how für ökologisch und wirtschaftlich sinnvolle Konzepte.<br />

Band I – Regenwasserbewirtschaftung<br />

Ausführliche Informationen für die Planung und Ausführung von Anlagen zur Regenwasserbwirtschaftung<br />

mit gesetzlichen Rahmenbedingungen sowie Anwendungsbeispielen aus der Praxis.<br />

Hrsg. C. Ziegler, 1. Auflage 2011, 184 Seiten, Broschur<br />

Buch + Bonusmaterial für € 54,90 € 46,70<br />

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />

Band II – Messen • Steuern • Regeln<br />

Grundlageninformationen über Automatisierungstechnologien, die dabei helfen, Wasser effizienter<br />

zu nutzen, Abwasser nachhaltiger zu behandeln und Sicherheitsrisiken besser zu kontrollieren.<br />

Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />

Buch + Bonusmaterial für € 54,90 € 46,70<br />

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />

Band III – Energie aus Abwasser<br />

Abwärme aus dem Kanal und Strom aus der Kläranlage: Wie aus großen Energieverbrauchern<br />

Energieerzeuger werden. Methoden und Technologien zur nachhaltigen Abwasserbehandlung.<br />

Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />

Buch + Bonusmaterial für € 54,90 € 46,70<br />

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />

Band IV – Trinkwasserbehälter<br />

Grundlagen zu Planung, Bauausführung, Instandhaltung und Reinigung sowie Sanierung von<br />

Trinkwasserbehältern. Materialien, Beschichtungssysteme und technische Ausrüstung.<br />

Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />

Buch + Bonusmaterial für € 54,90 € 46,70<br />

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />

Oldenbourg Industrieverlag München<br />

www.gwf-wasser-abwasser.de<br />

VORTEILSANFORDERUNG PER FAX: +49 (0)201 / 82002-34 oder per Brief einsenden<br />

Ja, ich bestelle die Fachbuchreihe gwf Praxiswissen im günstigen Fortsetzungsbezug,<br />

verpasse keinen Band und spare 15%. Ich wünsche die<br />

Lieferung beginnend ab Band<br />

als Buch + Bonusmaterial für € 46,70 (gwf-Abonnenten: € 37,30)<br />

als Buch + Bonusmaterial + eBook auf DVD für € 59,40<br />

(gwf-Abonnenten: € 47,50)<br />

Wir beziehen gwf im Abonnement nicht im Abonnement<br />

Jeder aktuelle Band wird zum Erscheinungstermin ausgeliefert und<br />

separat berechnet. Die Anforderung gilt bis zum schriftlichen Widerruf.<br />

Die pünktliche, bequeme und sichere Bezahlung per Bankabbuchung<br />

wird mit einer Gutschrift von € 3,- auf die erste Rechnung belohnt.<br />

Firma/Institution<br />

Vorname, Name des Empfängers<br />

Straße/Postfach, Nr.<br />

PLZ, Ort<br />

Telefon<br />

E-Mail<br />

Telefax<br />

Antwort<br />

Vulkan Verlag GmbH<br />

Versandbuchhandlung<br />

Postfach 10 39 62<br />

45039 Essen<br />

Branche/Wirtschaftszweig<br />

Bevorzugte Zahlungsweise Bankabbuchung Rechnung<br />

Bank, Ort<br />

Bankleitzahl<br />

✘<br />

Datum, Unterschrift<br />

Kontonummer<br />

PAGWFP2011<br />

Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von zwei Wochen ohne Angabe von Gründen in Textform (z.B. Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform. Zur Wahrung der Widerrufsfrist genügt<br />

die rechtzeitige Absendung des Widerrufs oder der Sache an die Vulkan-Verlag GmbH, Versandbuchhandlung, Huyssenallee 52-56, 45128 Essen.<br />

Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit einverstanden, dass ich vom Oldenbourg Industrieverlag oder vom<br />

Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über interessante, fachspezifische Medienund Informationsangebote informiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.


hauptbeitrag<br />

<strong>Ganzheitliches</strong> <strong>anlagenweites</strong><br />

<strong>Security</strong> <strong>Management</strong><br />

Werkzeuge für die automatisierte Unterstützung<br />

Eine der wesentlichen Maßnahmen im Rahmen eines ganzheitlichen <strong>Security</strong> <strong>Management</strong>s<br />

ist die Erfassung von gemeldeten Ereignissen verschiedener Komponenten, die einen<br />

Angriff erkennen lassen. Eine übergeordnete Einheit sammelt alle Ereignisse und wertet<br />

sie aus, um aus Einzelereignissen oder einer Zusammensetzung mehrer Ereignisse zu erkennen,<br />

ob ein Angriff tatsächlich stattfindet und diesen an die geeignete Stelle zu melden.<br />

Diese Funktionalität wird als <strong>Security</strong> Event <strong>Management</strong> (SEM) bezeichnet. Eine weitere<br />

Funktionalität, Berichte zu erzeugen, um das Einhalten von Richtlinien nachzuweisen,<br />

wird als <strong>Security</strong> Information <strong>Management</strong> (SIM) bezeichnet. Vereint eine Einheit beide<br />

Funktionalitäten, so wird sie als <strong>Security</strong> Information und Event <strong>Management</strong> (SIEM)<br />

bezeichnet. Der Beitrag beschreibt Werkeuge für die automatisierte Unterstützung eines<br />

ganzheitlichen anlageweiten <strong>Security</strong> <strong>Management</strong>s, unter anderem ein Industrial SIEM.<br />

SCHLAGWÖRTER <strong>Security</strong> / <strong>Security</strong> <strong>Management</strong> / <strong>Security</strong> Information Event<br />

<strong>Management</strong> (SIEM) / Enterprise SIEM / Industrial SIEM<br />

IT security management for industrial plants –<br />

An automated support tool<br />

One of the key IT measures relating to security management is the monitoring of reports<br />

from various components which indicate an attack. This overall functionality is referred<br />

to as security event management (SEM). The generation of reports showing compliance<br />

with guidelines is known as security information management (SIM). If a unit combines<br />

both functionalities this is referred to as <strong>Security</strong> Information and Event <strong>Management</strong><br />

(SIEM). This article describes automated tools for an holistic plant security management.<br />

KEYWORDS <strong>Security</strong> / <strong>Security</strong> <strong>Management</strong> / <strong>Security</strong> Information Event <strong>Management</strong><br />

(SIEM) / Enterprise SIEM / Industrial SIEM<br />

34<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Anna Palmin, Stefan Runde, Pierre Kobes, Siemens<br />

Einen wichtigen Bestandteil der Vorfeldentwicklungsarbeiten<br />

zum Thema <strong>Security</strong> bildet die<br />

Mitarbeit in nationalen und internationalen <strong>Security</strong>-Gremien<br />

wie zum Beispiel im GMA-Fachausschuss<br />

5.22, der DKE 931.1 und der ISA SP99.<br />

Das Ergebnis der Mitarbeit in diesen Gremien sind unter<br />

anderem die IEC 62443 [1] und die ISA-99 [2], welche zum<br />

Beispiel das Generieren sowie die Auswertung von Events,<br />

sogenannte Audit Events, fordern. Weiterhin fordert die<br />

Richtlinie NERC-CIP 007-3 [3] ein „<strong>Security</strong> Status Monitoring“.<br />

Auf Basis der in den Gremien definierten Standards<br />

und ausgehend von <strong>Security</strong>-relevanten Anwenderanforderungen<br />

[6] [7] bilden seit 2006 die Arbeiten hinsichtlich<br />

eines ganzheitlichen, anlagenweiten <strong>Security</strong><br />

<strong>Management</strong> – noch unabhängig von den oben genannten<br />

„Treibern“ des Themas „<strong>Security</strong>“ – einen wichtigen Bestandteil.<br />

Diese Arbeiten umfassen unter anderem die<br />

Konzeption und die Entwicklung von Werkzeugen für die<br />

automatisierte Unterstützung eines anlagenweiten <strong>Security</strong><br />

<strong>Management</strong>s, insbesondere von Werkzeugen für eine<br />

kontinuierliche Überwachung und eine optimale Anpassung<br />

des Schutzniveaus einer Anlage. Im Rahmen der<br />

Vorfeldarbeiten unter dem Titel <strong>Security</strong> Station sind das<br />

Konzept und der Prototyp eines Software-Werkzeugs für<br />

die automatisierte Unterstützung eines anlageweiten <strong>Security</strong><br />

<strong>Management</strong>s entwickelt worden. Der Prototyp<br />

wurde unter realitätsnahen Bedingungen in der Forschungsanlage<br />

Smart Automation evaluiert. Die entwickelte<br />

Expertise sowie die Erfahrungen aus den Arbeiten<br />

mit der <strong>Security</strong> Station fließen maßgeblich, neben den<br />

Anforderungen aus den Standards, in die Entwicklung<br />

des Konzepts eines Industrial SIEM.<br />

1. <strong>Security</strong> in der industriellen<br />

Automatisierung<br />

Diverse Vorteile bei der Realisierung moderner Automatisierungssysteme<br />

führen zum verstärkten Einsatz von IT-<br />

Technologien wie Ethernet und dem Internet Protocol (IP).<br />

Diese IT-Technologien lassen sich jedoch selten 1:1 in die<br />

Automatisierungswelt übernehmen. Der unbedachte Einsatz<br />

erhöht die Risiken, wie unberechtigte Eingriffe in die<br />

jeweiligen Automatisierungssysteme. Um diesen gestiegenen<br />

Risiken zu begegnen, beschäftigt sich die <strong>Security</strong><br />

Community im Wesentlichen mit zwei Aufgabenfeldern:<br />

1 | Bestrebungen in der <strong>Security</strong> Community führen zu<br />

neuen Regelwerken (zum Beispiel Normen, Richtlinien<br />

und gesetzlichen Bestimmungen), welche bei<br />

Einhaltung bestimmte Risiken ausschließen. Diese<br />

Regelwerke adressieren explizit die Automatisierungstechnik.<br />

Sie sind heute „Treiber“ für neue <strong>Security</strong>-Werkzeuge,<br />

welche die verschiedenen Maßnahmen<br />

und Technologien zum Schutz beinhalten.<br />

2 | Wie zahlreiche Veröffentlichungen, unter anderem<br />

[6], [7], belegen, ist es nicht möglich, die <strong>Security</strong>-<br />

Werkzeuge aus der IT-Welt ohne Anpassungen auf<br />

Systeme der Automatisierungstechnik zu übertragen.<br />

Die speziellen Anforderungen aus der Automatisierungstechnik,<br />

aus den Regelwerken wie auch unterschiedliche<br />

Anwenderanforderungen sind zwingend<br />

zu berücksichtigen. Die Mechanismen, Maßnahmen<br />

und Technologien aus der IT-Welt adressieren diese<br />

Anforderungen nicht explizit. Sowohl die Umsetzung<br />

von Anforderungen und Regelwerken als auch die<br />

Entwicklung der Werkzeuge sind unter anderem damit<br />

verbunden, dass bestimmte Aufgaben und Verantwortlichkeiten<br />

entstehen. Diese sollen zwischen<br />

Anlagenbetreibern, Integratoren, Herstellern und<br />

gegebenenfalls Verbänden und Normungsgremien<br />

klar verteilt werden. Ein guter Wegweiser für die Verteilung<br />

der Aufgaben und Verantwortlichkeiten ist in<br />

der Richtlinie VDI 2182 [8] beschrieben.<br />

Im Automatisierungsumfeld werden zunehmend spezielle<br />

Gesamtlösungen entwickelt und evaluiert [12], [13].<br />

Diese Lösungen erfüllen die oben genannten Anforderungen<br />

wie die Ansätze für Risikoanalysen, Berücksichtigung<br />

von funktionaler Sicherheit sowie neuen Sicherheitsstrategien.<br />

Essenziell wichtig sind ganzheitliche <strong>Security</strong>-<br />

Konzepte für die industrielle Automatisierung [11].<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

35


Hauptbeitrag<br />

Im folgenden Abschnitt wird das im Kontext der (Prozess-)Automatisierungstechnik<br />

stehende Software-Werkzeug<br />

<strong>Security</strong> Station vorgestellt, welches die beiden<br />

zuvor beschriebenen Punkte adressiert.<br />

2. <strong>Security</strong> Station<br />

2.1. Konzept<br />

Bild 1 zeigt die strukturelle Einordnung der <strong>Security</strong> Station<br />

in ein Prozessleitsystem (PLS). Die Operator Station<br />

sowie die <strong>Security</strong> Station können gemeinsam auf einem<br />

PC oder auf zwei separaten PCs laufen. Wichtig ist lediglich,<br />

dass das auf der Engineering Station vorhandene<br />

Projekt mit der jeweiligen anlagenspezifischen Hardwarekonfiguration<br />

nach jeder Aktualisierung automatisch<br />

auf die <strong>Security</strong> Station übertragen wird. Diese erstellt<br />

eine Abbildung für das <strong>Security</strong> <strong>Management</strong> und<br />

dessen Visualisierungssystem. Dabei ist das Visualisierungssystem<br />

entweder integraler Bestandteil der <strong>Security</strong><br />

Station oder einer entsprechenden Einheit (zum Beispiel<br />

Operator Station, Engineering Station) des PLS.<br />

Das Visualisierungssystem stellt die gesamte Hardware-Struktur<br />

des jeweiligen automatisierten technischen<br />

Systems mit ihren diagnosefähigen Komponenten<br />

hierarchisch dar. Zu diesen Komponenten zählen beispielsweise<br />

die Rechnersysteme, Controller, Netzwerkkomponenten<br />

und intelligente Feldgeräte.<br />

Das Konzept der <strong>Security</strong> Station basiert auf einer bereits<br />

vorhandenen Maintenance Station und sieht vor, die <strong>Security</strong><br />

Station und somit das <strong>Security</strong> <strong>Management</strong> in ein PLS<br />

zu integrieren und parallel zur Anlagenautomatisierung<br />

laufen zu lassen. So werden die vorhandenen Sichten (wie<br />

Betriebssicht, Maintenance-Sicht) um eine zusätzliche, integrierte<br />

<strong>Security</strong>-Sicht auf die Anlage ergänzt. Des Weiteren<br />

lässt sich das vorhandene Melde- und Archivierungssystem<br />

nutzen, um die <strong>Security</strong> Events zu verarbeiten.<br />

Durch die Integration sowie den parallelen Betrieb kann<br />

ein einmal eingestelltes optimales Schutzniveau über den<br />

gesamten Lebenszyklus einer Anlage sichergestellt werden,<br />

da die <strong>Security</strong> Station Änderungen im Schutzniveau zeitnah<br />

erkennt und meldet, sodass auf diese Änderungen sofort<br />

reagiert werden kann. Überdies kann das Schutzniveau in<br />

bestimmten Fällen durch die <strong>Security</strong> Station selbst (beispielsweise<br />

durch Aktivierung oder Deaktivierung entsprechender<br />

Schutzmechanismen) automatisch angepasst werden.<br />

Somit ist eine wichtige Voraussetzung für die Sicherstellung<br />

des bestimmungsgemäßen und insbesondere im<br />

Sinne von <strong>Security</strong> sicheren Betriebes der Anlage erstellt.<br />

Der Schutz der Anlage wird unter Verwendung unterschiedlicher<br />

<strong>Security</strong>-Mechanismen und -Maßnahmen realisiert.<br />

2.2 Prototypische Implementierung<br />

In der Tabelle 1 sind ausgewählte Funktionen aufgelistet,<br />

welche in der <strong>Security</strong> Station realisiert wurden.<br />

Der bestehende, auf Basis der Maintenance Station entwickelte<br />

Prototyp der <strong>Security</strong> Station kann Rechnersysteme,<br />

wie Operator Station, Controller, Netzwerkkomponenten,<br />

Feldgeräte mit integrierten <strong>Security</strong>-Mechanismen,<br />

sowie weitere Komponenten eines automatisierten<br />

technischen Systems überwachen. In Bild 2 wird der<br />

Startbildschirm der <strong>Security</strong> Station mit einzelnen Komponenten-Bildbausteinen<br />

und Symbolbildern dargestellt.<br />

2.3. Zwischenfazit<br />

Die Akzeptanz hinsichtlich der <strong>Security</strong> Station wurde bei<br />

zahlreichen Vorführungen abgefragt. Die hohe Akzeptanz<br />

resultierte vor allem aus der Gewährleistung einer komfortablen<br />

kontinuierlichen Überwachung aller <strong>Security</strong>-relevanten<br />

Ereignisse in einer Anlage sowie einer zeitnahen<br />

und angemessenen Reaktion auf diese Ereignisse. Die Diskussionen,<br />

zum Beispiel ob die <strong>Security</strong> Station generell auf<br />

einem separaten Rechner oder auf einem Rechner gemeinsam<br />

mit der Operator Station laufen sollte und somit der<br />

Operator (der in der Regel keine fundierten IT- beziehungsweise<br />

IT-<strong>Security</strong>-Kenntnisse hat) mit <strong>Security</strong>-relevanten<br />

Meldungen konfrontiert werden sollte, zeigten auf, dass<br />

ausgewählte Funktionen, je nach Anwendungsfall, unterschiedlich<br />

zu realisieren sind. Die Akzeptanz des Werkzeugs<br />

wurde dadurch nicht beeinträchtigt.<br />

Im Rahmen der langjährigen Arbeiten wuchs jedoch die<br />

Erkenntnis, dass der ursprünglich smarte Ansatz mit seinen<br />

Vorteilen, die <strong>Security</strong> Station basierend auf der Maintenance<br />

Station zu realisieren, sich als perspektivisch nachteilig<br />

erweist. Dafür gibt es vor allem drei Gründe:<br />

Bei der typischerweise kontinuierlichen Weiterentwicklung<br />

eines PLS ist ein integriertes Werkzeug wie<br />

die <strong>Security</strong> Station stets weiterzuentwickeln.<br />

Ein grundsätzlicher Wechsel im Konzept eines PLS<br />

zieht ein neues Konzept und Implementierungen in<br />

einem intergrierten Werkzeug wie der <strong>Security</strong> Station<br />

nach sich.<br />

Die Kompatibilität eines in ein spezifisches PLS integrierten<br />

Werkzeugs mit einem weiteren PLS ist nicht<br />

sichergestellt – der Einsatz in Anlagen mit mehr als<br />

einem PLS ist nur suboptimal realisierbar.<br />

Eine zweckmäßige Alternative zum integrierten Tool ist ein<br />

Werkzeug, welches unabhängig von spezifischen Produkten<br />

ist und klar definierte Schnittstellen besitzt. Somit ist es flexibel<br />

im Kontext von PLS und SCADA-Systemen (Supervisory<br />

Control und Data Acquisition) einsetzbar. Ferner ist es sinnvoll,<br />

bei der Erarbeitung eines neuen Konzeptes für ein <strong>Security</strong><br />

<strong>Management</strong> im Kontext der Automatisierungstechnik die<br />

Entwicklungen hinsichtlich von Enterprise SIEM (<strong>Security</strong><br />

Information-Event <strong>Management</strong>) in der IT zu berücksichtigen.<br />

Unter Berücksichtigung des im Enterprise-Bereich inzwischen<br />

etablierten Begriffes SIEM werden Werkzeuge,<br />

die ein <strong>Security</strong> Information Event <strong>Management</strong> in der<br />

industriellen Automatisierung realisieren und somit eine<br />

kontinuierliche Überwachung des Schutzniveaus einer<br />

Anlage ermöglichen, im Weiteren als Industrial SIEM bezeichnet.<br />

Im folgenden Abschnitt wird das Konzept eines<br />

Industrial SIEMs beschrieben [9].<br />

3. Industrial SIEM<br />

3.1 Enterprise SIEM versus Industrial SIEM<br />

Die überwiegende Anzahl angebotener SIEM ist für Enterprise-Netzwerke<br />

entwickelt worden. Sie erfordern somit<br />

36<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Engineering<br />

station<br />

Projektierungsdaten,<br />

Hardwarestruktur<br />

<strong>Security</strong><br />

station<br />

Ethernet<br />

AS<br />

AS<br />

Firewall<br />

Profibus-DP<br />

Wireless HART<br />

Profibus-PA<br />

<strong>Security</strong>-Zelle<br />

Bild 1: Strukturelle Einordnung der <strong>Security</strong> Station<br />

im Kontext eines Prozessleitsystems<br />

Bild 2: Startbildschirm des bestehenden Prototyps<br />

der <strong>Security</strong> Station<br />

Funktion<br />

Fkt. 1<br />

Fkt. 2<br />

Fkt. 3<br />

Fkt. 4<br />

Fkt. 5<br />

Fkt. 6<br />

Beschreibung<br />

Nahtlose Integration in ein PLS und SCADA-System, das heißt jedes PLS-Projekt kann mit einer zusätz lichen<br />

<strong>Security</strong>-Sicht (analog zur Maintenance-Sicht) ergänzt werden.<br />

Automatische Generierung einer umfassenden integrierten <strong>Security</strong>-Sicht in der Hardware-Konfiguration des<br />

entsprechen PLS oder SCADA-Systems.<br />

Übersichtliche Visualisierung des <strong>Security</strong>-Zustands der eingebundenen Komponenten mit einheitlichen Symbolbildern.<br />

Jede Komponente stellt dabei ihre individuellen Funktionalitäten im Gesamtkonzept zur Verfügung.<br />

Erfassung, Auswertung und Archivierung von <strong>Security</strong> Events aller relevanten Komponenten unter Verwendung<br />

von Mechanismen des PLS und SCADA-Systems<br />

Einstellung des Soll- und Ist-Zustands der <strong>Security</strong>-relevanten Parameter (zum Beispiel Schutzstufen einer CPU).<br />

Erzeugung von <strong>Security</strong>-relevanten Meldungen (kategorisiert in „Alarm“, „Anforderung“ und „Bedarf“) im Falle<br />

eines erkannten unberechtigten Zugriffs oder bei einer identifizierten Abweichung des Ist-<strong>Security</strong>-Zustands einer<br />

Komponente von dem voreingestellten Soll-<strong>Security</strong>-Zustand.<br />

Tabelle 1: Funktionen der <strong>Security</strong> Station<br />

Funktion<br />

Beschreibung<br />

Funktion <strong>Security</strong> Station<br />

( in der Tabelle 1)<br />

Fkt. 7<br />

Erfassung, Auswertung und Archivierung von <strong>Security</strong> Events aller relevanten<br />

Komponenten<br />

Fkt. 4<br />

Fkt. 8 Senden von Alarmen und Meldungen an die Operator Station (bei Bedarf) Fkt. 6<br />

Fkt. 9 Senden von SMS oder E-Mails an zuständige Personen (bei Bedarf) nicht umgesetzt<br />

Fkt. 10 Generierung von Reports Fkt. 4<br />

Fkt. 11 Weiterleitung von erfassten <strong>Security</strong> Events an Enterprise SIEM (bei Bedarf). nicht vorgesehen<br />

Tabelle 2: Funktionen des Industrial SIEM<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

37


Hauptbeitrag<br />

die Normalisierung von eingehenden <strong>Security</strong>-relevanten<br />

Ereignissen, im Weiteren als <strong>Security</strong> Events bezeichnet.<br />

Beispiele dafür sind ein erkannter fehlgeschlagener Anmeldeversuch<br />

an einem PC (der im Windows Event Log<br />

erfasst wird) und ein erkannter unberechtigter Zugriff auf<br />

eine IP-Adresse, der durch eine Firewall abgewehrt und<br />

gegebenenfalls in eine Logdatei geschrieben wird. Die<br />

Normalisierung wird in der Regel als Abbildung von einzelnen<br />

Bestandteilen beziehungsweise Parametern der<br />

eingehenden Events auf die Datenstruktur des SIEM realisiert.<br />

Dies ist die Aufgabe der Konnektoren. Gängig sind<br />

vorgefertigte Konnektoren zur Integration von Syslogund/oder<br />

SNMP-fähigen Komponenten wie Switches,<br />

Firewalls und Routern sowie vorgefertigte Konnektoren<br />

zur Integration von Windows-Komponenten über die<br />

WMI-Schnittstelle, siehe zum Beispiel [14].<br />

Bei genauerer Betrachtung sind Enterprise SIEM im<br />

Umfeld der Automatisierungstechnik weniger geeignet.<br />

Folgende Punkte verdeutlichen dies:<br />

Im Enterprise-Umfeld erfassen SIEM nicht selten die<br />

<strong>Security</strong> Events einiger tausend Komponenten – hingegen<br />

ist die Anzahl dieser Komponenten in einem<br />

Automatisierungssystem deutlich geringer.<br />

Die Höhe des Datenaufkommens im Automatisierungsumfeld<br />

ist im ungestörten Fall deutlich genauer<br />

vorhersagbar.<br />

Die Enterprise SIEM werden typischerweise als Appliance<br />

(Hardware, die nur einem einzigen Zweck,<br />

in diesem Fall nämlich nur dem Firewall-Zweck<br />

dient) mit Linux-Betriebssystem verkauft, was gegebenenfalls<br />

eine Anpassung hinsichtlich eines Windows-Betriebssystems<br />

notwendig macht<br />

Die Enterprise SIEM sind sehr leistungsfähig und<br />

dementsprechend sehr teuer, was im Automatisierungsumfeld<br />

ein Ausschlusskriterium darstellt<br />

Des Weiteren reichen die zum Standardumfang eines<br />

Enterprise SIEM gehörenden Konnektoren erfahrungsgemäß<br />

nicht aus, um die herstellerspezifischen Automatisierungskomponenten<br />

einzubinden, die häufig proprietäre<br />

Transportwege zur Weiterleitung von <strong>Security</strong> Events verwenden.<br />

Die notwenige Anpassung erfordert einen hohen<br />

Aufwand, was sich wiederum in erhöhten Kosten für den<br />

Kunden der Automatisierungstechnik niederschlägt.<br />

3.2 Funktionen eines Industrial SIEM<br />

Ein Industrial SIEM besitzt klar definierte Schnittstellen<br />

zum verwendeten PLS und/oder SCADA-System und läuft<br />

auf einem separaten Rechner. Somit werden die zuvor<br />

genannten Defizite der <strong>Security</strong> Station vermieden. In der<br />

Tabelle 2 werden ausgewählte Funktionen eines Industrial<br />

SIEM aufgelistet und der Bezug zu den Funktionen<br />

der <strong>Security</strong> Station hergestellt.<br />

Für die Realisierung der Funktion 7 sind folgende Vorarbeiten<br />

notwendig:<br />

Spezifikation der in relevanten Komponenten zu erfassenden<br />

<strong>Security</strong> Events,<br />

Spezifikation der für die Übertragung der Events an<br />

das Industrial SIEM zu verwendenden Transportwege,<br />

Spezifikation eines einheitlichen Formats, in welchem<br />

alle erfassten <strong>Security</strong> Events durch das Industrial<br />

SIEM ausgewertet und archiviert werden sollen.<br />

Im Zusammenhang mit den Funktionen 7 und 8 ist zu<br />

beachten, dass zur Absicherung der Kommunikation zwischen<br />

allen relevanten Komponenten einer Anlage und<br />

dem Industrial SIEM gegen unberechtigte Zugriffe adäquate<br />

Vorkehrungen zu treffen sind. Dies gilt auch bezüglich<br />

der Kommunikation zwischen dem Industrial<br />

SIEM und der Operator Station. Beispielsweise kann je<br />

nach Anwendungsfall die Verwendung von bestimmten<br />

Schutzmechanismen erforderlich sein.<br />

Wie aus den Beschreibungen in Abschnitt 3 hervorgeht,<br />

sind die Schwerpunkte eines Industrial SIEM<br />

Referenzen<br />

[1] International Electrotechnical Commission: IEC 62443,<br />

Industrial communication networks – Network and system<br />

security<br />

[2] Industry Standard Architecture: ISA99.03.03, <strong>Security</strong> for<br />

industrial automation and control systems - System<br />

security requirements and security assurance levels, 2010<br />

[3] Standard CIP–007–3 — Cyber <strong>Security</strong> — Systems <strong>Security</strong><br />

<strong>Management</strong>, 2009<br />

[4] U.S. Department of Homeland <strong>Security</strong> and the Chemical<br />

Sector Coordinating Council: Roadmap to Secure Control<br />

Systems in the Chemical Sector, 2009. Verfügbar unter:<br />

http://www.uscert.gov/control_systems/pdf/ChemSec_<br />

Roadmap.pdf, zuletzt geprüft am 15.07.2011<br />

[5] WIB, Report M-2784-X-10,Process Sontrol Domain -<br />

<strong>Security</strong> Requirements for Vendors, Version 2.0,<br />

2010<br />

[6] NAMUR: IT-Sicherheit für Systeme der Automatisierungstechnik:<br />

Randbedingungen für Maßnahmen beim Einsatz in der<br />

Prozessindustrie, Arbeitsblatt NA 115, 2006<br />

[7] Lüders, S.: Anforderungen an die Cyber-Sicherheit von<br />

Kontrollsystemen, CERN, 2006<br />

[8] Siemens AG: Sicherheitskonzept PCS 7 und WinCC, Verfügbar<br />

unter: http://support.automation.siemens.com/WW/llisapi.dll?<br />

func=cslib.csinfo&lang=de&siteid=csius&aktprim=0&extranet=<br />

standard&viewreg=WW&objid=38616083&treeLang=de,<br />

zuletzt geprüft am 05.07.2011<br />

[9] Kobes, P.; Gummersbach, J.-L.; Palmin, A.; Talanis, T.; Schönmüller,<br />

B.: <strong>Security</strong> <strong>Management</strong> in der industriellen Automatisierung,<br />

In: Tagungsband der „Automation 2011“, Baden-Baden 2011<br />

[10] VDI/VDE GMA FA 5.22: Informationssicherheit in der industriellen<br />

Automatisierung – Allgemeines Vorgehensmodell,<br />

Richtlinie VDI/VDE 2182, Blatt 1, 2007<br />

38<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


andere als bei einem Enterprise SIEM. Letzteres sammelt<br />

die durch diverse Komponenten der Automatisierungsanlage<br />

erfassten <strong>Security</strong> Events und versendet<br />

selektiv Meldungen an die Operator Station. Dabei<br />

muss darauf geachtet werden, dass eine Meldung nur<br />

dann erzeugt wird, wenn der Operator auch tatsächlich<br />

eingreifen muss. Weitere wichtige Unterscheidungsmerkmale<br />

eines Industrial SIEM sind der geringe Konfigurationsaufwand,<br />

die einfache Bedienbarkeit sowie<br />

ein überschaubarer Wartungsaufwand. Das Verarbeiten<br />

einer möglichst hohen Anzahl Events pro Sekunde und<br />

die sehr leistungsfähige und komplexe Korrelationsfunktion<br />

sind eher zweitrangig.<br />

Durch die Realisierung der genannten Funktionen<br />

werden sowohl eine schnelle Reaktion auf kritische <strong>Security</strong><br />

Events als auch forensische Auswertungen aller<br />

erfassten <strong>Security</strong> Events ermöglicht und die Anforderung<br />

nach Rückverfolgbarkeit erfüllt.<br />

Bild 3 veranschaulicht die wesentlichen Funktionen<br />

eines Industrial SIEM.<br />

Die Referenzklasse für die<br />

Automatisierungstechnik<br />

Erfahren Sie auf höchstem inhaltlichem Niveau,<br />

was die Automatisierungsbranche bewegt. Alle<br />

Hauptbeiträge werden im Peer-Review-Verfahren<br />

begutachtet, um Ihnen maximale inhaltliche<br />

Qualität zu garantieren.<br />

Genießen Sie ein einzigartiges Lektüreerlebnis,<br />

das ausgezeichnete Layout und die exklusive<br />

Produktausstattung.<br />

NEU<br />

Jetzt als Heft<br />

oder als ePaper<br />

erhältlich<br />

Fazit<br />

Ausgehend von Normen und Richtlinien wird gefordert,<br />

die <strong>Security</strong> in automatisierten technischen Systemen<br />

der Industrie zu erhöhen. Diese Standards sind in Zusammenarbeit<br />

von Anlagenbetreibern, Integratoren und<br />

Herstellern entstanden und für alle Parteien hilfreich<br />

und verbindlich.<br />

Eine kontinuierliche Überwachung des <strong>Security</strong>-Zustands<br />

eines solchen Systems ist dazu notwendig. Die Basis<br />

dafür ist, dass alle Komponenten des Automatisierungssystems<br />

relevante <strong>Security</strong> Events detektieren und an eine<br />

Einheit melden. Diese übergeordnete Einheit sammelt die<br />

<strong>Security</strong> Events und wertet sie aus, um Berichte zu generieren<br />

sowie, im Bedarfsfall, Alarme und Meldungen an die<br />

Operator Station eines PLS oder eines SCADA-Systems zu<br />

senden. Käufliche, für den Einsatz im Enterprise-Umfeld<br />

[11] Kästner, J.; Palmin, A.: <strong>Ganzheitliches</strong> <strong>Security</strong>-Konzept<br />

für die industrielle Automatisierung, In: Tagungsband der<br />

„Automation 2008“, Baden-Baden, 2008<br />

[12] ARC Advisory Group: Risiko als Anstoß für verstärkte<br />

Investitionen in die Cybersicherheit von Industriesteuerungen,<br />

Whitepaper, 2011. Verfügbar unter:<br />

http://www.industry.siemens.com/topics/global/en/<br />

industrialsecurity/Documents/ARC-Siemens-Cyber<strong>Security</strong>-<br />

2011-v1_d.pdf, zuletzt geprüft am 15.07.2011<br />

[13] Siemens AG, Industrial <strong>Security</strong>, Webseite, 2011. Verfügbar<br />

unter: http://www.industry.siemens.com/topics/global/de/<br />

industrialsecurity/seiten/Default.aspx, zuletzt geprüft am<br />

15.07.2011<br />

[14] Schwenkler, T.: Sicheres Netzwerkmanagement: Konzepte,<br />

Protokolle, Tools, Springer-Verlag, Berlin Heidelberg, 2006<br />

Wählen Sie einfach das Bezugsangebot,<br />

das Ihnen zusagt!<br />

· Als Heft das gedruckte, zeitlos-klassische Fachmagazin<br />

· Als ePaper das moderne, digitale Informationsmedium für<br />

Computer, Tablet oder Smartphone<br />

· Als Heft + ePaper die clevere Abo-plus-Kombination<br />

ideal zum Archivieren<br />

Alle Bezugsangebote und Direktanforderung<br />

finden Sie im Online-Shop unter<br />

www.<strong>atp</strong>-online.de<br />

Oldenbourg Industrieverlag<br />

www.<strong>atp</strong>-online.de<br />

<strong>atp</strong> <strong>edition</strong> erscheint in der Oldenbourg Industrieverlag GmbH, Rosenheimer Str. 145, 81671 München


Hauptbeitrag<br />

Enterprise<br />

SIEM<br />

Verdichtete<br />

<strong>Security</strong><br />

Events<br />

<strong>Security</strong><br />

Log<br />

entwickelte, SIEM-Systeme eignen sich nicht für diese Aufgabe.<br />

Es müssen speziell für die Automatisierungstechnik<br />

angepasste SIEM-Systeme entwickelt werden.<br />

Die Bestrebungen, eine SIEM-Funktionalität für die Systeme<br />

der industriellen Automatisierung anzubieten, ist die<br />

Operator<br />

Station<br />

Alarme,<br />

Meldungen<br />

Industrial SIEM<br />

GUI<br />

Reporting<br />

Tool<br />

Correlation<br />

Engine<br />

E-Mails,<br />

SMS<br />

Reports<br />

Customer<br />

Connector<br />

Syslog<br />

Connector<br />

SNIP Trap<br />

Connector<br />

Bild 3: Ein möglicher Aufbau<br />

eines Industrial SIEM<br />

<strong>Security</strong> Events<br />

Firewall<br />

Switch<br />

SPS<br />

PC-Station<br />

Weitere Komponenten<br />

Antwort von Herstellern dieser Systeme auf neue Risiken<br />

– häufig ausgehend von verwendeten IT-Technologien – und<br />

entsprechenden Anforderungen der wichtigsten Standards.<br />

Ein ganzheitliches, <strong>anlagenweites</strong> <strong>Security</strong> <strong>Management</strong><br />

– wie der im Rahmen der Arbeiten zu einer <strong>Security</strong> Station<br />

angestrebte und im vorliegenden Beitrag dargestellte –<br />

beinhaltet zudem Funktionalitäten, welche weder ein<br />

Enterprise SIEM noch ein Industrial SIEM bereitstellt. Zu<br />

dieser Funktionalität zählt beispielsweise eine optimale<br />

und gegebenenfalls automatische Anpassung des Schutzniveaus<br />

eines automatisierten technischen Systems. Diese<br />

Anpassung kann beispielsweise durch Aktivierung beziehungsweise<br />

Deaktivierung von entsprechenden Diensten,<br />

Einstellungen und Schutzmechanismen beziehungsweise<br />

deren Konfiguration realisiert werden. Im Rahmen der<br />

Vielzahl perspektivisch noch anstehenden Aufgaben im<br />

Umfeld „<strong>Security</strong>“ sind unter anderem diese Funktionalitäten<br />

zu diskutieren.<br />

Manuskripteingang<br />

06.12.2011<br />

Danksagung<br />

Im Peer-Review-Verfahren begutachtet<br />

Die Autoren danken Karl-Heinz Kirchberg für die<br />

gemeinsame Entwicklung des Konzepts und des<br />

Prototyps der <strong>Security</strong> Station. Weiterhin danken die<br />

Autoren Thomas Talanis und Bernd Schoen mueller<br />

sowie allen anderen beteiligten Kollegen des Sektors<br />

Industry für die gemeinsame erfolgreiche Arbeit am<br />

Konzept eines Industrial SIEM.<br />

Autoren<br />

Dipl.-Math. Anna<br />

Palmin (geb. 1973)<br />

ist Entwicklungsingenieurin<br />

im<br />

Themenfeld<br />

„<strong>Security</strong> in der<br />

Prozessautomatisierung“<br />

in der<br />

Vorfeldentwicklung<br />

des Sektors Industry der Siemens AG in<br />

Karlsruhe. Sie hat Mathematik mit dem<br />

Schwerpunkt Kryptographie an der<br />

Justus-Liebig-Universität Gießen<br />

studiert. Ihre Hauptarbeitsgebiete sind<br />

<strong>Security</strong> <strong>Management</strong>, <strong>Security</strong> als<br />

Systemeigenschaft sowie praktische<br />

Evaluierung von <strong>Security</strong>-Konzepten<br />

und <strong>Security</strong>-Mechanismen.<br />

Siemens AG – I IA ATS 3 1,<br />

Östliche Rheinbrückenstraße 50,<br />

D-76187 Karlsruhe,<br />

Tel. +49 (0) 721 595 63 41,<br />

E-Mail: anna.palmin@siemens.com<br />

Dr.-Ing. Stefan<br />

Runde (geb. 1980) ist<br />

Projektleiter für das<br />

Thema "Future Architectures<br />

for Process<br />

Automation" bei<br />

Siemens. Nach der<br />

Ausbildung zum<br />

Energieelektroniker,<br />

studierte er Elektro- und Informationstechnik<br />

an der FH Hannover und promovierte an<br />

der Helmut-Schmidt-Universität Hamburg.<br />

Seine Forschungsinteressen sind Beschreibungsmittel,<br />

Methoden und Werkzeuge für<br />

verbesserte Engineering-Unterstützung und<br />

Architekturen von Automatisierungssystemen<br />

unter Berücksichtigung von Qualität,<br />

Effizienz und Einfachheit.<br />

Siemens AG – I IA ATS 3 1,<br />

Östliche Rheinbrückenstraße 50,<br />

D-76187 Karlsruhe,<br />

Tel. +49 (0) 721 595 79 77,<br />

E-Mail: stefan.runde@siemens.com<br />

Dr.-Ing.<br />

Pierre Kobes<br />

(geb. 1954) ist<br />

Principal<br />

Engineer für das<br />

Thema „lT<br />

<strong>Security</strong> in<br />

Automation“ bei<br />

der Siemens AG<br />

in Karlsruhe. Er ist diplomierter<br />

Ingenieur der École Nationale<br />

Supérieure de Physique de Strasbourg<br />

und promovierte an der<br />

Universität Strasbourg.<br />

Siemens AG – I IA ATS 3 SP,<br />

Östliche Rheinbrückenstraße 50,<br />

D-76187 Karlsruhe,<br />

Tel. +49 (0) 721 59584 33,<br />

E-Mail: pierre.kobes@siemens.com<br />

40<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


ISO 26000<br />

in der Praxis<br />

Der Ratgeber zum Leitfaden<br />

für soziale Verantwortung<br />

und Nachhaltigkeit<br />

Eine Norm zur Verbesserung der Welt?<br />

Nein, die ISO 26000 ist ein Leitfaden – nicht mehr, aber auch nicht weniger!<br />

Auch wenn die ISO 26000 kein zertifizierbarer <strong>Management</strong>system-Standard<br />

und die Anwendung freiwillig ist, wird ihre Tragweite für Unternehmen<br />

beträchtlich sein. Denn sie ist ein Leitfaden, der anhand von beispielhaften Verhaltensregeln<br />

(Best Practices) Orientierung gibt, wie sich Organisationen verhalten<br />

sollten, damit sie nach internationalem Verständnis als gesellschaftlich<br />

verantwortungsvoll angesehen werden. Er stimmt sowohl mit den Richtlinien<br />

der Vereinten Nationen UN als auch mit den Richtlinien der internationalen<br />

Arbeitsorganisation ILO überein. Im besonderen Fokus dieses höchst aktuellen<br />

Ratgebers steht das Wirtschaftsleben im Zeitalter der Globalisierung.<br />

Hrsg.: K.-C. Bay<br />

1. Auflage 2010, 228 Seiten, Hardcover<br />

Oldenbourg Industrieverlag München<br />

www.oldenbourg-industrieverlag.de<br />

✁<br />

Sofortanforderung per Fax: +49 (0)201 / 82002-34 oder im Fensterumschlag einsenden<br />

Ja, ich bestelle gegen Rechnung 3 Wochen zur Ansicht<br />

Ex.<br />

ISO 26000 in der Praxis<br />

1. Auflage 2010 – ISBN: 978-3-8356-3222-6<br />

für € 49,90 (zzgl. Versand)<br />

Die bequeme und sichere Bezahlung per Bankabbuchung wird<br />

mit einer Gutschrift von € 3,- auf die erste Rechnung belohnt.<br />

Firma/Institution<br />

Vorname, Name des Empfängers<br />

Straße/Postfach, Nr.<br />

PLZ, Ort<br />

Telefon<br />

Telefax<br />

E-Mail<br />

Antwort<br />

Vulkan Verlag GmbH<br />

Versandbuchhandlung<br />

Postfach 10 39 62<br />

45039 Essen<br />

Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von zwei Wochen ohne Angabe von Gründen in<br />

Textform (z.B. Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt<br />

dieser Belehrung in Textform. Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Absendung des Widerrufs<br />

oder der Sache an die Vulkan-Verlag GmbH, Versandbuchhandlung, Huyssenallee 52-56, 45128 Essen.<br />

Branche/Wirtschaftszweig<br />

Bevorzugte Zahlungsweise Bankabbuchung Rechnung<br />

Bank, Ort<br />

Bankleitzahl<br />

Kontonummer<br />

✘<br />

Datum, Unterschrift PAISO12010<br />

Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit einverstanden, dass ich vom<br />

Oldenbourg Industrieverlag oder vom Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über interessante, fachspezifische Medienund Informationsangebote informiert und beworben werde. Diese Erklärung kann<br />

ich mit Wirkung für die Zukunft jederzeit widerrufen.


hauptbeitrag<br />

Hardware-basierte<br />

Informationssicherheit<br />

Einsatz von <strong>Security</strong>-Token-Technologien<br />

Die Nutzung Ethernet-basierter Kommunikationssysteme in der Automatisierungstechnik<br />

erfordert zunehmend den Einsatz von IT-<strong>Security</strong>-Maßnahmen zum Schutz der Automatisierungsnetzwerke.<br />

Ausgehend von einer Darstellung der IT-<strong>Security</strong>-Schutzziele beschreibt<br />

dieser Beitrag Maßnahmen zur Erhöhung der Informationssicherheit von Automatisierungskomponenten<br />

beziehungsweise der Datenkommunikation, wobei hardwarebasierte<br />

Komponenten zur Informationssicherheit beitragen können.<br />

SCHLAGWÖRTER Informationssicherheit / Ethernet / Automatisierungsnetzwerk /<br />

<strong>Security</strong> Token<br />

Hardware-based IT security –<br />

<strong>Security</strong> Token Technologies in Automation<br />

The use of Ethernet-based communication systems in automation requires IT security<br />

measures to protect the automation networks. Based on the IT security objectives, methods<br />

are described to protect the automation components and communications infrastructure,<br />

including ways in which hardware-based components can be used to ensure security.<br />

KEYWORDS IT <strong>Security</strong> / Ethernet / Automation Network / <strong>Security</strong> Token<br />

42<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Markus Runde, Karl-Heinz Niemann, Christopher Tebbe, Hochschule Hannover<br />

Der verstärkte Einsatz Ethernet-basierter Kommunikationssysteme<br />

in der Automatisierungstechnik<br />

erleichtert die vertikale Integration von der<br />

Feldebene bis zur Betriebsleitebene [1]. Eine Anbindung<br />

an das Internet ermöglicht darüber hinaus<br />

eine globale Vernetzung der Automatisierungskomponenten,<br />

zum Beispiel für Remote Services.<br />

Diese zunehmende Vernetzung führt zu einer Ausbreitung<br />

der IT-<strong>Security</strong>-Probleme aus der Bürowelt auf die Ebene der<br />

Automatisierung (beispielsweise Malware). Dadurch wächst<br />

der Bedarf an Maßnahmen zum Schutz der IT-<strong>Security</strong> von<br />

Automatisierungsanlagen. Inzwischen befassen sich Institutionen,<br />

wie IEC [2] und VDI/GMA [3], sowie Hersteller- und<br />

Anwendervereinigungen, wie die Profibus-Nutzerorganisation<br />

[4] und die ODVA [5], mit der Informationssicherheit in<br />

der Automatisierungstechnik. Maßgeblich werden hier Vorgaben<br />

zu einem Information <strong>Security</strong>-<strong>Management</strong>-System<br />

(ISMS) [6] sowie technische, personelle und organisatorische<br />

Maßnahmen behandelt, die im Wesentlichen an allgemeine<br />

Informations-Sicherheitskonzepte angelehnt sind. Bild 1<br />

zeigt die Struktur einer Automatisierungsanlage, wobei diese<br />

Vorgaben berücksichtigt werden.<br />

Die Vorgaben beschreiben primär den Aufbau einer Automatisierungsanlage,<br />

bei der Teilnetze, zum Beispiel durch<br />

Firewalls, abgeschottet werden. Innerhalb dieser Teilnetze<br />

gilt die Kommunikation als abgesichert (Trusted Zones). In<br />

[7] wird jedoch beschrieben, dass es möglich ist, Datenströme<br />

innerhalb dieser Teilnetze zu verfälschen und somit die Steuerung<br />

und die Sicherheit der Anlage zu beeinflussen. Um<br />

diesen Einfluss einzugrenzen, sind Maßnahmen erforderlich,<br />

die den Schutz der Anlage verbessern. Als Ausgangspunkt<br />

dienen die Schutzziele der Informationssicherheit.<br />

Dieser Beitrag beschreibt einen komponentenbasierten<br />

Schutz der Kommunikationsinfrastruktur von auf Ethernet<br />

basierenden Automatisierungsnetzwerken, welcher im Rahmen<br />

des vom Bundesministerium für Bildung und Forschung<br />

geförderten Projekts „Sichere Produktion in verteilten Automatisierungsanlagen<br />

(SEC_PRO)“ erarbeitet werden. Dabei<br />

verfolgt das Vorhaben den Einsatz von Hardware-basierten<br />

<strong>Security</strong>-Token-Technologien zur Wahrung der Informationssicherheit<br />

in automatisierungstechnischen Anlagen.<br />

1. Definition der IT-Schutzziele und MaSSnahmen<br />

Die Durchsetzung von Schutzzielen ist zur Erhaltung<br />

der IT-<strong>Security</strong> von datenhaltenden Systemen maßgeblich.<br />

Dabei ist es die Aufgabe der IT-<strong>Security</strong>-Maßnahmen,<br />

Beeinträchtigungen des Systems abzuwenden.<br />

Hieraus ergeben sich definierte IT-Schutzziele,<br />

die für Büro und Automatisierung gelten. Die Schutzziele<br />

folgen den allgemeinen in der IT-Sicherheit gültigen<br />

Vorgaben.<br />

Insbesondere die Verfügbarkeit, Vertraulichkeit und Integrität<br />

werden in Übereinstimmung mit den Ausführungen<br />

in [3] als grundlegende Schutzziele aufgeführt. Häufig<br />

wird diesen Schutzzielen in Anwendungen der Automatisierungstechnik<br />

eine andere Priorität zugeordnet als in<br />

der Bürowelt [2].<br />

1.1 Maßnahmen zur Erfüllung der Schutzziele<br />

Auch innerhalb von geschützten Bereichen ist ein Angriff<br />

auf Automatisierungskomponenten denkbar. Folglich ist<br />

die Einbindung der Automatisierungsgeräte selbst zur<br />

Wahrung der IT-Schutzziele sinnvoll. Dazu können kryptografische<br />

Maßnahmen angewendet werden, die bereits<br />

in der Standard-IT üblich sind [8]. Nachfolgend werden<br />

diese Maßnahmen erläutert [9] [10].<br />

Authentizität und Verbindlichkeit<br />

Die Authentizität von Netzwerkteilnehmern wird über<br />

den Austausch eindeutiger Identifikationsmerkmale sichergestellt.<br />

Bild 3 zeigt die Abfolge zur Authentifizierung<br />

zweier Teilnehmer.<br />

Die Nutzung der eindeutigen Identifikationsmerkmale<br />

ermöglicht darüber hinaus eine direkte Zuordnung von<br />

Vorgängen zu bestimmten Teilnehmern in einem Netzwerk.<br />

Hierdurch kann das Schutzziel der Nichtabstreitbarkeit<br />

erfüllt werden. Teil der Identifikationsmerkmale können<br />

zudem zusätzliche Daten enthalten, die der weiteren Absicherung<br />

der Kommunikation dienen. Ein Beispiel wäre der<br />

Austausch von Sitzungsschlüsseln.<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

43


Hauptbeitrag<br />

Bild 2: Grundlegende Schutzziele<br />

der Informationssicherheit [3]<br />

Verfügbarkeit<br />

Vertraulichkeit<br />

Integrität<br />

Nichtabstreitbarkeit<br />

Authentizität<br />

sonstige<br />

Schutzziele<br />

Bild 1: IT-<strong>Security</strong>-Maßnahmen in Automatisierungsnetzwerken<br />

Header Klartext Trailer<br />

Header Anfrage Idenfikaonsmerkmal T1 Trailer<br />

Erstellen einer<br />

Prüfsumme der Daten mit<br />

geheimen Schlüssel<br />

Prüfsumme<br />

Header Anfrage Idenfikaonsmerkmal T1 Trailer<br />

Header<br />

Klartext<br />

Verschlüsselte<br />

Prüfsumme<br />

Trailer<br />

Bild 3: Authentifizierungsvorgang<br />

Bild 5: Schutz der Integrität der Daten<br />

Header Klartext Trailer<br />

Header Klartext Trailer<br />

Verschlüsseln<br />

der Daten<br />

Header Klartext Trailer<br />

Header<br />

Verschlüsselter Text<br />

Trailer<br />

Bild 4: Ungesicherte Datenkommunikation<br />

Bild 6: Schutz der Vertraulichkeit der Daten<br />

Integrität und Vertraulichkeit<br />

Die Übertragung von Daten in einem Netzwerk erfolgt in<br />

der Regel im Klartext (Bild 4). Dies kann sinnvoll sein, da<br />

sich die Kommunikation im Wartungsfall mit einem Diagnosegerät<br />

analysieren lässt. Allerdings stellt die Datenübertragung<br />

im Klartext ein potenzielles Informationssicherheitsrisiko<br />

dar [7].<br />

Zum Schutz der Daten werden zwei Ansätze verfolgt,<br />

um die Integrität beziehungsweise die Vertraulichkeit der<br />

Daten zu erhalten [10].<br />

Schutz der Integrität: Um eine Datenintegrität zu erzielen,<br />

sind Prüfsummenverfahren zu verwenden, die Manipulationen<br />

an den übertragenen Informationen erkennbar<br />

machen (siehe Bild 5).<br />

Eine sichere Prüfsumme wird mit Hilfe eines gemeinsamen<br />

Geheimnisses erzeugt, dass der Empfänger und<br />

der Sender kennen. Dazu wird das Geheimnis (Schlüssel)<br />

während der Erzeugung der Prüfsumme so eingebunden,<br />

dass ein Berechnen der Prüfsumme durch einen Dritten,<br />

der nicht über den Schlüssel verfügt, unmöglich ist. Bei<br />

diesem Verfahren bleiben die Daten weiterhin lesbar<br />

(beispielsweise mit einem Netzwerkdiagnosewerkzeug<br />

wie Wireshark). Veränderungen an den Inhalten sind<br />

jedoch erkennbar.<br />

Schutz der Vertraulichkeit: Die Erhaltung der Vertraulichkeit<br />

der zu übertragenden Daten lässt sich durch eine<br />

Verschlüsselung erreichen, welche mit Hilfe eines gemeinsamen<br />

Geheimnisses durchgeführt wird (siehe Bild 7).<br />

Bei der Verschlüsselung werden die Ursprungsdaten<br />

durch die verschlüsselten Daten unter Anwendung eines<br />

gemeinsamen geheimen Schlüssels ersetzt. In diesem Fall<br />

sind die Daten durch Dritte nicht mehr lesbar, auch nicht<br />

für ein Netzwerkdiagnosewerkzeug.<br />

Nachweis der Verfügbarkeit<br />

Eine häufig erfolgreiche Angriffsstrategie ist, einzelne Komponenten<br />

außer Gefecht zu setzen und durch Angreiferkomponenten<br />

zu ersetzen. Im Sinne der Informationssicherheit<br />

können Maßnahmen getroffen werden, die die Verfügbarkeit<br />

eines Teilnehmers beziehungsweise einer Verbindung zweifelsfrei<br />

nachweisen. Dazu werden kryptografische Merkmale<br />

eingesetzt. Diese dürfen durch unautorisierte Dritte nicht<br />

reproduzierbar sein. Das einfachste Beispiel hierfür ist die<br />

Verwendung von verschlüsselten Sequenznummern.<br />

44<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


1.2 Herausforderung bei der Erfüllung<br />

der Schutzziele<br />

Neben organisatorischen und personellen kommen technische<br />

Maßnahmen, wie Firewalls, zum Einsatz, um die<br />

Schutzziele zu wahren. Entsprechende Maßnahmen<br />

können durch den Einsatz von kryptografischen Verfahren<br />

unterstützt werden. Dazu müssen Schlüsselinformationen<br />

sicher in den Baugruppen der Automatisierungsanlage<br />

verwahrt werden.<br />

Dies stellt jedoch besondere Herausforderungen an Automatisierungsanlagen,<br />

was die Schlüsselverwahrung und<br />

Schlüsselverwaltung betrifft. Im Folgenden werden ein mögliches<br />

Verfahren zur sicheren Verwahrung von Schlüsselinformationen<br />

in Automatisierungskomponenten beschrieben<br />

und die Problematik der Schlüsselverwaltung behandelt.<br />

2. <strong>Security</strong>-Token-Technologien<br />

Für die Anwendung kryptografischer Verfahren werden<br />

Schlüsselinformationen benötigt, welche sicher verwahrt<br />

werden müssen. In der Regel liegen diese Schlüsselinformationen<br />

im Speicher des jeweiligen Automatisierungsgeräts<br />

vor. Diese Schlüsselinformationen könnte ein Angreifer<br />

über eine Schwachstelle im Automatisierungsgerät<br />

möglicherweise auslesen. Solch ein Zugriff auf Schlüsselinformationen<br />

würde die kryptografischen Maßnahmen<br />

unwirksam machen.<br />

Da eine Aufbewahrung der Schlüsseldaten im Speicher<br />

des Automatisierungsgeräts selbst nicht sicher ist, empfiehlt<br />

sich ein Speicher, der von äußeren Einflüssen unabhängig<br />

arbeitet. <strong>Security</strong> Token verfügen über diese Art von sicherem<br />

Speicher und bieten zudem zahlreiche weitere kryptografische<br />

Funktionen, die auf ihnen ausgeführt werden [11].<br />

Bei den <strong>Security</strong> Token handelt es sich um Halbleiterbausteine,<br />

welche speziell zur Ausführung und Beschleunigung<br />

von kryptografischen Funktionen und zur sicheren Verwahrung<br />

von Schlüsseln entwickelt wurden. Der Aufbau des<br />

Token verhindert dabei einen Zugriff auf intern abgespeicherte<br />

Informationen sowie die Einflussnahme auf kryptografische<br />

Funktionen, die im Token implementiert sind.<br />

2.1 Aufbau eines <strong>Security</strong> Token<br />

Bild 7 zeigt den grundlegenden Aufbau eines <strong>Security</strong><br />

Token und der darin enthaltenen Komponenten.<br />

Anbindung des <strong>Security</strong> Token<br />

Die Anbindung eines <strong>Security</strong> Token erfolgt über Leiterplattenbusse,<br />

wie den I²C- oder Low-Pin-Count-Bus (LPC),<br />

kann jedoch auch über andere Busse erfolgen. Dabei verarbeitet<br />

das Token bei entsprechenden Befehlen über die<br />

Schnittstelle mitgelieferte Daten. Auf Vorgänge innerhalb<br />

des Token besteht kein Zugriff.<br />

Funktionen des Kryptoprozessors<br />

Der im Token enthaltene Kryptoprozessor stellt verschiedene<br />

Funktionen (Kryptofunktionen) zur Berechnung von<br />

kryptografischen Verfahren zur Verfügung. So kann das<br />

überlagerte System den Kryptoprozessor mit der Verarbeitung<br />

wie der Verschlüsselung und Entschlüsselung von Datenpaketen<br />

beauftragen. Durch die direkt im Token realisierten<br />

kryptografischen Funktionen ist gewährleistet, dass<br />

für die Informationssicherheit kritische Berechnungen, wie<br />

Verschlüsselungen, die geheimer Schlüsselinformationen<br />

bedürfen, durch äußere Einflüsse unbeeinflusst bleiben.<br />

Speicher des <strong>Security</strong> Token<br />

Ein <strong>Security</strong> Token verfügt über flüchtige und nichtflüchtige<br />

Speicher. Der nichtflüchtige Speicher hält Informationen<br />

vor, die zur eindeutigen Identifikation des Token dienen. In<br />

der Regel verlassen die Informationen im nichtflüchtigen<br />

Speicher niemals das Token. Im Gegensatz dazu hält der<br />

flüchtige Speicher Daten während der Laufzeit der Plattform<br />

vor, wie beispielsweise temporär genutzte Schlüssel. Handelt<br />

es sich um geheime Schlüssel, verlassen diese niemals<br />

unverschlüsselt das Token. Deshalb können Dritte die<br />

Schlüsselinformationen weder beeinflussen noch auslesen.<br />

Maßnahmen gegen Manipulationen<br />

<strong>Security</strong> Token verfügen häufig über konstruktive Maßnahmen<br />

im Aufbau, die das physische Auslesen von Informationen<br />

aus dem Token verhindern sollen. Allerdings<br />

sind Fälle bekannt, in denen die Informationen ausgelesen<br />

werden konnten [12]. Solche Verfahren sind jedoch äußerst<br />

aufwendig und setzen ein spezielles Equipment voraus.<br />

2.2 Vergleich von Technologien<br />

Derzeit werden verschiedene <strong>Security</strong>-Token-Technologien<br />

auf dem Markt vertrieben. Die häufigste Variante sind<br />

die Smartcards [13], wie sie zum Beispiel für den elektronischen<br />

Zahlungsverkehr oder für den neuen Personalausweis<br />

verwendet werden. Dazu lassen sich die Smartcards<br />

mit beliebigen Funktionen ausstatten. Neben diesen<br />

tragbaren Token werden seit einigen Jahren auch <strong>Security</strong><br />

Token in Chipform verwendet. Ein Beispiel ist das<br />

Trusted-Platform-Module (TPM) [14], welches ähnliche<br />

Funktionen wie eine Smartcard zur Verfügung stellt und<br />

im Rahmen des Trusted Computing eingesetzt wird [15].<br />

Neben diesen beiden <strong>Security</strong>-Token-Technologien gibt<br />

es weitere Varianten. Jedoch sind diese weniger wichtig<br />

für Anwendungen in der Automatisierungstechnik. Tabelle<br />

1 bringt einen Vergleich der beschriebenen Technologien<br />

für einen Einsatz in der Automatisierungstechnik.<br />

Trotz der geringen Anzahl an Kryptofunktionen eignet<br />

sich das TPM aufgrund seiner Bauweise besonders für eingebettete<br />

Systeme. Durch die feste Bindung des TPM an eine<br />

Plattform ist im Falle eines Defekts der Plattform das TPM<br />

mit auszutauschen. Daher muss die Plattform mit dem entsprechenden<br />

TPM nach einem Tausch über entsprechende<br />

Verfahren wieder in die Anlagenstruktur eingebunden werden.<br />

Smartcards hingegen sind, insbesondere aufgrund<br />

ihrer Kontaktierung, für den industriellen Einsatz (Vibration,<br />

Schock, aggressive Atmosphäre) nicht geeignet. Weiterhin<br />

ist die Integration der Smartcard deutlich teurer.<br />

Wenngleich sich die Smartcard für eingebettete Systeme<br />

weniger eignet, so ist eine Anwendung zur personengebundenen<br />

Benutzerauthentifizierung (zum Beispiel an<br />

Leitstationen) sinnvoll. Sowohl TPM als auch Smartcard<br />

verfügen über einen sicheren Speicher, um kryptografische<br />

Informationen aufzubewahren.<br />

3. <strong>Security</strong> Token in der Automatisierungstechnik<br />

Die Funktionen eines <strong>Security</strong> Token bieten die Möglichkeit,<br />

die jeweilige Komponente beziehungsweise deren Datenkommunikation<br />

zu schützen.. Bild 8 zeigt eine Automatisie-<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

45


Hauptbeitrag<br />

rungskomponente mit integriertem <strong>Security</strong> Token (TPM).<br />

Durch die Integration des TPM und der darin enthaltenen<br />

weltweit eindeutigen Schlüsselinformationen ist die<br />

Automatisierungskomponente zweifelsfrei im Netz identifizierbar.<br />

Durch diese Eigenschaften und die Bindung an<br />

ein einziges Gerät stellt das <strong>Security</strong> Token ein vertrauenswürdiges<br />

System (Trusted Platform) im Netzwerk dar.<br />

So können sich alle Teilnehmer eines Netzwerks gegenseitig<br />

eindeutig authentifizieren.<br />

Durch diese Kombination ist es denkbar, eine homogene<br />

IT-<strong>Security</strong>-Infrastruktur von der Betriebsleitebene bis zur<br />

Feldebene umzusetzen. Aufgrund der eindeutigen Identifizierbarkeit<br />

eines Systems mittels TPM lässt sich somit<br />

eine sichere Kommunikation in Ethernet-basierten Automatisierungsnetzwerken,<br />

über die Grenzen eines Teilnetzes<br />

hinaus, ermöglichen.<br />

Dies führt zu neuen Aufgaben hinsichtlich der Verwaltung<br />

der Schlüssel der verschiedenen Automatisierungskomponenten.<br />

Da dies insbesondere im Umfeld der Automatisierungstechnik<br />

aufgrund des Mengengerüsts und<br />

der Komplexität von Anlagen mit hohem Aufwand verbunden<br />

ist, ist es sinnvoll, ein öffentliches Schlüsselmanagement<br />

zu verwenden. Hierbei kann beispielsweise ein<br />

Public-Key-<strong>Management</strong> (PKI) zum Einsatz kommen,<br />

welches automatisch die Schlüssel und Identifikationsmerkmale<br />

verteilt. Im Rahmen des Projektes SEC_PRO<br />

wird in einem Teilprojekt zurzeit ein Verfahren zur<br />

Schlüsselverwaltung in automatisierungstechnischen<br />

Anlagen auf Basis einer PKI erarbeitet und der damit verbundene<br />

Aufwand analysiert [17].<br />

3.1 Evaluierung der Echtzeitfähigkeit<br />

Der Einsatz der <strong>Security</strong>-Token-Technologie in der Automatisierungstechnik<br />

stellt weiterhin Anforderungen an die<br />

Automatisierungskomponenten hinsichtlich der Echtzeitfähigkeit.<br />

Für die folgende Betrachtung zur Echtzeitfähigkeit<br />

ist der offene industrielle Profinet-Standard entsprechend<br />

der aktuellen Spezifikation herangezogen worden [18].<br />

Profinet ermöglicht eine zyklische echtzeitfähige Kommunikation<br />

im Bereich unter 1 ms. Um eine Verarbeitung<br />

der übertragenen Daten in diesem Taktzyklus zu ermöglichen,<br />

werden die Daten vor Ablauf dieser Zeit zur Verfügung<br />

gestellt. Um daher die Echtzeitfähigkeit zu erreichen,<br />

ist die Verarbeitung aller Informationen unterhalb von<br />

500 µs sinnvoll.<br />

Nutzung kryptografischer Funktionen<br />

Hinsichtlich der dabei einzusetzenden Kryptofunktionen<br />

geben das National Institute of Standards and Technology<br />

(NIST) und das Bundesamt für Sicherheit in der Informationstechnik<br />

(BSI) Empfehlungen über die Verwendung<br />

dieser Funktionen in der Informationstechnik heraus (Tabelle<br />

2). Diese Empfehlungen berücksichtigen einen sicheren<br />

Einsatz der jeweiligen Kryptofunktion über das Jahr<br />

2030 hinaus. Dabei wird zwischen symmetrischen, zu<br />

welchen im weitesten Sinne auch Prüfsummenverfahren<br />

gehören, und asymmetrischen Verfahren unterschieden<br />

[10]. Da wegen der langen Laufzeiten von Produktionsanlagen<br />

ein Einsatz von Kryptofunktionen in der Automatisierungstechnik<br />

über das Jahr 2030 hinaus erforderlich<br />

ist, sind entsprechende Verfahren zu verwenden.<br />

Grundlage dieser Beurteilung ist die jeweilige kryptografische<br />

Stärke. Diese wird oftmals anhand des Aufwandes<br />

zur Lösung des zugrunde liegenden mathematischen<br />

Problems der kryptografischen Funktion und der dabei<br />

verwendeten minimalen Schlüsssellänge definiert. Da mit<br />

steigender kryptografischer Stärke der notwendige Aufwand<br />

zur Berechung dieser Funktionen zunimmt, ist insbesondere<br />

der Aspekt der Ressourcenbeschränkung in<br />

Automatisierungsgeräten maßgebend bei der Verwendung<br />

dieser Funktionen. Daher erfolgt im weiteren Verlauf eine<br />

Bewertung auf Basis der Laufzeit der Algorithmen, um die<br />

Echtzeitfähigkeit zu gewährleisten. Um die Vergleichbarkeit<br />

zu wahren, werden dabei stets die kryptografischen<br />

Funktionen eingesetzt, die die jeweiligen Plattformen zur<br />

Verfügung stellen.<br />

Anbindung und Echtzeiteignung<br />

Die Anbindung eines <strong>Security</strong> Token erfolgt über eine für<br />

das Token erstellte Schnittstelle. Bild 9 verdeutlicht diese<br />

Anbindung.<br />

Um die Echtzeiteignung festzustellen, ist eine Messung<br />

der Laufzeit der auf den Token implementierten Kryptofunktionen<br />

durchgeführt worden. Da das Token die Berechnungen<br />

eigenständig durchführt, hat das System, auf<br />

dem das Token eingesetzt wird, keinen Einfluss auf die<br />

Messung. Sämtliche Funktionen werden im Kryptoprozessor<br />

des Token durchgeführt, weshalb die Schlüsseldaten<br />

nur intern im Token verwendet werden.<br />

Zur Messung der Laufzeit der Funktionen sind dem Token<br />

Daten zur Verarbeitung übermittelt worden. Diese entsprachen<br />

einer maximalen Größe der Profinet-Nutzdaten (1440 Byte).<br />

Wie die gemessenen Zeiten in Tabelle 3 zeigen, ist bei<br />

alleiniger Nutzung des <strong>Security</strong> Token beziehungsweise<br />

der implementierten Kryptofunktionen aufgrund der begrenzten<br />

Rechenleistung keine echtzeitfähige Kommunikation<br />

unter den zuvor definierten Bedingungen möglich,<br />

da entsprechende Operationen, je nach Verfahren, schon<br />

zwischen 3 ms und zirka 1,8 s benötigen.<br />

Wegen der niedrigen Rechenleistung sowie der begrenzten<br />

Anzahl von Kryptofunktionen in den <strong>Security</strong> Token, erfolgte<br />

eine Evaluierung eines weiteren Konzepts unter zusätzlicher<br />

Nutzung einer softwarebasierten Kryptobibliothek.<br />

Einsatz einer Kryptobibliothek<br />

Durch die Verwendung einer softwarebasieren Kryptobibliothek<br />

(beispielsweise OpenSSL [24]) werden die zuvor<br />

auf dem <strong>Security</strong> Token durchgeführten Kryptofunktionen<br />

auf eine Rechnerplattform ausgelagert. Bild 10 zeigt<br />

die Anbindung des Token an die Anwendung bei Nutzung<br />

einer softwarebasierten Kryptobibliothek.<br />

Durch diese Anbindung kann die größere Rechenleistung<br />

der jeweiligen Rechnerplattform zur Berechnung der<br />

Kryptofunktionen in Anspruch genommen werden. Dadurch<br />

verringert sich die Laufzeit der Berechnung. Die<br />

kritischen Schlüsselinformationen werden jedoch weiterhin<br />

im Token belassen und bei Bedarf im Token direkt<br />

erstellt. Diese werden im Kontext der Anwendung nur<br />

geschützt verwendet und verlassen das Token gegebenenfalls<br />

nur verschlüsselt. Somit dient das Token als externer,<br />

sicherer Schlüsselspeicher. Dadurch ist gewährleistet, dass<br />

trotz der Berechnung der Kryptofunktionen außerhalb des<br />

Token auf der Rechnerplattform die Schlüsseldaten geschützt<br />

und die genannten Schutzziele gewahrt bleiben.<br />

Tabelle 4 zeigt die Auswertung einer Messung bei Nutzung<br />

einer Kryptobibliothek auf einem niedrig-performanten<br />

System mit einem CPU-Takt von 600 MHz, wie es zum<br />

Beispiel in eingebetteten Systemen anzutreffen ist. Die<br />

Bewertungskriterien sind analog zur vorherigen Messung<br />

bei alleiniger Nutzung der <strong>Security</strong> Token.<br />

46<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


3.2 Bewertung der Einsatzfähigkeit<br />

Ein <strong>Security</strong> Token selbst ist nicht in der Lage, kryptografische<br />

Funktionen zur Aufrechterhaltung einer Profinet-<br />

Echtzeitkommunikation zu verarbeiten (Tabelle 3). Aufgrund<br />

der begrenzten Rechenleistung eines <strong>Security</strong><br />

Token bietet sich die Auslagerung der Kryptofunktionen,<br />

zur Berechnung außerhalb des Token, an. Durch die stark<br />

angestiegene Rechenleistung, auch im Umfeld der Automatisierungsgeräte,<br />

ist so eine rechtzeitige Verarbeitung<br />

der kryptografischen Funktionen gewährleistet, wenngleich<br />

hierdurch die Komplexität der Anbindung des Token<br />

erhöht wird (Tabelle 4).<br />

Bei diesem kombinierten Ansatz zeigt sich, dass asymmetrische<br />

Verfahren wie das RSA-Kryptosystem und Elliptic-<br />

Curve-Cryptography (ECC) aufgrund der in Tabelle 4 dargestellten<br />

hohen Laufzeiten dennoch ungeeignet sind. Symmetrische<br />

Kryptofunktionen hingegen, wie AES oder Verfahren<br />

auf Basis von Prüfsummen, sind für die echtzeitfähige Profinet-Verbindung<br />

einsetzbar. Da jedoch im Allgemeinen Verfahren<br />

wie RSA und ECC primär zur Authentifizierung eingesetzt<br />

werden, bietet sich deren Einsatz für den einmaligen<br />

Verbindungsaufbau zwischen Teilnehmern im Netzwerk an.<br />

Die Verarbeitungszeit des kryptografischen Algorithmus ist<br />

dabei als unkritisch zu sehen. Auf diesem Wege kann ein<br />

Sitzungsschlüssel für ein symmetrisches Verfahren übertra-<br />

Schnistelle<br />

<strong>Security</strong> Token<br />

Kryptoprozessor<br />

Kryptofunkonen<br />

Flüchger Speicher<br />

Nichlüchger<br />

Speicher<br />

Bild 7: Grundaufbau eines <strong>Security</strong> Token<br />

Auswahlkriterien<br />

Smartcard<br />

TPM<br />

Kryptografische Algorithmen + -<br />

Eindeutige Identifizierbarkeit o +<br />

Anwendungsentwicklung o +<br />

Herstellerunabhängigkeit + +<br />

Datentransferrate o +<br />

Komplexität der Integration - +<br />

Austauschbarkeit + -<br />

Kosten - +<br />

Anwendung in<br />

Automatisierungskomponenten<br />

Bewertung o +<br />

o<br />

+<br />

Tabelle 1: Vergleich von Smartcard und TPM [16]<br />

Bild 8: Anwendung eines <strong>Security</strong> Token<br />

in Automatisierungskomponenten<br />

Rechnerplattform<br />

Rechnerplattform<br />

<strong>Security</strong> Token<br />

Bild 9:<br />

Anbindung des<br />

<strong>Security</strong> Token an<br />

die Anwendung<br />

<strong>Security</strong> Token<br />

Bild 10:<br />

Nutzung einer<br />

Kryptobibliothek<br />

Jahr<br />

Minimale<br />

Schlüssellänge<br />

Symmetrisches<br />

Kryptosystem<br />

Asymmetrisches Kryptosystem<br />

RSA [10] ECC [21]<br />

Prüfsummenverfahren<br />

2011 - 2030 112 3DES [19] 2048 224 SHA-244 [22]<br />

2030+ 128 AES-128 [20] 3072 256 SHA-256<br />

2030++ 192 AES-192 7680 284 SHA-384<br />

2030+++ 256 AES-256 15360 512 SHA-512<br />

Tabelle 2:<br />

Empfohlene<br />

kryptografische<br />

Funktion nach<br />

NIST [23]<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

47


Hauptbeitrag<br />

gen werden, der sich zur weiteren gesicherten echtzeitfähigen<br />

Profinet-Kommunikation nutzen lässt.<br />

3.3 Anwendungsmöglichkeiten eines <strong>Security</strong> Token<br />

Die Nutzung eines <strong>Security</strong> Token erlaubt Anwendungsmöglichkeiten,<br />

die im Kontext der Automatisierungstechnik<br />

eine hohe Relevanz aufweisen. Dabei kann das oben<br />

gezeigte Konzept aus <strong>Security</strong> Token und Kryptobibliothek<br />

genutzt werden. Diese sind:<br />

A: Authentifizierung der Automatisierungskomponenten<br />

Durch die Nutzung des Token entsteht eine vertrauenswürdige<br />

Plattform. Diese Plattform weist sich gegenüber<br />

allen Teilnehmern des Netzwerkes eindeutig aus.<br />

S: Schutz der echtzeitfähigen Datenkommunikation<br />

Bei Authentifizierung erfolgt der Austausch von<br />

Schlüsselinformationen. Diese gewährleisten den Aufbau<br />

einer sicheren echtzeitfähigen Kommunikation.<br />

S: Schutz vor Produktpiraterie<br />

Die eindeutige Identität ermöglicht die Überprüfung<br />

der Echtheit einer Plattform. So ist eine Erkennung<br />

plagiatierter Automatisierungsgeräte möglich.<br />

V: Verteilte Überwachung der Komponenten<br />

Das TPM ermöglicht eine Attestierung des Zustands<br />

der Plattform gegenüber anderen Teilnehmern im<br />

Netzwerk. Damit erfolgt eine verteilte Überwachung<br />

der Gerätefunktionalität, die den Zustand der Anlage<br />

im Sinne der Informationssicherheit erfasst.<br />

Es zeigt sich, dass der Einsatz der <strong>Security</strong>-Token-Technologie<br />

zahlreiche Möglichkeiten bietet, die Informationssicherheit<br />

in Automatisierungsnetzwerken zu verbessern.<br />

Zusammenfassung und Ausblick<br />

Die Verwendung Ethernet-basierter Kommunikationssysteme<br />

in der Automatisierungstechnik fordert den<br />

Einsatz geeigneter Maßnahmen zum Schutz des Automatisierungsnetzwerks<br />

gegen Eingriffe in die IT-<strong>Security</strong>.<br />

Die Darstellung der Schutzziele zeigte, dass eine<br />

Absicherung der Automatisierungsnetzwerke durch<br />

geeignete kryptografische Maßnahmen unterstützt werden<br />

kann. Die dabei angewandten kryptografischen<br />

Funktionen sind auf den Automatisierungskomponenten<br />

direkt auszuführen, um einen Schutz innerhalb der<br />

abgeschotteten Teilnetze zu etablieren. Dies ergibt neue<br />

Herausforderungen für die sichere Verwahrung von<br />

Schlüsselinformationen in den Komponenten.<br />

Um darüber hinaus eine Verwaltung der Schlüssel im<br />

Umfeld komplexer Automatisierungsanlagen zu ermöglichen,<br />

ist der Einsatz eines automatischen und offenen<br />

Schlüsselmanagements via PKI denkbar. Dies muss jedoch<br />

hinsichtlich des damit verbundenen Aufwandes<br />

analysiert werden. Durch die hybride Verwendung von<br />

<strong>Security</strong> Token und einer Softwarelösung kann die Informationssicherheit<br />

in einem Automatisierungsnetzwerk<br />

verbessert und die Echtzeitfähigkeit dieses Ansatzes<br />

auf einem Profinet-Netzwerk erhalten werden. Allgemein<br />

zeigt sich, dass der Einsatz von <strong>Security</strong> Token<br />

auf Automatisierungskomponenten wichtige Beiträge in<br />

der Automatisierungstechnik leistet.<br />

Manuskripteingang<br />

01.11.2011<br />

Im Peer-Review-Verfahren begutachtet<br />

Anzahl der Messungen: N = 20<br />

Angaben: Mittelwert<br />

± Standardabweichung<br />

Verschlüsseln /<br />

Signieren<br />

TPM (<strong>Security</strong> Token)<br />

Entschlüsseln /<br />

Verifizieren<br />

Smartcard (<strong>Security</strong> Token)<br />

Verschlüsseln /<br />

Signieren<br />

Entschlüsseln /<br />

Verifizieren<br />

AES-Kryptofunktion (256 Bit) nicht vorhanden 1 784 130 ± 12 833 μs 1 782 677 ± 1 729 μs<br />

Prüfsummenverfahren<br />

(AES-basiert / 128 Bit)<br />

nicht vorhanden 564 349 ± 3 824 μs 536 402 ± 1 284 μs<br />

RSA-Kryptofunktion (2048 Bit) 3603 ± 63 μs 4 595 471 ± 19 270 μs 1 014 050 ± 2 341 μs 3603 ± 63 μs<br />

ECC-Kryptofunktion (192 Bit) nicht vorhanden 569 212 ± 2 873 μs 511 219 ± 1 872 μs<br />

Tabelle 3:<br />

Laufzeitauswertung<br />

der Ansätze [16]<br />

Anzahl der Messungen: N = 20<br />

Angaben: Mittelwert<br />

± Standardabweichung<br />

Verwendung einer Kryptobibliothek (OpenSSL)<br />

Verschlüsseln /<br />

Signieren<br />

Entschlüsseln /<br />

Verifizieren<br />

AES-Kryptofunktion (256 Bit) 75 ± 1,5 μs 74 ± 2,4 μs<br />

Tabelle 4:<br />

Performance-Auswertung<br />

bei Nutzung einer<br />

Kryptobibliothek [16]<br />

Prüfsummenverfahren (AES-basiert / 128 Bit) 56 ± 0,4 μs 55 ± 0,2 μs<br />

RSA-Kryptofunktion (2048 Bit) 4 369 ± 430 μs 323 277 ± 3248 μs<br />

ECC-Kryptofunktion (192 Bit) 3 290 ± 1352 μs 4 950 ± 54 μs<br />

48<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Referenzen<br />

Autoren<br />

[1] Schwab, C. et al.: Totally horizontal and vertical integration<br />

for automation systems - virtual automation networks,<br />

ETFA 2005. IEEE, 2006<br />

[2] ISA 99.01.01: Terminology, Concepts and Models, 2007<br />

[3] VDI/VDE 2182: Informationssicherheit in der industriellen<br />

Automatisierung. Beuth, 2008<br />

[4] PNO: PROFINET <strong>Security</strong> Guideline. PROFIBUS Nutzerorganisation<br />

e.V., (http://www.profibus.com/nc/downloads/<br />

downloads/profinet-security-guideline/download/159/.,<br />

Karlsruhe, 2005)<br />

[5] ODVA/Rockwell Automation: <strong>Security</strong> Whitepaper - Ethernet/<br />

IP. Increasing Plant Floor <strong>Security</strong> Today,<br />

http://www.ethernetip.de/downloads/files/RA%20security%<br />

20whitepaper%208-25-03.pdf 2008<br />

[6] ISO 27001: Information technology - <strong>Security</strong> techniques<br />

- Information security management systems - Requirements,<br />

2008<br />

[7] Akerberg, J. et al.: Exploring <strong>Security</strong> in Profinet IO.<br />

COMPSAC 2009. IEEE, 2009<br />

[8] ISO 27002: Information technology -- <strong>Security</strong> techniques<br />

-- Code of practice for information security management,<br />

2008<br />

[9] Eckert, C.: IT-Sicherheit. Oldenbourg, München [u.a.], 6.,<br />

überarb. und erw. Auflage, 2009<br />

[10] Schneier, B.: Angewandte Kryptographie. Protokolle,<br />

Algorithmen und Sourcecode in C. Addison-Wesley, Bonn<br />

[u.a.], 1999<br />

[11] Mayes, K. E. et al.: Smart cards, tokens, security and<br />

applications. Springer, New York ; London, 2008<br />

[12] Tarnovsky, C.: How to Crack a Smartcard Chip. BlackHat DC<br />

Conference, BlackHat, 2010<br />

[13] Rankl, W.: Smart card handbook. Wiley, Chichester, West<br />

Sussex, U.K, 2010<br />

[14] Trusted Computing Group: Trusted Platform Module (TPM)<br />

Main Specification. Part 1: Design Principles. v1.2, 2007<br />

[15] Pohlmann, N. et al.: Trusted Computing. Ein Weg zu neuen<br />

IT-Sicherheitsarchitekturen. Vieweg, Wiesbaden, 2008<br />

[16] Tebbe, C: Auswahl und Erprobung einer <strong>Security</strong>-Token-<br />

Technologie für den Einsatz in Windows-basierten Automatisierungskomponenten,<br />

Master Thesis. Hannover, 2011<br />

[17] Hausmann, S.; Heiss, S.: Einsatz einer PKI in der Automatisierungstechnik.<br />

In <strong>atp</strong> <strong>edition</strong> Automatisierungstechnische<br />

Praxis 3/2012. Oldenbourg Industrieverlag GmbH, München,<br />

2012, S. 30-32<br />

[18] IEC 61784-2: Industrial communication networks - Profiles<br />

-- Additional fieldbus profiles for real-time networks based<br />

on ISO/IEC 8802-3, 2007<br />

[19] FIPS 46-3: Specification of Data Encription Standard (DES).<br />

Federal Information Processing Standards, 1999<br />

[20] FIPS 197 Specification for the Advanced Encription Standard<br />

(AES). Federal Information Processing Standards, 2001<br />

[21] Darrel Hankerson et al.: Guide to Elliptic Curve Cryptography.<br />

Springer-Verlag New York, Inc., Secaucus, NJ, USA, 2003<br />

[22] FIPS 180-2 Specification for the Secure Hash Standard (SHA).<br />

Federal Information Processing Standards, 2001<br />

[23] Barker E. et al.: Recommendation for Key <strong>Management</strong><br />

- Part 1: General – Revision http://csrc.nist.gov/groups/ST/<br />

toolkit/documents/SP800-57Part1-Revision3 May2011.pdf,<br />

Mai 2011<br />

[24] Ralf S. Engelschall: OpenSSL: The Open Source toolkit for<br />

SSL/TLS (Website) http://www.openssl.org/, Februar 2011<br />

Dipl.-Ing. (FH) Markus<br />

Runde M.Eng. (geb. 1984)<br />

ist seit 2010 wissenschaftlicher<br />

Mitarbeiter an der<br />

Fakultät I - Elektro- und<br />

Informationstechnik der<br />

Hochschule Hannover im<br />

Fachbereich Prozessinformatik<br />

und Automatisierungstechnik.<br />

Zuvor studierte er an der<br />

Fachhochschule Hannover Automatisierungstechnik<br />

und Prozessinformatik. Forschungsschwerpunkt:<br />

Entwicklung von informationstechnischen<br />

Sicherheitslösungen für vernetzte<br />

Automatisierungskomponenten.<br />

Hochschule Hannover, Fachbereich Elektrotechnik,<br />

Postfach 92 02 61, D-30441 Hannover,<br />

Tel. +49 (0) 511 92 96 12 40,<br />

E-Mail: Markus.Runde@FH-Hannover.de<br />

Prof. Dr.-Ing. Karl-Heinz<br />

Niemann (geb. 1959)<br />

vertritt seit dem Jahr 2005<br />

die Lehrgebiete Prozessinformatik<br />

und Automatisierungstechnik<br />

an der<br />

Hochschule Hannover. Von<br />

2002 bis 2005 war er an der<br />

Fachhochschule Nordostniedersachsen<br />

für das Lehrgebiet Prozessdatenverarbeitung<br />

verantwortlich. Davor war er in<br />

leitender Stellung in der Entwicklung von<br />

Prozessleitsystemen unter anderem bei ABB,<br />

Elsag Bailey und Hartmann & Braun tätig.<br />

Hochschule Hannover, Fachbereich Elektrotechnik,<br />

Postfach 92 02 61, D-30441 Hannover,<br />

Tel. +49 (0) 511 92 96 12 64,<br />

E-Mail: Karl-Heinz.Niemann@FH-Hannover.de<br />

Christopher Tebbe<br />

M.Sc. (geb. 1984) ist seit<br />

2012 wissenschaftlicher<br />

Mitarbeiter an der<br />

Fakultät I - Elektro- und<br />

Informationstechnik der<br />

Hochschule Hannover<br />

im Fachbereich Prozessinformatik<br />

und Automatisierungstechnik.<br />

Zuvor studierte an der<br />

Fachhochschule Hannover angewandte<br />

Informatik mit dem Schwerpunkt sichere<br />

Informationssysteme.<br />

Hochschule Hannover, Fachbereich Elektrotechnik,<br />

Postfach 92 02 61, D-30441 Hannover,<br />

Tel. +49 (0) 511 92 96 12 40,<br />

E-Mail: Christopher.Tebbe@FH-Hannover.de<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

49


hauptbeitrag<br />

Integriertes System- und<br />

Dienste-<strong>Management</strong><br />

Ein Weg zur verbesserten Informationssicherheit<br />

Das <strong>Management</strong> von Eigenschaften von Automatisierungskomponenten, die Einfluss auf<br />

die Informationssicherheit haben können, ist eine komplexe Herausforderung. Dieser<br />

Beitrag stellt einen Ansatz zum Systemmanagement vor und zeigt, wie sich durch ein<br />

einheitliches, durchgängiges Vorgehen die Informationssicherheit in automatisierungstechnischen<br />

Anlagen positiv beeinflussen lässt. Anhand zweier Anwendungsfälle wird<br />

dargestellt, wie das Web Based Enterprise <strong>Management</strong> in die Automation überführt<br />

werden kann.<br />

SCHLAGWÖRTER Serviceorientiertes <strong>Management</strong> / Web Based Enterprise <strong>Management</strong> /<br />

IT-<strong>Security</strong>-<strong>Management</strong> / Netzwerkmanagement<br />

A way to improve System <strong>Security</strong> –<br />

Integrated System and Service <strong>Management</strong><br />

Managing the complex security related features of automation components is a challenging<br />

task. This article presents an approach to system management and describes how an homogeneous,<br />

integrated approach can have a positive impact on overall IT security in automated<br />

plant. Two applications are presented showing how Web-based enterprise management<br />

can be implemented for industrial automation.<br />

KEYWORDS Service oriented <strong>Management</strong> / Web Based Enterprise <strong>Management</strong> /<br />

<strong>Security</strong>-<strong>Management</strong> / Network <strong>Management</strong><br />

50<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Robert Lehmann, Roman Frenzel, Martin Wollschlaeger, Technische Universität Dresden<br />

Moderne Automatisierungssysteme zeichnen<br />

sich neben stetig wachsender Funktionalität<br />

durch eine Zunahme der Komplexität aus.<br />

Dies trifft auf die Komponentenanzahl und<br />

die Vielfalt der eingesetzten Technologien zu.<br />

Um diese Komplexität über den Lebenszyklus hinweg beherrschen<br />

zu können, ist es notwendig, umfassende <strong>Management</strong>systeme<br />

in der Automatisierung zu etablieren.<br />

Durch die zunehmende Komplexität wachsen auch die<br />

Herausforderungen an ein durchgängiges, handhabbares<br />

und vor allem verständliches <strong>Management</strong> von Funktionen<br />

und Eigenschaften, die die Informationssicherheit [1]<br />

betreffen. Eine solche Art von IT-<strong>Security</strong>-<strong>Management</strong><br />

findet in modernen Automatisierungsanlagen weitestgehend<br />

proprietär statt – sofern relevante Funktionen und<br />

Eigenschaften überhaupt aktiv gemanagt werden.<br />

Eine einheitliche Sicht auf die Informationssicherheit<br />

gewinnt in der Automatisierungstechnik deutlich an Relevanz.<br />

Dies verdeutlichen die intensiven Bemühungen<br />

der nationalen (VDI, Namur, BSI) und internationalen Gremien<br />

(ISA) und das wachsende Bewusstsein der Anwender<br />

und Hersteller.<br />

Die Thematik Datenschutz und Datensicherheit ist für den<br />

Anwender in der Regel fest verwoben mit den Begriffen Verfügbarkeit,<br />

Integrität und Verschlüsselung. Es ist offensichtlich,<br />

dass diese Punkte für die Informationssicherheit eines<br />

Gesamtsystems, eines Geschäftsbereiches oder sogar eines<br />

ganzen Unternehmens signifikant sind. Einen bedeutenden<br />

Anteil an der Gesamtsicherheit haben jedoch auch vermeintlich<br />

kleine Faktoren, die aus funktionaler, administrativer<br />

oder betrieblicher Sicht einen Beitrag leisten. Eine einfache<br />

Möglichkeit, Dienste im Netzwerk von zentraler Stelle ausoder<br />

einschalten zu können, dürfte einen stärkeren Einfluss<br />

auf die Systemsicherheit haben, als beispielsweise die gleichen<br />

Dienste ausschließlich über eine zusätzliche Firewall<br />

zu reglementieren. Das Abschalten von nicht benötigten<br />

Diensten ist nachhaltiger als das Blockieren derselben. Derartige<br />

kleine Faktoren werden durch moderne Systemmanagementansätze<br />

(Bild 1) adressiert, die im Wesentlichen<br />

dem FCAPS-Gedanken folgen. Hinter FCAPS verbergen sich<br />

<strong>Management</strong>funktionen, die die Aufgabenbereiche Failure-,<br />

Configuration-, Accounting-, Performance- und eben auch<br />

(IT)-<strong>Security</strong>-<strong>Management</strong> adressieren [2].<br />

1. <strong>Management</strong> in der Automatisierung<br />

In Automatisierungssystemen werden bereits <strong>Management</strong>-<br />

Ansätze verfolgt, wobei das Netzwerkmanagement im Fokus<br />

steht. Das Systemmanagement adressiert über das Netzwerkmanagement<br />

hinaus alle Bestandteile eines verteilten<br />

Systems. Dazu zählen neben IT-Strukturen prinzipiell auch<br />

verteilte Automatisierungssysteme. Systemmanagement<br />

mit offenen Standards hat heute in der Automatisierung<br />

jedoch nur eine untergeordnete Bedeutung. Durch die zunehmende<br />

Integration von IT-Basistechnologien (Ethernet,<br />

Web, XML) in die Automation ist es naheliegend, auch die<br />

Ansätze zum <strong>Management</strong> dieser Technologien auf ihre<br />

Anwendbarkeit für die Automation zu überprüfen. In IT-<br />

Systemen ist eine Reihe von <strong>Management</strong>standards für<br />

verschiedenste Anwendungsbereiche verfügbar. Diese reichen<br />

von spezifischen <strong>Management</strong>verfahren für Webservices<br />

oder für Zertifikate über die auch in der Automation<br />

bekannten <strong>Management</strong>verfahren SNMP (Simple Network<br />

<strong>Management</strong> Protocol) bis hin zu vollständigen Systemmanagementverfahren<br />

wie WBEM (Web Based Enterprise <strong>Management</strong>).<br />

Alle genannten Standards haben einen mehr<br />

oder weniger starken Anspruch an das <strong>Management</strong> von<br />

Eigenschaften, die die Informationssicherheit betreffen.<br />

SNMP ist bis heute der einzige <strong>Management</strong>standard<br />

aus der IT, der in der Automation verbreitet ist. So ist zum<br />

Beispiel für alle Profinet-IO-Geräte ab Conformance Class<br />

B SNMP zwingend zu unterstützen. In der IT selbst kommt<br />

SNMP flächendeckend zum Einsatz. Die Mehrheit der Systemhersteller<br />

bietet umfassende SNMP-Implementierungen<br />

im Rahmen ihrer Produkte an.<br />

Eine verwaltete Komponente (engl. managed component)<br />

wird im SNMP als Agent bezeichnet. Sie nimmt Anfragen<br />

des Managers entgegen und führt sie aus. Der Agent ist das<br />

Bindeglied zwischen <strong>Management</strong>-Protokoll und der<br />

Funktion beziehungsweise Hardware der Komponente. Die<br />

Kommunikation erfolgt meist vom Manager zum Agenten,<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

51


Hauptbeitrag<br />

eine Ausnahme bilden die SNMP-Traps, die ereignisbasiert<br />

Nachrichten vom Agenten zum Manager übermitteln.<br />

SNMP spezifiziert nicht, welche Daten (managed objects)<br />

ein Agent liefern muss, sondern legt mit der <strong>Management</strong><br />

Information Base (MIB) als Informationsmodell lediglich<br />

Struktur und Notation der Daten fest. Ein explizites Funktionsmodell,<br />

das funktionale Zusammenhänge beschreibt,<br />

existiert in SNMP nicht.<br />

SNMP zeichnet sich vor allem durch seine Einfachheit<br />

und geringe Komplexität aus. Die flache Struktur der Datagramme<br />

lässt – allerdings nur bei genauer Kenntnis der<br />

managed objects – einen direkten lesenden und schreibenden<br />

Zugriff zu. SNMP ist leistungsstark, solange bekannt<br />

ist, welche Daten angefragt werden sollen. Ein SNMPwalk,<br />

das sukzessive Abfragen von Datengruppen, ist hingegen<br />

aufwendig, da für jeden Iterationsschritt eine neue Anfrage<br />

gestellt wird.<br />

Obwohl SNMP in vielen Bereichen eingesetzt wird, zeigt<br />

sich doch, dass es bei komplexen Anwendungsfällen an<br />

technische Grenzen stößt. So ist das Informationsmodell<br />

nur bedingt erweiterbar, zumindest führen Erweiterungen<br />

zu großer Redundanz der MIBs. Eine für die Anwendung<br />

in der Automation wesentliche Einschränkung ist, dass<br />

Zusammenhänge struktureller oder funktionaler Art innerhalb<br />

des Modells, die über einfache Gliederungen in<br />

Tabellen hinausgehen, in der MIB nicht modellierbar sind.<br />

Während in SNMP zum Beispiel einfach darstellbar ist,<br />

über wie viele Ethernetanschlüsse ein Gerät verfügt und<br />

wie viele davon aktuell genutzt werden, muss die Anzahl<br />

der freien Anschlüsse hingegen als neuer Wert in das Informationsmodell<br />

eingeführt werden und kann nicht aus<br />

den beiden bekannten Werten abgeleitet werden. Erweitert<br />

man den Anwendungsfall um die Frage, welche der Anschlüsse<br />

wie projektiert sind, etwa um die Nutzung nicht<br />

autorisierter Anschlüsse zu erkennen, so ist dies in SNMP<br />

nur durch funktionale Verknüpfungen außerhalb des Informationsmodells<br />

möglich.<br />

Ursprünglich als Zwischenlösung bis zur Einführung<br />

komplexerer <strong>Management</strong>ansätze gedacht, hat sich SNMP<br />

bis heute behaupten können. SNMP hatte in Version 1 massive<br />

Sicherheitseinschränkungen. Bis einschließlich Version<br />

2c werden keinerlei Authentifizierung oder Verschlüsselung<br />

unterstützt. Die mit der aktuellen Version 3<br />

eingeführten Sicherheitsmechanismen adressieren dies,<br />

werden in der Praxis auf Grund ihrer Komplexität jedoch<br />

nur sporadisch eingesetzt.<br />

2. Web Based Enterprise <strong>Management</strong><br />

Mitte der 90er-Jahre wurde von einem Konsortium bestehend<br />

aus Cisco Systems, Microsoft Corporation, Compaq<br />

Computer, BMC Software und der Intel Corporation der erste<br />

Vorschlag zu Web Based Enterprise <strong>Management</strong> (WBEM)<br />

eingereicht, mit dem eine einheitliche und offene Plattform<br />

zum übergreifenden <strong>Management</strong> von Systemen geschaffen<br />

werden sollte. Diese soll <strong>Management</strong> nicht mehr auf Lesen<br />

und Setzen von Werten reduzieren, sondern <strong>Management</strong>aufgaben<br />

als funktionsbezogene Dienste anbieten und dabei<br />

soweit möglich bestehende Technologien und Standards<br />

integrieren. Mittlerweile ist WBEM [3] die Basis für eine<br />

ganze Reihe von <strong>Management</strong>initiativen, die auf den durch<br />

die Distributed <strong>Management</strong> Task Force (DMTF) standardisierten<br />

Konzepten und Technologien aufsetzen.<br />

Innerhalb der IT wird WBEM durch eine Vielzahl von<br />

Unternehmen unterstützt und ist untrennbar mit der Erfolgsgeschichte<br />

der Internettechnologien verbunden. So<br />

nutzt WBEM Technologien wie http und XML, trägt aber<br />

auch Informationssicherheitsüberlegungen Rechnung. Anders<br />

als bei SNMP sind sowohl Authentifikation, Autorisation,<br />

Integrität, Verschlüsselung und auch Logging fester<br />

Bestandteil der WBEM-Infrastruktur.<br />

WBEM ist kein monolithischer Standard, sondern bezeichnet<br />

eine Gruppe von Technologien zum System-<strong>Management</strong>.<br />

Anders als bei den klassischen <strong>Management</strong>-<br />

Ansätzen gibt es in einer WBEM-Infrastruktur eine zentrale<br />

Kommunikationskomponente, den CIM Object Manager<br />

(CIMOM) (siehe Bild 2). Der CIMOM nimmt Anfragen<br />

von WBEM-Clients und Antworten der Provider (dem<br />

Pendant zu SNMP-Agents) entgegen. In der Kommunikation<br />

fungiert der CIMOM somit als Broker zwischen beiden<br />

Elementen. Die Provider dienen als Schnittstelle zwischen<br />

WBEM und dem Managed Node.<br />

Die Provider stellen Softwarekomponenten dar, die für<br />

spezifische Aufgaben geschaffen werden. Sie können Werte<br />

lesen, manipulieren oder Funktionen ausführen. Dabei<br />

ist offen, wo ein Provider implementiert ist. Es besteht<br />

keine Notwendigkeit, dass der Provider auf dem gleichen<br />

Host wie der CIMOM ausgeführt wird, er kann auch direkt<br />

auf dem Managed Node oder einem beliebigen anderen<br />

Host laufen. Es ist ebenfalls möglich, einen vollständigen<br />

WBEM-Server auf einem Kompaktgerät zu betreiben, ein<br />

Ansatz wird in [4] erläutert.<br />

3. Common Information Model (CIM)<br />

Die letzte wesentliche Komponente eines WBEM-Systems<br />

ist das CIM-Repository. Es enthält das Informationsmodell,<br />

das gemäß der CIM-Spezifikation aufgebaut ist. Alle<br />

Managed Objects in einem WBEM-System sind durch<br />

einen entsprechenden Eintrag im CIM repräsentiert. Wie<br />

erwähnt, ist CIM das Informationsmodell, das nicht nur<br />

hinter WBEM, sondern auch hinter einer Anzahl an spezifischen<br />

<strong>Management</strong>-Initiativen steht. CIM zeichnet<br />

sich vor allem durch einen vollständig objektorientierten<br />

Ansatz aus [5][6]. Anders als in MIB können in CIM komplexe<br />

Zusammenhänge zwischen Informationen durch<br />

Modellelemente ausgedrückt werden.<br />

CIM stellt sich als einheitliches, erweiterbares und<br />

durch einen hohen Grad an Wiederverwendung gekennzeichnetes<br />

Modell dar. Das Modell selbst besteht aus drei<br />

Teilen, die als Schema [7] verfügbar sind. Das zentrale<br />

Schema ist das Core-Schema, es enthält die grundlegenden<br />

Modellelemente und ist nur wenigen Veränderungen unterworfen.<br />

Die Common-Schemas decken die üblichen<br />

Anwendungsfälle ab und werden an technologische Änderungen<br />

angepasst. Die Extension-Schemas sind der dynamischste<br />

Teil. Mit ihnen werden spezifische <strong>Management</strong>funktionen<br />

und detaillierte Ausprägungen modelliert.<br />

Neue Technologien sind zunächst ebenfalls in Extension-Schemas<br />

modelliert. Prinzipiell können alle<br />

Schemateile durch den Anwender umgestaltet werden,<br />

wobei die Kompatibilität zur WBEM-Infrastruktur solange<br />

erhalten bleibt, wie nicht gegen die Konventionen im Meta-Schema<br />

verstoßen wird.<br />

Die Core- und Common-Schemas werden von der DMTF<br />

gepflegt und verwaltet und beinhalten bereits eine Viel-<br />

52<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


zahl an Schemas, die direkt in der Automation angewendet<br />

werden können. So befasst sich das Network-Schema mit<br />

logischen Eigenschaften der Kommunikationsinfrastruktur,<br />

das Physical-Schema mit physischen Eigenschaften<br />

von Managed Objects (unter anderem Abmessungen,<br />

Steckplätze) und das Setting-Schema mit deren aktuellen<br />

Konfigurationen.<br />

4. Einsatzmöglichkeiten von WBEM<br />

Einfache Aufgaben im Bereich des <strong>Management</strong>s von Automatisierungsanlagen<br />

lassen sich mit Systemen wie SNMP<br />

gut lösen. Gewinnen die Szenarien an Komplexität, steigt<br />

der Aufwand der Umsetzung mit solchen Systemen überproportional.<br />

Im Folgenden wird an zwei Anwendungsfällen<br />

veranschaulicht, in welchen Bereichen Web Based<br />

Enterprise <strong>Management</strong> die Komplexität für den Anwender<br />

reduziert und in welchem Umfang moderne <strong>Management</strong>systeme<br />

die Informationssicherheit positiv beeinflussen.<br />

4.1 Versionsmanagement<br />

Automatisierungskomponenten besitzen Software in<br />

Form von Firmware. Durch verschiedene Randbedingungen<br />

kann es notwendig werden, die Software auf den Geräten<br />

zu aktualisieren, um den korrekten Betrieb weiterhin<br />

zu gewährleisten, oder bei bekannten Schwachstellen<br />

angemessen zu reagieren.<br />

Die Aktualisierung der Software erfolgt in der Regel mit<br />

herstellerspezifischen Werkzeugen und beinhaltet eine<br />

Hier entstehen Paketverluste!<br />

Manager<br />

.<br />

.<br />

.<br />

ERP<br />

.<br />

.<br />

.<br />

MES<br />

Mana-<br />

gement-<br />

Server<br />

Welche Komponenten sind nicht aktuell?<br />

Welche Dienste werden (von wem) angeboten?<br />

Schaltet alle Dienste ab, die nicht in Policy_X sind!<br />

...<br />

F<br />

C<br />

A<br />

P<br />

S<br />

Bild 1:<br />

Dienstorientiertes<br />

<strong>Management</strong><br />

Operator Station / WBEM-Client<br />

Operator<br />

Informationsmodell<br />

(CIM)<br />

WBEM-System<br />

XML<br />

RMI<br />

Authentifizierungs-<br />

Server<br />

Nutzer r/w Rechte,<br />

Namespace-Rechte<br />

CMPI<br />

CIMOM<br />

Java<br />

Repository<br />

(CIM)<br />

Provider Provider Provider<br />

. . .<br />

Bild 2:<br />

Architektur einer<br />

WBEM-Anwendung<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

53


Hauptbeitrag<br />

Profinet<br />

Get_Instance: CIM_ComputerSystem<br />

Get_Instance: TUDIC_ Device (abstractclass)<br />

I&M<br />

I&M<br />

Get_Instance:TUDIC_DevicePN Get_Instance:TUDIC_DevicePB<br />

Device<br />

Device<br />

Provider<br />

generischer<br />

WBEM-Client<br />

Get_Instance: Linux_Computer System<br />

Web<br />

Server<br />

Web Service<br />

Auslösung I&M<br />

Web Service<br />

Updateserver<br />

Provider<br />

Provider<br />

CIMOM<br />

spezifischer<br />

WBEM-Client<br />

WBEM<br />

Web Server<br />

(Hersteller)<br />

Bild 3: Anwendungsfall<br />

Versionsmanagement mit WBEM<br />

Abfolge von Schritten, die sich für jedes Gerät annähernd<br />

wiederholt. Hierzu gehören Schritte wie das Feststellen<br />

des Ist-Standes, das Ermitteln und Auswählen des Soll-<br />

Standes aus den vom Hersteller angebotenen Versionen<br />

sowie gegebenenfalls das Einspielen des gewählten Softwarestandes<br />

nach anlagenspezifischen Richtlinien. Jeden<br />

dieser Teilschritte für eine große Anzahl von Geräten manuell<br />

zu wiederholen, beansprucht relativ viel Zeit. Während<br />

dieser Reaktionszeit verbleibt das System in einem<br />

potenziell gefährdeten Zustand.<br />

WBEM ermöglicht es, die Einzelschritte für das Überprüfen<br />

der Möglichkeit und Notwendigkeit einer Softwareaktualisierung<br />

zu einem einzelnen Arbeitsschritt<br />

zusammenzufassen. Dabei ist die Anzahl an Geräteinstanzen,<br />

für die eine Updateüberprüfung durchgeführt werden<br />

soll, kein limitierender Faktor. WBEM kann ganze Klassen<br />

und Klassenhierarchien von Informationen als Block abfragen<br />

(Bild 3). Mit einer einzigen Anfrage an das System<br />

können zum Beispiel alle aktualisierbaren Profinet-Geräte<br />

eingesehen werden. Die Verknüpfung der Informationen,<br />

ob eine Aktualisierung verfügbar ist, übernimmt das Informationssystem<br />

selbst.<br />

Für die Realisierung des Anwendungsfalls ist es erforderlich,<br />

Geräteinformationen zu gewinnen, anhand derer<br />

festgestellt werden kann, ob für die Geräte neue Softwarekomponenten<br />

vorliegen. Für Profibus und Profinet hat<br />

die Profibus International (PI) die Identification & Maintenance-Functions<br />

(I&M) [8] definiert. Sie beinhalten Informationen,<br />

die als numerische Werte in den Geräten abgespeichert<br />

sind. Darunter befinden sich Angaben über Hersteller,<br />

Gerätetyp, Seriennummer, Revisionsnummern,<br />

Installationsdatum. Sind die Informationen ausgelesen,<br />

können sie mithilfe externer Systeme interpretiert werden,<br />

sodass ein Zugriff auf weitere Informationen wie Einbauanleitungen<br />

oder Zertifikate ermöglicht wird.<br />

Im vorliegenden Szenario wird das I&M-Feld SoftwareRevision<br />

aus jedem Gerät ausgelesen. Dazu ist der<br />

I&M-Datensatz in CIM modelliert (Bild 4). Für die Feldbustechnologien<br />

kommen dabei unterschiedliche Provider<br />

zum Einsatz. Die Vererbungshierarchie stellt sicher, dass<br />

zukünftige Technologien, die I&M-Daten unterstützen,<br />

mittels geringfügiger Modellerweiterung und eigenen Providern<br />

eingebunden werden können. Aktualisierungen auf<br />

Clientseite sind nicht notwendig.<br />

Nachdem über die Provider die Softwareversion eines<br />

oder mehrerer Geräte ermittelt wurde, lässt sich mit Hilfe<br />

eines externen I&M-Datensatzes [9] die Adresse eines<br />

WebService-Servers beim Hersteller abfragen. So kann der<br />

WBEM-Provider feststellen, ob eine neue Version vorliegt<br />

und weitere Angaben zu Beschreibung, Priorität und Ausgabedetails<br />

der neuen Version abfragen. Da Softwareupdates<br />

in Automatisierungssystemen nicht unkritisch sind,<br />

sieht der Anwendungsfall vor, dass ein Verantwortlicher<br />

in geeigneter Weise darauf hingewiesen wird, dass ein<br />

Softwareupdate vorliegt. Er kann bei Bedarf und nach<br />

gründlicher Prüfung die Aktualisierung mittels WBEM-<br />

Funktionsaufruf einspielen.<br />

Hersteller moderner Systeme und Geräte sehen entsprechende<br />

Maßnahmen in der Regel bereits vor. Es handelt<br />

sich dabei jedoch um proprietäre Systeme, die auf bestimmte<br />

Geräte (die des Herstellers) und Feldbussysteme<br />

beschränkt sind. WBEM dagegen bietet eine durchgängige<br />

Lösung an, die feldbusunabhängig ist und für alle Geräte<br />

angewandt werden kann, sofern die Gerätehersteller bereit<br />

sind, entsprechende Schnittstellen zu schaffen. WBEM<br />

erlaubt es, über die Provider einen Schutz von Hersteller-<br />

Know-how zu wahren.<br />

4.2 Änderung an Netzwerkverbindungen<br />

Ein weiteres reales Problem von Automatisierungssystemen<br />

ist der unbefugte Zugriff auf Daten, die zwischen<br />

Beteiligten eines Systems ausgetauscht werden. Die Über-<br />

54<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Bild 4:<br />

Schemaerweiterung<br />

zum Einbinden von<br />

I&M in bestehende<br />

CIM-Schemas<br />

wachung des physischen Zugriffs auf die Kommunikationsinfrastruktur<br />

an allen Orten ist – insbesondere in<br />

komplexen Installationen – eine Herausforderung.<br />

Bekommt eine unbefugte Person Zugriff zu einem<br />

Switch, kann sie unter Umständen einen noch ungenutzten<br />

und ungesicherten Ethernetanschluss nutzen, um Geräte<br />

in die Infrastruktur einzubinden oder eine Kabelverbindung<br />

zu ersetzen. Das Abgreifen beziehungsweise<br />

Einschleusen von Daten wird dadurch vereinfacht oder<br />

überhaupt erst ermöglicht.<br />

Deshalb ist es wünschenswert, über Änderungen von<br />

Kabelverbindungen informiert zu werden. An dieser Stelle<br />

kommen zum Beispiel SNMP-Agents zum Einsatz. Sie<br />

können Traps auslösen und diese an einen vorher definierten<br />

Host senden. Hier endet die Funktionalität von SNMP.<br />

Wie mit dieser Trap umgegangen und wie darauf reagiert<br />

wird, ist nicht mehr Bestandteil von SNMP. WBEM liefert<br />

weiterführende Informationen, etwa wo sich die auslösende<br />

Geräteinstanz befindet, wie viele physische Ports sie<br />

insgesamt hat, wie viele Ports laut Projektierung genutzt<br />

werden. Eine WBEM-Lösung verlangt dabei nicht nach<br />

einer vollständigen Neukonfiguration von bestehenden<br />

Lösungen auf SNMP-Basis, sondern integriert diese und<br />

erweitert sie.<br />

Damit WBEM zusätzliche Daten liefern kann, ist es notwendig,<br />

die Informationsmodelle um entsprechende Informationsquellen<br />

zu erweitern. Das ist nicht notwendig,<br />

wenn die Quellen bereits für einen anderen Anwendungsfall<br />

modelliert wurden. Quellen können fast beliebige Formen<br />

haben, etwa Herstellerdatenbanken, Projektierungsinformationen<br />

oder auch Live-Daten von Geräten. Sind<br />

Informationsquellen modelliert, können Beziehungen<br />

zwischen ihnen aufgebaut werden. Eine ist-verbundenmit-Beziehung<br />

würde beispielsweise auf Grundlage der<br />

eingebundenen Informationsquelle Projektierungsdatenbank<br />

die Information liefern, mit welcher Gegenstelle das<br />

umgesteckte Kabel verbunden sein sollte.<br />

Im vorliegenden Anwendungsfall wäre lediglich die<br />

Anbindung an die Projektierungsdatenbank neu zu modellieren.<br />

Die Integration von SNMP-Traps (DMTF: CIM_<br />

SNMPTrapIndication) und die ist-verbunden-mit-Beziehung<br />

(DMTF: CIM_ConnectedTo) sind in den Common-<br />

Schemas der DMTF bereits enthalten und lassen sich direkt<br />

wiederverwenden.<br />

5. Potenziale von WBEM<br />

Immer, wenn Technologien neu in eine Domäne eingebracht<br />

werden, stellt sich die Frage nach dem Nutzen und<br />

dem Mehrwert. Sicherlich trifft das bei WBEM – vor allem<br />

zu Beginn – auch zu. Modelle müssen erst erweitert oder<br />

geschaffen, Provider müssen zunächst erzeugt werden.<br />

WBEM bietet jedoch eine Reihe von Vorteilen gegenüber<br />

den bestehenden Lösungen. Durch die starke und noch<br />

zunehmende Verbreitung von WBEM in der IT können<br />

durch den Einsatz in der Automation die beiden Domänen<br />

besser gekoppelt werden. Hier besteht Potenzial für erhebliche<br />

Kosteneinsparungen durch Wiederverwendung<br />

von Informationen, Geräte-Beschreibungen, Modellelementen<br />

und Schnittstellen.<br />

In der IT gibt es Anwendungsszenarien, die in <strong>Management</strong><br />

Profiles beschrieben werden. Sie geben detailliert an,<br />

wie die WBEM-Informationsmodelle für eine spezielle<br />

<strong>Management</strong>-Aufgabe einzusetzen sind. Ähnliches wäre<br />

auch für die Automation denkbar und würde die Interoperabilität<br />

noch einmal deutlich steigen. Weiterhin sind<br />

für WBEM Ansätze vorhanden, die explizit das Thema<br />

IT-<strong>Security</strong> adressieren [10] und vollständig innerhalb des<br />

Informationsmodells arbeiten. Ähnlich zu den aus dem<br />

Datenbankbereich bekannten Anfragesprachen bietet<br />

WBEM mit WQL eine vergleichbare Sprache an. Damit ist<br />

es möglich, im instrumentierten Modell sehr komplexe<br />

Sachverhalte während der Laufzeit einfach abzufragen.<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

55


Hauptbeitrag<br />

Wesentlich bei WBEM ist auch die Möglichkeit, bestehende<br />

Lösungen nahtlos zu integrieren. Dadurch ist es nicht<br />

nur machbar, Legacy-Systeme weiter zu betreiben, sondern<br />

dies führt auch zu einer Abstraktion und Harmonisierung<br />

der Schnittstellen. Letztlich sind für WBEM und CIM eine<br />

Reihe von leistungsfähigen Werkzeugen und Frameworks<br />

verfügbar, die Spezifikation und Implementierung von<br />

Modellen und Providern stark vereinfachen.<br />

Fazit<br />

Für heterogene Anwendungsgebiete wie die Automation<br />

erfordert das <strong>Management</strong> von Eigenschaften mit Auswirkungen<br />

auf die Informationssicherheit leistungsfähige<br />

Ansätze. Nur so kann die notwendige ganzheitliche Betrachtung<br />

erreicht werden. WBEM bietet dafür einen Ansatzpunkt.<br />

Die Konzepte, die hinter WBEM liegen, eignen<br />

sich gut für Ethernet-basierte Automatisierungssysteme,<br />

da eine Vielzahl von Modellen bereits vordefiniert ist.<br />

Eine Erweiterung auf spezifische Kommunikationslösungen<br />

wie Feldbusse ist relativ gut möglich. Dies kann zum<br />

Beispiel durch Beteiligung an der Standardisierung des<br />

Informationsmodells und durch Definition von automatisierungsspezifischen<br />

<strong>Management</strong>profilen erfolgen.<br />

Wie jede leistungsfähige Lösung bringt auch WBEM einigen<br />

initialen Aufwand mit sich. Allerdings sinkt dieser<br />

Aufwand besonders durch die hohe Wiederverwendbarkeit.<br />

WBEM bietet vor allem im Vergleich zu bestehenden<br />

<strong>Management</strong>-Lösungen auf Basis von SNMP größere Flexibilität<br />

und eine deutlich bessere inhärente Informationssicherheit.<br />

Manuskripteingang<br />

15.11.2011<br />

Im Peer-Review-Verfahren begutachtet<br />

Referenzen<br />

[1] VDI/VDE 2182: Informationssicherheit in der industriellen<br />

Automatisierung. Beuth. 2008<br />

[2] ISO/IEC 10040: Information technology -- Open<br />

Systems Interconnection -- Systems management<br />

overview, 1998<br />

[3] Distributed <strong>Management</strong> Task Force, Web-Based<br />

Enterprise <strong>Management</strong> (WBEM) Initiative 2011,<br />

(http://www.dmtf.org/standards/wbem/)<br />

[4] Hutter, M. Szekely, A. und Wolkerstorfer J.:.<br />

Embedded System <strong>Management</strong> using WBEM,<br />

Integrated Network <strong>Management</strong>, IM '09, 2009<br />

[5] Distributed <strong>Management</strong> Task Force,<br />

CIM Infrastructure Specification 2010,<br />

(http://www.dmtf.org/standards/cim)<br />

[6] Hobbs, C.: Practical Approach to WBEM/CIM<br />

<strong>Management</strong>, CRC Press; 1st <strong>edition</strong>, 2004<br />

[7] Distributed <strong>Management</strong> Task Force, 2.29.0 CIM<br />

Schema 2011,<br />

(http://www.dmtf.org/standards/cim/<br />

cim_schema_v2291)<br />

[8] Profibus Profile Guidelines, Part 1, Identification<br />

& Maintenance Functions. Version 1.1,Profibus<br />

International, May 2003, Order-No. 3.502<br />

[9] Wollschlaeger, M., Frenzel, R.: An Information<br />

Model for Life Cycle Support of Field Device related<br />

Documents. WFCS 2006 6th IEEE Workshop on Factory<br />

Communication Systems, 28. 30.06.2006, Turin,<br />

Proceedings pp.231-234<br />

[10] Pilz, A.: Policy-Maker, a Toolkit for Policy-Based<br />

<strong>Security</strong> <strong>Management</strong>, Network Operations and<br />

<strong>Management</strong> Symposium - NOMS 2004, 2004<br />

Autoren<br />

Univ.-Prof. Dr.-Ing.<br />

habil. Martin<br />

Wollschlaeger<br />

(geb. 1964) ist seit<br />

2003 Inhaber der<br />

Professur Prozesskommunikation<br />

an<br />

der TU Dresden.<br />

Arbeitsgebiete sind<br />

industrielle Automatisierungsnetze,<br />

<strong>Management</strong> von heterogenen industriellen<br />

Netzen, Informationsmodelle und<br />

Beschreibungssprachen sowie Integrationsprozesse<br />

in der Automation.<br />

Dipl. Inf. Robert<br />

Lehmann<br />

(geb. 1980) ist seit<br />

2007 wissenschaftlicher<br />

Mitarbeiter<br />

an der Professur<br />

Prozesskommunikation<br />

an der<br />

TU Dresden.<br />

Arbeitsgebiete sind Datensicherheit<br />

in industriellen Automatisierungsnetzen,<br />

<strong>Management</strong> von heterogenen<br />

industriellen Netzen sowie Industrial<br />

Ethernet.<br />

Dipl. Inf. Roman<br />

Frenzel (geb. 1980)<br />

ist seit 2007 wissenschaftlicher<br />

Mitarbeiter an der<br />

Professur Prozesskommunikation<br />

an<br />

der TU Dresden.<br />

Arbeitsgebiete sind<br />

Geräteintegration in industriellen<br />

Automatisierungsnetzen, <strong>Management</strong><br />

von heterogenen industriellen Netzen<br />

sowie die Unterstützung von Profibus<br />

International bei der Umsetzung von<br />

Softwareprojekten.<br />

Technische Universität Dresden,<br />

Institut für Angewandte Informatik,<br />

D-01062 Dresden,<br />

Tel. +49 (0) 351 46 33 96 70,<br />

E-Mail: Martin.Wollschlaeger@tu-dresden.de<br />

Technische Universität Dresden,<br />

Institut für Angewandte Informatik,<br />

D-01062 Dresden,<br />

Tel. +49 (0) 351 46 33 82 38,<br />

E-Mail: Robert.Lehmann@tu-dresden.de<br />

Technische Universität Dresden,<br />

Institut für Angewandte Informatik,<br />

D-01062 Dresden,<br />

Tel. +49 (0) 351 46 34 20 13,<br />

E-Mail: Roman.Frenzel@tu-dresden.de<br />

56<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Überarbeitete<br />

Neuauflage<br />

74,00 €<br />

MES – Grundlage der Produktion von morgen<br />

Effektive Wertschöpfung durch die Einführung von Manufacturing Execution Systems<br />

Entscheidungsträger, die sich mit zukunftsweisenden Produktionssystemen und Rentabilitätsfragen beschäftigen, kommen an MES nicht<br />

mehr vorbei. Nutzen Sie das umfassende Know-how und sichern Sie Ihrem Unternehmen eine hohe Rentabilität. Nach einer Betrachtung<br />

der funktionalen und technologischen Sicht von MES werden Strategien zur exanten Wirtschaftlichkeitsbetrachtung bei der Einführung<br />

von entsprechenden Systemen dargelegt. Dieses einzigartige Buch informiert herstellerneutral und bietet konkrete Einführungshilfen,<br />

Informationen zu Mitarbeiterschulung und Support sowie zwei konkrete Beispiele aus der Industrie.<br />

K. Thiel, H. Meyer, F. Fuchs • 2. Auflage 2010, 296 Seiten, Hardcover • ISBN: 978-3-8356-3183-0<br />

Handbuch der Prozessautomatisierung<br />

Prozessleittechnik für verfahrenstechnische Anlagen<br />

Dieses Handbuch vermittelt das relevante Wissen zur Planung automatisierungstechnischer Einrichtungen für verfahrenstechnische Anlagen<br />

und deckt das ganze Feld der Prozessautomatisierung ab. Behandelt werden Perspektiven der Prozessautomatisierung, informationstechnisch<br />

integrierte Betriebs- und Prozessleittechnik, Methoden, Geräte und Systeme zur Prozessführung, Kommunikation im Feld, Sensorik, Aktorik<br />

sowie die Planung, die Errichtung und der Betrieb automatisierungstechnischer Einrichtungen. Das aktualisierte und erweiterte schlagewerk gibt Hinweise zur Anwendung von Methoden, Systemen und Geräten sowie Marktübersichten mit den technischen Daten.<br />

Standardnach-<br />

K. F. Früh, U. Maier, D. Schaudel • 4. Auflage 2008, 828 Seiten, Hardcover • ISBN: 978-3-8356-3142-7<br />

178,00 €<br />

Top-aktuelle<br />

Neuerscheinung<br />

59,90 €<br />

Automatisierung für die Prozessindustrie<br />

NAMUR-Kompendium 2010<br />

Was interessiert Betreiber von verfahrenstechnischen Anlagen in Zeiten der Krise am meisten? Wie können Krisen als Chance genutzt<br />

werden? Antworten gibt dieses Kompendium, in dem die wichtigsten NAMUR-Aufsätze aus der <strong>atp</strong> der letzten Jahre zusammengestellt<br />

sind. Schärfen Sie Ihren Blick für neue Märkte, verschaffen Sie sich einen Überblick über den Stand der Technik und informieren Sie sich<br />

über Aspekte, die gerade jetzt besonders interessieren. Mit diesem Sammelband bekommen Sie wichtige Anregungen zu den Themen<br />

Anlagensicherheit, Feldbusse, Asset <strong>Management</strong>, Geräteintegration, Instandhaltung oder Umbau bestehender Produktionsanlagen.<br />

Diese Zusammenstellung gibt einen anschaulichen Überblick über die Arbeit der NAMUR.<br />

Hrsg. NAMUR • 1. Auflage 2010, 254 Seiten, Broschur • ISBN: 978-3-8356-3157-1<br />

Wörterbuch der Leit- und Automatisierungstechnik<br />

Im Zuge der Globalisierung werden Übersetzungen von automatisierungstechnischen Fachbegriffen immer wichtiger. Auch die veröffentlichten<br />

Werksnormen sind immer häufiger zweisprachig abgefasst. Entscheider wie auch Praktiker kommen im Berufsalltag mit<br />

fachspezifischen Englischkenntnissen schneller und besser voran. Das neue Wörterbuch (Deutsch – Englisch / Englisch – Deutsch) deckt<br />

alle wichtigen Begriffe der Leit- und Automatisierungstechnik ab und ist deshalb ein überaus nützliches, kompaktes Werk für Ingenieure<br />

und Techniker der Leit- und Automatisierungstechnik.<br />

W, Schorn, N. Große • 1. Auflage 2010, 150 Seiten, Broschur • ISBN: 978-3-8356-3170-0<br />

Top-aktuelle<br />

Neuerscheinung<br />

39,90 €<br />

Sofortanforderung im Online-Shop www.oldenbourg-industrieverlag.de<br />

oder telefonisch +49 (0)201 / 82002-14<br />

OLDENBOURG INDUSTRIEVERLAG GMBH<br />

VULKAN-VERLAG GMBH<br />

www.oldenbourg-industrieverlag.de • www.vulkan-verlag.de


hauptbeitrag<br />

Entwicklung von IT-<strong>Security</strong>-<br />

Tests für Profinet IO<br />

Schwachstellenminimierung bei der Geräteentwicklung<br />

Im Rahmen des Forschungsvorhabens VuTAT (Vulnerability Tests of AT Components)<br />

wird ein Testframework auf Basis frei verfügbarer Open Source Software entwickelt. Die<br />

Testmethodik fokussiert auf eine weitgehend automatisierte Identifikation und Analyse<br />

von IT-<strong>Security</strong>-Schwachstellen Ethernet-basierter Automatisierungskomponenten. Der<br />

Beitrag analysiert etablierte Testmethoden und Werkzeuge und die spezifiziert anwendungs-<br />

und kommunikationsbezogenen Kenngrößen, um die Testansätze systematisch zu<br />

erweitern.<br />

SCHLAGWÖRTER Informationssicherheit / Test / Robustheit / Profinet IO<br />

Development of IT <strong>Security</strong> Tests for Profinet IO –<br />

Manage Vulnerabilities in the Device Development<br />

In the VuTAT research project, a test framework will be defined and implemented which<br />

is based on open source software. The test method focusses on the identification and analysis<br />

of IT security vulnerabilities of Ethernet-based automation components. Established<br />

test methods and tools are analysed, as well as application and communication related<br />

characteristic parameters, with the aim of systematically extending the test approach.<br />

KEYWORDS IT security / robustness / test / Profinet IOx<br />

58<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Heiko Adamczyk, Tino Doehring, ifak e.V. Magdeburg<br />

Mit der VDI/VDE-Richtlinie 2182 wird aus dem<br />

Blickwinkel der industriellen Automation aufgezeigt,<br />

dass ein kausaler Zusammenhang zwischen<br />

Bedrohung (zum Beispiel Virus),<br />

Schwachstelle (beispielsweise Design-, Implementierungs-,<br />

Konfigurationsfehler im Kommunikations-<br />

Stack) und Risiko besteht. Zerlegt man das Risiko in seine<br />

zwei klassischen Faktoren, so erhält man das Schadensausmaß<br />

und die Eintrittswahrscheinlichkeit. Wird weiterhin<br />

angenommen, dass Bedrohungen (zum Beispiel nach BSI-<br />

Grundschutzkatalog [5]) latent vorhanden sind und sie nicht<br />

ohne Weiteres eliminiert werden können – auch nicht, wenn<br />

auf jegliche Kommunikationstechnik verzichtet wird. Bereits<br />

über einen externen Speicher kann ein Virus jederzeit in ein<br />

Automatisierungsgerät eingebracht werden, vorausgesetzt,<br />

das Gerät verfügt über eine solche externe Speicherschnittstelle.<br />

Geht man nun einen Schritt weiter und betrachtet auch<br />

die vorhandene Feldbusschnittstelle, dann wird klar, dass<br />

ein gewisses Bedrohungspotenzial immer prinzip- beziehungsweise<br />

konstruktionsbedingt existiert. Mit der Einführung<br />

Ethernet-basierter Automatisierungsprotokolle, vertikaler<br />

Integration, Fernwartung und Fernsteuerung steigt<br />

automatisch die Bedeutung der Einhaltung von Anforderungen<br />

an die Informationssicherheit (IT-<strong>Security</strong>).<br />

Im Forschungsvorhaben VuTAT [1] wurde die beschriebene<br />

Wirkungskette näher beleuchtet. Dabei ging es darum,<br />

wie Hersteller von Automatisierungslösungen einen wirkungsvollen<br />

Beitrag zur Berücksichtigung von IT <strong>Security</strong><br />

bei der Geräteentwicklung leisten können. Letztlich war<br />

die Frage zu beantworten, an welchem Hebel der Wirkungskette<br />

einfach und effektiv angesetzt werden kann. Das Risiko<br />

mit den Faktoren Eintrittswahrscheinlichkeit und<br />

Schadensausmaß bedingt Wissen über die Endanwendung,<br />

inklusive der Assets. Dieser Hebel steht allerdings mehr<br />

dem Endanwender und weniger dem Hersteller zur Verfügung.<br />

Wenn die genannten Faktoren aus der Wirkungskette<br />

gestrichen werden, bleibt allein die Schwachstelle übrig.<br />

Liegen dem Hersteller keine IT-<strong>Security</strong>-Anforderungen<br />

vor, besteht nicht die Notwendigkeit einer Implementation<br />

von speziellen IT-<strong>Security</strong>-Schutzfunktionen (zum Beispiel<br />

Mechanismen zur Verschlüsselung, der Integritätssicherung).<br />

Trotzdem kann und sollte er einen Beitrag zur<br />

Gewährleistung von IT-<strong>Security</strong> während der Produktentwicklung<br />

leisten. Die Etablierung eines IT-<strong>Security</strong>-relevanten<br />

Entwicklungsprozesses wäre ein zielführender<br />

Beitrag, wie er unter anderem in den Forschungsvorhaben<br />

Mosaik [7] und flexWARE [8] beschrieben wird. VuTAT<br />

liefert einen entscheidenden Beitrag zur Identifikation und<br />

Analyse von IT-<strong>Security</strong>-Schwachstellen in Ethernet-basierten<br />

Automatisierungsgeräten. Erste Ansätze werden<br />

dabei in diesem Beitrag vorgestellt.<br />

1. Standardisierung von IT-<strong>Security</strong>-Tests<br />

Ein wesentlicher Aspekt bei der Umsetzung eines IT-<strong>Security</strong>-relevanten<br />

Entwicklungsprozesses ist es, Schwachstellen<br />

zu reduzieren. Unter Schwachstellen werden Fehler im Sinne<br />

von Design-, Implementierungs- beziehungsweise Konfigurationsfehlern<br />

betrachtet. Grundlage der Analyse sind<br />

dabei Standards und Guidelines aus dem IT-<strong>Security</strong>-Umfeld,<br />

insbesondere aus dem Anwendungsbereich der industriellen<br />

Automatisierung. Als besonders relevant wurden<br />

Standards der ISO/IEC 27000-Serie und der IEC 62443 bewertet.<br />

Darüber hinaus hat sich in Deutschland die VDI/<br />

VDE-Richtlinie 2182 etabliert. Erwähnenswert sind ebenfalls<br />

die Arbeitsergebnisse des National Institute of Standards and<br />

Technology [2], die Open Information System <strong>Security</strong><br />

Group [3], das Open Source <strong>Security</strong> Testing Methodology<br />

Manual [4], das Bundesamt für Sicherheit in der Informationstechnik<br />

[5] sowie die Profibus-Nutzerorganisation e.V. [6].<br />

Die von diesen Organisationen veröffentlichten Methoden<br />

wurden im Vorhaben VuTAT analysiert und bewertet.<br />

Aus dem Blickwinkel der aufgeführten Aktivitäten erscheinen<br />

vor allem die Ansätze des ISA <strong>Security</strong> Compliance<br />

Institute (ISCI), das in direktem Zusammenhang mit<br />

der IEC 62443 steht, und die Aktivitäten innerhalb der<br />

PNO, konkret im Arbeitskreis Profinet-<strong>Security</strong>, relevant.<br />

Im folgenden Abschnitt werden diese ausgewählten Aktivitäten<br />

eingehender beleuchtet. VuTAT verfolgt einen<br />

Best Practice-Ansatz, in dem möglichst viele bestehende<br />

Ansätze aufgegriffen werden.<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

59


Hauptbeitrag<br />

2. Analyse IT-<strong>Security</strong>-relevanter Tests<br />

Im Umfeld der PNO wurde Ende 2009 das Profinet IO Net<br />

load Whitepaper [11] erarbeitet. Ziel ist, anhand von definierten<br />

Netzlast-Parametern, qualitative Aussagen zum<br />

Netzlastverhalten von Profinet IO (PNIO)-Geräten treffen zu<br />

können. Basierend auf diesem Whitepaper existiert seit Anfang<br />

2011 ein Werkzeug, das für PNO Mitglieder als „Profinet<br />

<strong>Security</strong> Level 1 Tester“ auf der PNO-Webseite zum<br />

kostenfreien Download zur Verfügung steht. Inwieweit nun<br />

IT-<strong>Security</strong>-Aspekte, wie zum Beispiel Denial of Service<br />

(DoS), damit abgedeckt werden, wurde im Vorhaben VuTAT<br />

speziell untersucht. Ergebnis der Analyse: Das Werkzeug<br />

Profinet <strong>Security</strong> Level 1-Tester, das eine Implementierung<br />

der Konzepte des Whitepapers darstellt, führt eher Robustheitstests<br />

und weniger dedizierte <strong>Security</strong>-Tests durch. So<br />

werden beispielsweise DoS-Tests explizit ausgeklammert.<br />

2.1 Profinet IO Net load Whitepaper<br />

Das Profinet IO Net load Whitepaper beschreibt Robustheitstests<br />

ausschließlich für PNIO-Geräte. Es wurden ausgewählte<br />

Parameter definiert, die eine qualitative Aussage<br />

zum Netzlastverhalten von PNIO-Geräten ermöglichen.<br />

Diese Aussagen werden während des Zertifizierungsprozesses<br />

gesammelt und sind informativer Bestandteil des<br />

Profinet-IO-Device-Zertifikats. Unter dem Begriff Net class<br />

IO<br />

Controller<br />

Monitoring<br />

via TAP<br />

Level 1 Level 2<br />

Level 3<br />

Software Development <strong>Security</strong> Assessment<br />

IO Device<br />

(Switch)<br />

IO Device<br />

under Test<br />

(DUT)<br />

IO Device<br />

(Switch)<br />

Functional <strong>Security</strong> Assessment<br />

Load Generator<br />

Communication Robustness Testing<br />

(all levels)<br />

Bild 1: Testsystem des Profinet <strong>Security</strong> Level 1-Tester<br />

Bild 2: ISASecure EDSA-Programm<br />

Certification scheme<br />

(100)<br />

Maintenance of<br />

ISASecure<br />

certification (301)<br />

ISASecure<br />

certification<br />

requirements (300)<br />

Chartered lab<br />

operations and<br />

accreditation (200)<br />

CRT tool<br />

recognition<br />

(201)<br />

ISCI certification<br />

scheme<br />

operation (101)<br />

Bild 3:<br />

Zertifizierungsschema<br />

nach ISCI [9].<br />

FSA<br />

(311)<br />

SDSA<br />

(312)<br />

CRT<br />

common<br />

(310)<br />

Report<br />

example<br />

(303)<br />

Symbol and<br />

certificates<br />

(204)<br />

ASCI Chartered<br />

Test Lab Process<br />

ISO/IEC Guide 65<br />

ans IAF version<br />

ISO/IEC 17025<br />

ISO/IEC 17011<br />

CRT<br />

"Ethernet"<br />

(401)<br />

CRT<br />

ARP<br />

(402)<br />

CRT<br />

IPv4<br />

(403)<br />

CRT<br />

ICMPv4<br />

(404)<br />

CRT<br />

UDP<br />

(405)<br />

CRT<br />

TCP<br />

(406)<br />

PNIO Kommunikationskanal<br />

Anwendungsschnittstelle<br />

Anwendungsschnittstelle<br />

PNIO Kommunikationskanal<br />

Anwendungsschnittstelle<br />

Anwendungsschnittstelle<br />

Anwendung<br />

(Producer)<br />

Anwendung<br />

(Consumer)<br />

Anwendung<br />

(Producer)<br />

comm.req<br />

1<br />

PNIO Controller<br />

PNIO Device<br />

1<br />

Anwendung<br />

(Consumer)<br />

comm.ind<br />

Übertragungs<br />

-zeit<br />

Sendezyklusinterval<br />

comm.req<br />

1<br />

2<br />

PNIO Controller<br />

PNIO Device<br />

1<br />

2<br />

comm.ind<br />

Aktualisierungs<br />

-zeit<br />

Bild 4: Definition der Übertragungszeit<br />

Bild 5: Definition der Aktualisierungszeit<br />

60<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


wird so jedem zertifizierten PNIO-Device die Robustheit<br />

gegenüber definierten Netzlasten bescheinigt.<br />

Eine Umsetzung des Whitepapers erfolgte mit dem<br />

Werkzeug Profinet <strong>Security</strong> Level 1-Tester. Das Linuxbasierte<br />

Testwerkzeug (Kanotix, basiert auf Debian) arbeitet<br />

mit vordefinierten Testfällen, den KTpnio_NetzlastSequenzen.<br />

Sie sind als Skripte realisiert und lassen<br />

sich so einfach vom Nutzer ausführen. Dafür wird lediglich<br />

ein Paketgenerator benötigt (PackETH), der vorab in<br />

das Kanotix zu installieren ist. Während der Tests werden<br />

verschiedene Protokolle eingesetzt. Mit ihnen werden<br />

folgende zwei Klassen von Netzwerklasten erzeugt:<br />

Ungerichtete Netzwerklast: Hierbei werden Garbage-<br />

Telegramme mit unterschiedlichen Längen und undefiniertem<br />

Inhalt als Unicast, Multicast und Broadcast<br />

verwendet. Diese Telegramme sind direkt an das zu<br />

testende Gerät adressiert.<br />

Gerichtete Netzwerklast: Hier wird der Prüfling unter<br />

anderem mit den IT-Standard-Protokollen ARP, RARP,<br />

LLDP, IP, ICMP, TCP, UDP sowie den PNIO-Protokollen<br />

RTC, RTA, MRP, DCP und PTCP stimuliert (Broadcast,<br />

Multicast, Unicast).<br />

Die Testfälle werden in drei Klassen unterteilt:<br />

Normal Operation: Dabei behält ein Gerät seine vollständige<br />

Funktionalität bei, was beispielsweise den Erhalt<br />

der Echtzeitkommunikation und die Erreichbarkeit zusätzlicher<br />

Dienste, wie zum Beispiel SNMP, bedeutet.<br />

Limited Communication: Ein Gerät erfüllt seine Hauptaufgabe<br />

weiterhin, wobei die Echtzeitkommunikation<br />

ebenfalls nicht gestört sein soll. Allerdings muss die<br />

Erreichbarkeit von zusätzlichen Diensten, beispielsweise<br />

FTP, nicht gesichert sein.<br />

Faulty Communication: In dieser Klasse kann es vorkommen,<br />

dass die Hauptaufgabe eines Geräts stark beeinträchtigt<br />

wird. In diesem Fall ist die Echtzeitkommunikation<br />

nicht länger gesichert. Als Akzeptanzkriterium<br />

ist dabei wichtig, dass das Gerät nach Beendigung<br />

der Tests ohne einen Neustart oder Defekt wieder<br />

die normale Kommunikation (Echtzeit, zusätzliche<br />

Dienste) aufnehmen kann.<br />

Der Testsystemaufbau wird im Bild 1 dargestellt. Er verdeutlicht,<br />

dass das Monitoring der bestehenden Profinet-<br />

Echtzeitkommunikation zwischen dem IO-Controller<br />

und dem IO-Device-under-Test und der vom LoadGenerator<br />

erzeugten Netzwerklast anhand eines separaten,<br />

hoch performanten Monitors erfolgen muss. Die Performance<br />

ist deshalb wichtig, da eine große Anzahl versendeter<br />

Pakete ein Software-seitiges Monitoring, zum Beispiel<br />

durch Wireshark, kaum ermöglicht. Dies tritt insbesondere<br />

bei Messungen über einen längeren Zeitraum<br />

auf. Messungen sind jedoch zwingend notwendig, da<br />

außer der Aufzeichnung keine weiteren Ergebnisse, beispielsweise<br />

aus Sicht der Anwendung, erzeugt werden.<br />

Es erfolgt demnach auch keine automatische Bewertung<br />

der Akzeptanzkriterien. Dies ist mit Hilfe der Protokoll-<br />

Aufzeichnungen und anhand des Zustandes des Prüflings<br />

manuell durchzuführen. Das Whitepaper bietet<br />

dazu keine Hilfestellung, Es definiert auch nicht den<br />

Ausgangszustand des Prüflings. Zum geforderten Ausgangszustand<br />

der Anwendung und der Kommunikation<br />

des Prüflings werden keine Aussagen getroffen.<br />

2.2 Spezifikationen des ISA <strong>Security</strong> Compliance Institute<br />

Das ISCI wurde 2007 von Organisationen der Industrial<br />

Automation Controls Community mit dem Ziel gegründet,<br />

ein höheres Sicherheitslevel für industrielle Automatisierungssysteme<br />

zu erreichen Dies soll durch Zertifizierungstests<br />

angestrebt werden, die im Prüfling den Standard-<br />

Protokoll-Stack auf seine Robustheit hin testen. Dazu<br />

wurde für eingebettete Systeme das ISASecure EDSA<br />

Certification-Schema entwickelt (EDSA – Embedded Device<br />

<strong>Security</strong> Assurance Certification), das sich an etablierten<br />

Testprozeduren orientiert. Beispiel dafür ist die<br />

Safety Integrity Level- (SIL) Zertifizierung nach dem internationalen<br />

Standard IEC 61508 (funktionale Sicherheit).<br />

Das ISASecure EDSA Programm bietet für ein Gerät drei<br />

Zertifizierungslevel an (siehe Bild 2). Auf Basis der Level<br />

werden folgende Testziele verfolgt:<br />

Software Development <strong>Security</strong> Assessment (SDSA):<br />

Begutachtung des Softwareentwicklungsprozesses und<br />

Erstellung der Anforderungen für die Entwicklungsphasen,<br />

Functional <strong>Security</strong> Assessment (FSA): Begutachtung<br />

der Sicherheitsfunktionen des Gerätes,<br />

Communication Robustness Testing (CRT): Dieses Element<br />

der Zertifizierung bildet den Robustheitstest.<br />

Durch die Level erfolgt eine Abstufung der Testtiefe hinsichtlich<br />

der Testziele SDSA, FSA und CRT. Aus Sicht des<br />

Vorhabens VuTAT ist allein das CRT interessant. Für VuTAT<br />

werden diese Robustheitstests zur Schwachstellenidentifikation<br />

und -analyse von Ethernet-basierten Automatisierungsgeräten<br />

herangezogen. Eine Begutachtung des Softwareentwicklungsprozesses<br />

und der im Gerät möglicherweise<br />

implementierten IT-Sicherheitsfunktionen spielen<br />

in VuTAT keine Rolle. Letzteres trifft zu, da PNIO gemäß<br />

IEC 61158 keine expliziten IT-Sicherheitsfunktionen definiert.<br />

Selbst die IEC 62443 enthält derzeit keine technischen<br />

IT Sicherheitsfunktionen für PNIO-Geräte.<br />

Hinter dem CRT verbirgt sich eine Vielzahl von Protokoll-<br />

Testspezifikationen, die von der Webseite kostenfrei bezogen<br />

werden können [9]. Einen Überblick vermittelt Bild 3.<br />

Das CRT ist in fünf Prioritätsgruppen von Netzwerkprotokollen<br />

eingeteilt, wobei bis heute lediglich Gruppe 1<br />

umgesetzt wurde. Die Gruppen 2 bis 5 sollen später folgen.<br />

Zur Gruppe 1 gehören IEEE 802.3 (Ethernet), ARP, IPv4,<br />

ICMPv4, TCP und UDP. Interessant unter dem Aspekt<br />

VuTAT ist jedoch die Gruppe 4, zu der unter anderem die<br />

PNIO-Protokolle zählen. Aus heutiger Sicht bedeutet dies,<br />

dass keine existierenden ISCI-Testcases adaptiert beziehungsweise<br />

integriert werden können.<br />

Auf Basis dieser Ausgangssituation wird eine Testmethodik<br />

definiert, die möglichst viel von den aufgezeigten<br />

Ansätzen übernimmt.<br />

3. Definition von anwendungsbezogenen<br />

KenngröSSen<br />

Standardtests zur einheitlichen Bewertung industrieller<br />

Kommunikationslösungen müssen in erster Linie anwendungsorientierte<br />

Ergebnisse liefern. In den bisher vorgestellten<br />

Ansätzen fehlte diese Sichtweise. Hersteller,<br />

Dienstleister oder Anwender müssen in der Lage sein, die<br />

Ergebnisse der Tests mit Bezug zur automatisierungstech-<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

61


Hauptbeitrag<br />

nischen Anwendung beurteilen zu können. Im Vergleich<br />

eignet sich die Angabe reiner kommunikations- und gerätespezifischer<br />

Parameter weniger für eine Beurteilung.<br />

Es gilt nun, anwendungsbezogene Kenngrößen zu definieren.<br />

Dabei stellt sich die Frage, welcher essentiellen<br />

Anwendung basierend auf PNIO können Kenngrößen<br />

zugeordnet und im Testverlauf einfach ermittelt werden?<br />

Hier lohnt es sich, zunächst einen Blick in die zahlreichen<br />

ISCI-Spezifikationen zu werfen. In EDSA310 [10] findet<br />

sich die Definition der Essential Services. Das sind jene<br />

Gerätefunktionen, die vor der Testdurchführung gemeinsam<br />

vom Hersteller und Testlabor als Beobachtungsgrundlage<br />

zu definieren sind. Auf sie beziehen sich dann die zu<br />

definierenden Akzeptanzkriterien. Entscheidend ist, dass<br />

die Festlegung der Essential Services individuell ausfällt.<br />

Es lässt sich demnach keine einheitliche Definition finden.<br />

3.1 Definition der Essential Services<br />

Im Vorhaben VuTAT werden für PNIO die Dienste auf Basis<br />

der Realtime Cyclic, Realtime-Acyclic-Protokolle und<br />

des Contextmanagements als Essential Services betrachtet.<br />

Die Grundlage bildet eine Application Relationship (AR).<br />

Eine AR beschreibt unter anderem die Art und Menge der<br />

Kommunikationsbeziehungen (Communication Relationship<br />

– CR) zwischen zwei PNIO-Geräten. Eine CR bildet<br />

quasi echte Kommunikationsflüsse ab, in denen sich zyklische<br />

Nutzdaten mithilfe des Realtime-Cyclic-Protokolls<br />

(RTC) und azyklische Nutzdaten mittels des Realtime-<br />

Acyclic-Protokolls (RTA) austauschen lassen. Diese Protokolle<br />

sind in der IEC 61158 definiert. Sie bilden den echtzeitfähigen<br />

Kern eines PNIO-Kommunikationssystems<br />

und gelten damit als Essential Services mit der höchsten<br />

Bedeutung. Mittels RTC werden hauptsächlich periodische<br />

Daten, meist I/O-Daten wie zum Beispiel Sensorwerte,<br />

ausgetauscht. Die dafür verwendeten Dienste sind unbestätigte<br />

Dienste (Consumer-Provider-Modell). Mittels<br />

RTA werden hingegen aperiodische Daten ausgetauscht,<br />

das können beispielsweise Alarme oder Diagnoseinformationen<br />

sein. RTA-basierte Dienste sind bestätigte Dienste.<br />

Neben RTA/RTC definiert PNIO ein Contextmanagement,<br />

das für Verbindungsaufbau, Konfiguration und Parametrierung<br />

zuständig ist. Das Contextmanagement nutzt hier Remote<br />

Procedure Call (RPC), einen in der Office-Welt etablierten<br />

Dienst. RPC selbst ist in RFC-1057 und RFC-5531<br />

beschrieben. Der RPC-Dienst ist ebenfalls ein bestätigter<br />

Dienst und arbeitet nach dem Client-Server-Modell. Darüber<br />

hinaus gehört zum Contextmanagement noch das Profinetspezifische<br />

Discovery and Configuration Protocol (DCP),<br />

das zur Namens- und Adressauflösung verwendet wird.<br />

3.2 Übertragungszeit<br />

Die Übertragungszeit (Transmission Time) ist eine grundlegende<br />

Kenngröße, die es ermöglicht, die Verfügbarkeit und<br />

Echtzeitfähigkeit eines PNIO-Systems zu bewerten. Dabei ist<br />

von Interesse, wie lange die Übertragung eines Nutzdatums<br />

vom Producer (zum Beispiel ein Sensor) bis zum Consumer<br />

(beispielsweise einer Steuerung) dauert. Ein einheitliches<br />

Verständnis dieser Zeitspanne erfordert die genaue Festlegung<br />

des Starts der Messung und deren Ende. Gemäß VDI/<br />

VDE Richtlinie 2185 ist die Übertragungszeit der Zeitabschnitt<br />

von der Übergabe des ersten atomaren Bestandteils<br />

der Nutzdaten (Bit, Oktet) an der Schnittstelle zwischen Anwendung<br />

und PNIO-Kommunikation eines Producers und<br />

der Übergabe des letzten atomaren Bestandteils derselben<br />

Nutzdaten an der Schnittstelle zwischen PNIO-Kommunikation<br />

und Anwendung eines Consumers (siehe Bild 4).<br />

Die Übertragungszeit eignet sich als Kenngröße der Echtzeitfähigkeit<br />

besonders für Anwendungen mit aperiodischem<br />

Kommunikationsbedarf. Unabhängig vom zeitlichen<br />

Abstand zweier Übertragungen lässt sich der Zeitpunkt der<br />

Bereitstellung der Nutzdaten am Consumer bewerten.<br />

3.3 Aktualisierungszeit<br />

Die Aktualisierungszeit (Update time) entspricht im Idealfall<br />

dem Sendezeitintervall (siehe Bild 5). Das heißt, die<br />

übertragenen Nutzdaten werden an der Anwendungsschnittstelle<br />

des Consumers in denselben zeitlichen Abständen<br />

übernommen, wie sie an der Anwendungsschnittstelle<br />

des Producers übergeben wurden. Die Aktualisierungszeit<br />

ist definiert als der Zeitabschnitt von der Übergabe des letzten<br />

atomaren Bestandteils der Nutzdaten eines Producer an<br />

der Anwendungsschnittstelle eines Consumer bis zur Übergabe<br />

des letzten atomaren Bestandteils der unmittelbar<br />

nachfolgend übertragenen Nutzdaten vom gleichen Producer.<br />

Die Aktualisierungszeit eignet sich besonders für die<br />

Bewertung der Echtzeitfähigkeit von Anwendungen mit<br />

periodischem Kommunikationsbedarf. Sie kann auch zur<br />

Ermittlung der Verfügbarkeit genutzt werden.<br />

3.4 Fehlerkenngrößen<br />

Weitere anwendungsbezogene Kenngrößen sind Fehlerkenngrößen.<br />

Dazu gehören:<br />

Anzahl korrekt empfangener Pakete: Für die Anzahl korrekt<br />

empfangener Pakete gilt, dass der Dateninhalt des<br />

empfangenen mit dem Dateninhalt des gesendeten Paketes<br />

übereinstimmt und die Reihenfolge der empfangenen Pakete<br />

mit der Reihenfolge der gesendeten Pakete identisch<br />

sein muss. Überholte Pakete werden als Verlust gewertet.<br />

Anzahl verlorener Pakete: Ein Paket gilt als verloren,<br />

wenn das an der Anwendungsschnittstelle des Producers<br />

übergebene Paket nicht oder außerhalb eines definierten<br />

Zeitfensters an der Anwendungsschnittstelle<br />

des Consumers übergeben wird.<br />

3.5 Weitere Kenngrößen<br />

In der derzeitigen Bearbeitungsphase (Stand: Januar 2012)<br />

sind weitere Kenngrößen identifiziert, deren Relevanz für<br />

IT-<strong>Security</strong>-relevante Tests jedoch noch nachzuweisen<br />

ist, Beispiel Verbindungsaufbauzeit. Sie definiert die Zeitspanne<br />

zwischen dem Namensauflösungsalgorithmus<br />

mithilfe des Discovery and Configuration Protocol (DCP)<br />

und der „ApplicationReady“-Quittierung des Prüflings.<br />

3.6 Einführung von Robustheitsklassen<br />

Eine Klassifikation der Robustheit ermöglicht es dem Hersteller,<br />

sein Produkt für eine definierte Situation robust<br />

zu gestalten. Da er ohnehin einen Spagat zwischen Per-<br />

62<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Service Client<br />

IOC<br />

Index Bedeutung<br />

Service Server<br />

IOD<br />

0xAFF0<br />

0xF841<br />

0x802A<br />

0xC000<br />

I&M0<br />

PDRealData<br />

PDPortDataReal<br />

ExpectedIdentification<br />

for one Slot<br />

ClientCall.Request<br />

I&M0<br />

Index<br />

MIB<br />

Parameter<br />

0xC001<br />

0xE000<br />

0xF000<br />

…<br />

RealIdentification<br />

forone Slot<br />

ExpectedIdentificationData<br />

for one AR<br />

RealIdentificationData<br />

for one API<br />

…<br />

MIB<br />

ServerCall.Response<br />

VendorID,<br />

OrderID,<br />

SerialNumber,<br />

HWRevision,…<br />

I&M0<br />

PDRealData<br />

…<br />

VendorID,<br />

OrderID,<br />

SerialNumber,<br />

HWRevision ,…<br />

…,<br />

PortID ,<br />

PeerPortID,<br />

PeerChassisID,<br />

PeerMAC,<br />

MAUType ,<br />

LinkState,<br />

MediaType<br />

…<br />

Bild 6: Auslesen<br />

der PNIO-MIB<br />

Index Bedeutung Informationen<br />

0xAFF0 I&M0 Hersteller ID, Ordernummer, Seriennummer, Hardwarerevisionsnummer,…<br />

0xF841<br />

PDRealData<br />

0x802A PDPortDataReal Bestandteil von PDRealData<br />

0xC000<br />

0xC001<br />

0xE000<br />

…<br />

0x8072<br />

0xF830<br />

ExpectedIdentification for one Slot<br />

RealIdentification for one Slot<br />

ExpectedIdentificationData for one AR<br />

…<br />

Fkt.4<br />

PDPortStatistic LogData<br />

Eigene Portinformationen (MAUType, LinkStatus, MediaType), Nachbarschaftsinformationen<br />

(Portinformationen, Chassis ID, MAC), …<br />

Slotnummer, ModuleID, Anzahl der Subslots,<br />

Subslotliste mit Slotnummer und SubmoduleID<br />

Slotnummer, ModuleID, Anzahl der Subslots,<br />

Subslotliste mit Slotnummer und SubmoduleID<br />

Anzahl der Slots , Liste mit Slotnummer, ModuleID, Anzahl der Subslots,<br />

Subslotliste mit Slotnummer und SubmoduleID<br />

Anzahl von empfangenen/gesendet Paketen, verworfenen Paketen<br />

(In/Out) und aufgetretenden Fehlern (In/Out)<br />

Lokaler Zeitstempel im IOD, Anzahl der Log-Einträge, Log-Einträge<br />

(AR, Status, Details)<br />

Bild 7: Inhalte der PNIO-MIB (Auszug)<br />

Single Port IUT<br />

Testwerkzeug (PC-basiert)<br />

Applikation<br />

PC<br />

GUI<br />

Ergebnis<br />

PN RT<br />

API (upper layer)<br />

PN CM<br />

PN NRT<br />

ETH<br />

IT Standard<br />

Protokolle<br />

Testtool<br />

(Open Source)<br />

Auswertung<br />

(Protokollierung)<br />

Testadapter<br />

(Lower Tester))<br />

Testfall<br />

Parameter<br />

API<br />

(lower layer)<br />

Controller<br />

Strack<br />

MIB<br />

Kenngrößen<br />

API<br />

(lower layer)<br />

Controller<br />

Strack<br />

PN CTL<br />

Bild 8:<br />

Architekturvorschlag<br />

des VuTAT-Testsystems [1]<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

63


Hauptbeitrag<br />

formance, Ressourcenbedarf und Herstellungskosten zu<br />

bewältigen hat, ist es sinnvoll, Geräte verschiedenen Klassen<br />

zuordnen zu können. Dieser Ansatz ist also zweckoptimiert,<br />

denn nicht jedes Gerät muss letztlich so leistungsfähig<br />

sein, dass es die höchsten Robustheitsanforderungen<br />

erfüllt. Der Betreiber kann so ein für seine Anforderungen<br />

optimales Produkt auswählen.<br />

Die im Folgenden vorgestellten Robustheitsklassen spiegeln<br />

einen ersten Ansatz wider. Zur tatsächlichen Bestimmung<br />

sinnvoller Robustheitsklassen müssen in weiteren<br />

praktischen Untersuchungen Bedingungen variiert werden,<br />

um die optimalen Kenngrößen und Beobachtungszeiträume<br />

festzulegen.<br />

Diskussionsgrundlage ist die zuvor definierte Aktualisierungszeit<br />

für die mit dem RTC-Protokoll zu übertragenden<br />

Nutzdaten. Bei der messtechnischen Ermittlung dieser<br />

Kenngröße ist zu beachten, dass es sich um einen<br />

statistischen Messwert handelt. Die Angabe des Perzentil<br />

95 (p95)-Wertes ist ein erster Ansatz. Anhand der unter<br />

Idealbedingungen ermittelten Aktualisierungszeit lassen<br />

sich nun Grenzwerte in unterschiedlicher Größe definieren,<br />

wovon sich letztlich die Robustheitsklassen ableiten.<br />

Beispielsweise erfüllt ein Prüfling die Klasse 1, wenn im<br />

gesamten Testverlauf seine gemessene Aktualisierungszeit<br />

den unter Idealbedingungen ermittelten Wert um<br />

nicht mehr als 10 % übersteigt. Weiterhin wurden für die<br />

Klasse 2 zunächst 30 % und für die Klasse 3 zunächst<br />

50 % als Initialwerte vorgeschlagen. Der Begriff Initialwerte<br />

verdeutlicht, dass diese Werte noch angepasst werden.<br />

Dazu ist eine Testspezifikation notwendig, die in<br />

Referenzen<br />

[1] VuTAT – Vulnerability Tests of AT Components, Laufzeit:<br />

10/2009 bis 12/2012, FKZ:16231 BG1, BMWi über AiF<br />

[2] NIST, Creating a Patch and Vulnerability <strong>Management</strong><br />

Program, Special Publication 800-40 Version 2.0<br />

[3] Information Systems <strong>Security</strong> Assessment Framework<br />

(ISSAF) draft 0.2, 01, OISSG, 2005<br />

[4] OSSTMM 3 - The Open Source <strong>Security</strong> Testing<br />

Methodology Manual, 2010<br />

[5] Bundesamt für Sicherheit in der Informationstechnik,<br />

IT-Grundschutz-Kataloge, Online auf https://www.bsi.<br />

bund.de/ContentBSI/grundschutz/kataloge/kataloge.html<br />

[6] Profibus Nutzerorganisation e.V., Arbeitskreis Profinet<br />

<strong>Security</strong>, 2012<br />

[7] MOSAIK – Modellbasiertes Software Engineering für<br />

IT-sichere eingebettete Geräte von KMU, Laufzeit:<br />

07/2009 bis 06/2012, FKZ: VF081029, BMWi<br />

[8] flexWARE – Flexible Wireless Automation in Real-Time<br />

Environments, Laufzeit: 09/2008 bis 02/2012, FKZ: EU<br />

ICT-224350<br />

[9] ISA <strong>Security</strong> Compliance Institute; http://www.isasecure.org/,<br />

letzter Zugriff am 17.02.2012<br />

[10] EDSA-310, ISA <strong>Security</strong> Compliance Institute – Embedded<br />

Device <strong>Security</strong> Assurance – Common requirements<br />

for communication robustness testing of IP-based<br />

protocol implementations; Version 1.7; September 2010<br />

[11] White Paper Profinet IO Net load, Version 1.0, Ausgabe 1,<br />

Profibus &Profinet Nutzerorganisation e. V., 2009-11-23<br />

ihrer ersten Umsetzung zeigen wird, was die Geräte unter<br />

den Testbedingungen überhaupt erreichen. Erste Testcases<br />

werden im Vorhaben VuTAT entworfen und derzeit<br />

im Profinet-<strong>Security</strong>-Arbeitskreis der PNO diskutiert [6].<br />

4. Kommunikationsbezogene KenngröSSen<br />

Für die Diagnose im Rahmen der IT-<strong>Security</strong>-Tests wurden<br />

im Vorfeld Kenngrößen zur Verhaltensbeurteilung des<br />

Prüflings aus Anwendersicht eingeführt. Akzeptanzkriterien<br />

allein auf Basis dieser Kenngrößen sind zwar neu<br />

und zudem wünschenswert, aber letztlich nicht ausreichend.<br />

Eine vollständige Verhaltensbeurteilung des Prüflings<br />

muss sämtliche Schnittstellen in Betracht ziehen.<br />

Die Stimulation des Prüflings erfolgt ausschließlich über<br />

die PNIO-Schnittstelle. Bei näherer Betrachtung kann sie<br />

auch als Diagnoseschnittstelle fungieren. Natürlich muss<br />

dies differenziert betrachtet werden, da die Diagnosefähigkeit<br />

dieser Schnittstelle im Testverlauf möglicherweise<br />

stark eingeschränkt ist. So wird beispielsweise bei einem<br />

Test zur Überprüfung des Verhaltens bei Denial of Service<br />

beziehungsweise Volllastsituationen die Schnittstelle so<br />

stark belastet, dass sie keine oder nur unzuverlässige Diagnoseinformationen<br />

liefert.<br />

Ungeachtet derartiger Randbedingungen wurde untersucht,<br />

welche Diagnoseinformationen überhaupt an der<br />

Kommunikationsschnittstelle zur Verfügung stehen. Dabei<br />

werden zwei Ansätze verfolgt. Der erste prüft die Möglichkeiten<br />

zur Bewertung des Zeit- und Fehlerverhaltens durch<br />

Monitoring der PNIO-Kommunikation, beispielsweise mit<br />

dem Monitoring-Werkzeug Wireshark. Der zweite prüft die<br />

Möglichkeit, geräte- und kommunikationsspezifische Parameter<br />

für eine Diagnose beziehungsweise Verhaltensbewertung<br />

heranzuziehen. Der Ansatz basiert darauf, MIB-Parameter<br />

des Kommunikations-Stacks über die PNIO-Schnittstelle<br />

oder mithilfe der zugrunde liegenden Ethernet-<br />

Schnittstelle aktiv auszulesen. Parameter der <strong>Management</strong><br />

Information Base (MIB) können über definierte Lese- und<br />

Schreibdienste angesprochen werden. MIB sind nahezu für<br />

alle Ebenen des OSI-Referenzmodells definiert. Für den<br />

MIB-Zugriff hat sich der SNMP-Dienst etabliert, der sich<br />

insbesondere im Bereich des <strong>Management</strong>s von IT-Landschaften<br />

als De-facto-Standard herauskristallisiert hat.<br />

Trotz des hohen Verbreitungsgrades muss erwähnt werden,<br />

dass die Implementierung des SNMP-Dienstes und<br />

der verschiedenen MIB optional ist. So bleibt eine systematische<br />

Nutzung der MIB-Parameter für eine Gerätediagnose<br />

schwierig. Daher wird zunächst theoretisch untersucht,<br />

welche MIB und welche Parameter sich prinzipiell<br />

für eine Diagnose eignen. Es ist die Frage zu beantworten,<br />

welche Information sie im Einzelnen und im<br />

Zusammenhang liefern, zum Beispiel mit den anwendungsbezogenen<br />

Kenngrößen. Grundlage der Untersuchungen<br />

sind die globale Internet MIB (RFC-1156) und<br />

weitere MIB-Module wie zum Beispiel MIB-II für TCP/IP<br />

(RFC-1213). Auch Profinet hat eine MIB definiert. Sie findet<br />

unter anderem Anwendung bei der Akquise von Nachbarschaftsinformationen<br />

mittels LLDP-Protokoll. Die vom<br />

PNIO eingesammelten Informationen lassen sich dann<br />

über PNIO-CM-Read-Dienste auslesen.<br />

In Bild 6 ist der Zugriff auf diese Kommunikations-relevanten<br />

Parameter skizziert. Einen Ausschnitt der Kommunikations-relevanten<br />

Parameter zeigt Bild 7. Greifen wir<br />

exemplarisch auf PDRealData beziehungsweise PDPortDa-<br />

64<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


taReal zu, so können Port-Kenngrößen ausgelesen werden.<br />

Durch den Autonegotiation-Mechanismus wird zum Beispiel<br />

die maximal mögliche Baudrate durch Handshake<br />

über Ethernet ausgehandelt. Dieser Parameter ist unter<br />

anderem hilfreich, um die Bandbreitenberechnung für die<br />

Robustheitstests (zum Beispiel DoS) durchzuführen.<br />

Wie Bild 7 zeigt, stehen weitere interessante Kenngrößen<br />

zur Verfügung. Der Parameterblock PDPortStatistic<br />

kann Fehler-Kenngrößen auf Kommunikationsebene auslesen.<br />

Während einer späteren Gesamtauswertung sind<br />

sie dann in Verhältnis zu den Fehlerkenngrößen auf Anwendungsebene<br />

zu stellen. Dabei werden Rückschlüsse<br />

hinsichtlich des Fehlerverhaltens im Kommunikations-<br />

Stack erwartet. Wie solche Rückschlüsse aussehen können,<br />

wird derzeit erarbeitet.<br />

5. Konzept für Systemtest<br />

Auf Basis der definierten Testziele und Kenngrößen wird<br />

nun ein Testsystemkonzept abgeleitet. Die spezifische<br />

Ausprägung eines Testsystems könnte wie in Bild 8 aufgebaut<br />

sein. In diesem Fall wird auf das Testsystem über<br />

eine GUI zugegriffen. Der auszuführende Testfall umfasst<br />

mehrere Testskripte, die jeweils für eine „Implementierung<br />

Under Test“ (IUT) abgearbeitet werden. Auf diese<br />

Weise lässt sich eine verteilte Testdurchführung mit zentraler<br />

Koordination im Testwerkzeug modellieren.<br />

Als Testwerkzeug wird zunächst der Open-Source-<br />

Schwachstellenscanner OpenVAS favorisiert. Mit diesem<br />

Werkzeug lassen sich zahlreiche Anforderungen des Vu-<br />

TAT Projektes umsetzen. OpenVAS unterstützt zwei Testbeschreibungssprachen,<br />

die Nessus-Attack-Scripting-<br />

Language (NASL) und „Open-Vulnerability and Assessment-Language<br />

(OVAL). Im Gegensatz zur ausführbaren<br />

Skriptsprache NASL ist OVAL eine XML-basierte Beschreibungssprache,<br />

die verwendet wird, um den Zustand<br />

eines Prüflings beziehungsweise seiner Bestandteile textuell<br />

und letztlich einheitlich zu beschreiben. In VuTAT<br />

wird zunächst NASL zur Testfall-Notation verwendet.<br />

Mittels OpenVAS werden diese dann ausgeführt.<br />

Zentraler Punkt des Testkonzeptes ist die Ermittlung<br />

von Kenngrößen und MIB-Parametern, die ausreichend<br />

detailliert ausagen, wie sich der Prüfling verhält. Eine erste<br />

prototypische Umsetzung ist für Mitte 2012 geplant. Die<br />

Umsetzung der Testcases wird zudem eng abgestimmt mit<br />

dem PNO-Arbeitskreis Profinet <strong>Security</strong> erfolgen.<br />

Fazit<br />

In diesem Beitrag wurden erste Arbeitsergebnisse des Vorhabens<br />

VuTAT vorgestellt. Dabei geht es um die Definition einer<br />

Methodik für die Identifikation und Analyse von IT <strong>Security</strong>relevanten<br />

Schwachstellen Ethernet-basierter Automatisierungsgeräte.<br />

Grundlage der aufgeführten Definitionen waren<br />

einerseits die Spezifikationen des ISCI und anderseits das<br />

von der PNO erarbeitete Profinet IO Net Load Whitepaper.<br />

Das ISCI hat die Profinet IO-Technologie zwar im Scope, eine<br />

Testspezifikation ist jedoch noch nicht verfügbar. Dafür<br />

konnten auf Basis der ISCI-Spezifikation EDSA-310 die Essential<br />

Services für Profinet IO definiert werden. Sie bilden<br />

die notwendige Grundlage für eine einheitliche Bewertung<br />

des Zeit- und Fehlerverhaltens des Profinet IO-Gerätes während<br />

der späteren Testdurchführung. Für diese Bewertung<br />

wurden die Kenngrößen Übertragungszeit, Aktualisierungszeit<br />

und verschiedene Fehlerkenngrößen definiert.<br />

Da das ISCI für Profinet IO noch keine Testspezifikation<br />

erarbeitet hat, wurde hierzu das Profinet IO Net Load Whitepaper<br />

herangezogen. Auf Basis dieses Whitepapers wurden<br />

Robustheitsklassen eingeführt, die derzeit im Forschungsvorhaben<br />

VuTAT weiter konkretisiert werden. Der Beitrag<br />

endet mit der Vorstellung eines Testsystemkonzeptes. Ab<br />

Mitte 2012 wird eine Implementierung der ersten Testcases<br />

und auch des VuTAT-Testwerkzeuges erwartet.<br />

Manuskripteingang<br />

23.01.2012<br />

Im Peer-Review-Verfahren begutachtet<br />

Autoren<br />

Dipl.-Ing. Heiko Adamczyk (geb. 1974)<br />

studierte Elektrotechnik an der Otto-von-<br />

Guericke-Universität Magdeburg mit dem<br />

Schwerpunkt Nachrichtentechnik. Seit<br />

Anfang 2005 ist er am ifak für den Forschungsschwerpunkt<br />

„Sichere industrielle<br />

Kommunikation“ verantwortlich, aus dem<br />

nun der „Schwerpunkt eingebettete und<br />

kooperative Systeme“ hervorgegangen ist.<br />

Adamczyk ist in der DKE offizieller Mitarbeiter der Arbeitsgruppe<br />

UK931.1. In der PNO ist er Mitglied der Gruppe TC3 WG18 „Profinet<br />

<strong>Security</strong>“ und innerhalb des ZVEI im Lenkungsausschuss<br />

„<strong>Security</strong>“ engagiert. Zudem ist er seit Mitte 2006 Obmann des<br />

Fachausschusses 5.22 „IT-<strong>Security</strong>“ innerhalb der VDI/VDE-GMA.<br />

ifak e.V. Magdeburg,<br />

Werner-Heisenberg-Str.1, D-39106 Magdeburg,<br />

Tel. +49 (0) 391 990 14 93, E-Mail: heiko.adamczyk@ifak.eu<br />

Dipl.-Ing. Tino Doehring<br />

(geb. 1976) studierte Elektrotechnik<br />

an der Otto-von-Guericke-Universität<br />

Magdeburg mit dem Schwerpunkt<br />

Automatisierungstechnik.<br />

Nach dem Studium Anfang 2006<br />

begann er seine Tätigkeit am ifak<br />

für den Forschungsschwerpunkt<br />

„Industrielles Ethernet“, aus dem<br />

nun der „Schwerpunkt eingebettete und kooperative<br />

Systeme“ hervorgegangen ist. Seine Arbeitsschwerpunkte<br />

sind unter anderem der industrielle Kommunikationsstandard<br />

Profinet und IT-<strong>Security</strong>-Aspekte im<br />

Bereich der industriellen Automation.<br />

ifak e.V. Magdeburg,<br />

Werner-Heisenberg-Str.1, D-39106 Magdeburg,<br />

Tel. +49 (0) 391 990 14 88, E-Mail: tino.doehring@ifak.eu<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012<br />

65


impressum / <strong>Vorschau</strong><br />

Impressum<br />

<strong>Vorschau</strong><br />

Verlag:<br />

Oldenbourg Industrieverlag GmbH<br />

Rosenheimer Straße 145<br />

D-81671 München<br />

Telefon + 49 (0) 89 4 50 51-0<br />

Telefax + 49 (0) 89 4 50 51-3 23<br />

www.oldenbourg-industrieverlag.de<br />

Geschäftsführer:<br />

Carsten Augsburger<br />

Jürgen Franke<br />

Herausgeber:<br />

Dr. T. Albers<br />

Dr. G. Kegel<br />

Dipl.-Ing. G. Kumpfmüller<br />

Dr. N. Kuschnerus<br />

Beirat:<br />

Dr.-Ing. K. D. Bettenhausen<br />

Prof. Dr.-Ing. Ch. Diedrich<br />

Prof. Dr.-Ing. U. Epple<br />

Prof. Dr.-Ing. A. Fay<br />

Prof. Dr.-Ing. M. Felleisen<br />

Prof. Dr.-Ing. G. Frey<br />

Prof. Dr.-Ing. P. Göhner<br />

Dipl.-Ing. Th. Grein<br />

Prof. Dr.-Ing. H. Haehnel<br />

Dr.-Ing. J. Kiesbauer<br />

Dipl.-Ing. R. Marten<br />

Dipl.-Ing. G. Mayr<br />

Dr. J. Nothdurft<br />

Dr.-Ing. J. Papenfort<br />

Dr. A. Wernsdörfer<br />

Dipl.-Ing. D. Westerkamp<br />

Dr. Ch. Zeidler<br />

Organschaft:<br />

Organ der GMA<br />

(VDI/VDE-Gesell schaft Messund<br />

Automatisierungs technik)<br />

und der NAMUR<br />

(Interessen gemeinschaft<br />

Automatisierungs technik der<br />

Prozessindustrie).<br />

Redaktion:<br />

Gerd Scholz (verantwortlich)<br />

Telefon + 49 (0) 89 4 50 51-3 44<br />

Telefax + 49 (0) 89 4 50 51-3 23<br />

E-Mail: scholz@oiv.de<br />

Anne Hütter<br />

Telefon + 49 (0) 89 4 50 51-4 18<br />

Telefax + 49 (0) 89 4 50 51-3 23<br />

E-Mail: huetter@oiv.de<br />

Einreichung von Hauptbeiträgen:<br />

Prof. Dr.-Ing. Leon Urbas<br />

(Chefredakteur, verantwortlich<br />

für die Hauptbeiträge)<br />

Technische Universität Dresden<br />

Fakultät Elektrotechnik<br />

und Informationstechnik<br />

Professur für Prozessleittechnik<br />

D-01062 Dresden<br />

Telefon +49 (0) 351 46 33 96 14<br />

E-Mail: urbas@oiv.de<br />

Fachredaktion:<br />

M. Blum<br />

Prof. Dr. J. Jasperneite<br />

Dr. B. Kausler<br />

Dr.-Ing. N. Kiupel<br />

Dr. rer. nat. W. Morr<br />

Dipl.-Ing. I. Rolle<br />

Dr.-Ing. S. Runde<br />

Prof. Dr.-Ing. F. Schiller<br />

Bezugsbedingungen:<br />

„<strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />

Praxis“ erscheint<br />

monatlich mit Doppelausgaben im<br />

Januar/Februar und Juli/August.<br />

Bezugspreise:<br />

Abonnement jährlich: € 468,– + € 30,–/<br />

€ 35,- Versand (Deutschland/Ausland);<br />

Heft-Abbonnement + Online-Archiv:<br />

€ 638,40; ePaper (PDF): € 468,-;<br />

ePaper + Online-Archiv: € 608,40;<br />

Einzelheft: € 55,– + Versand;<br />

Die Preise enthalten bei Lieferung<br />

in EU-Staaten die Mehrwertsteuer,<br />

für alle übrigen Länder sind es<br />

Nettopreise. Mitglieder der GMA: 30%<br />

Ermäßigung auf den Heftbezugspreis.<br />

Bestellungen sind jederzeit über den<br />

Leserservice oder jede Buchhandlung<br />

möglich.<br />

Die Kündigungsfrist für Abonnementaufträge<br />

beträgt 8 Wochen zum Bezugsjahresende.<br />

Abonnement-/<br />

Einzelheftbestellung:<br />

Leserservice <strong>atp</strong><br />

Postfach 91 61, D-97091 Würzburg<br />

Telefon + 49 (0) 931 4170-1615<br />

Telefax + 49 (0) 931 4170-492<br />

E-Mail: leserservice@oiv.de<br />

Verantwortlich für<br />

den Anzeigenteil:<br />

Annemarie Scharl-Send<br />

Mediaberatung<br />

sales & communications Medienagentur<br />

Kirchfeldstraße 9, D-82284 Grafrath<br />

Tel. +49 (0) 8144 9 96 95 12<br />

Fax +49 (0) 8144 9 96 95 14<br />

E-Mail: ass@salescomm.de<br />

Es gelten die Preise der Mediadaten 2012<br />

Anzeigenverwaltung:<br />

Brigitte Krawczyk<br />

Telefon + 49 (0) 89 4 50 51-2 26<br />

Telefax + 49 (0) 89 4 50 51-3 00<br />

E-Mail: krawczyk@oiv.de<br />

Druck:<br />

Druckerei Chmielorz GmbH<br />

Ostring 13,<br />

D-65205 Wiesbaden-Nordenstadt<br />

Gedruckt auf chlor- und<br />

säurefreiem Papier.<br />

Die <strong>atp</strong> wurde 1959 als „Regelungstechnische<br />

Praxis – rtp“ gegründet.<br />

© 2012 Oldenbourg Industrieverlag<br />

GmbH München<br />

Die Zeitschrift und alle in ihr enthaltenen<br />

Beiträge und Abbildungen sind urheberrechtlich<br />

geschützt. Mit Ausnahme der<br />

gesetzlich zugelassenen Fälle ist eine<br />

Verwertung ohne Ein willigung des Verlages<br />

strafbar.<br />

Gemäß unserer Verpflichtung nach § 8<br />

Abs. 3 PresseG i. V. m. Art. 2 Abs. 1c DVO<br />

zum BayPresseG geben wir die Inhaber<br />

und Beteiligungsverhältnisse am Verlag<br />

wie folgt an:<br />

Oldenbourg Industrieverlag GmbH,<br />

Rosenheimer Straße 145, 81671 München.<br />

Alleiniger Gesellschafter des Verlages<br />

ist die ACM-Unternehmensgruppe,<br />

Ostring 13,<br />

65205 Wiesbaden-Nordenstadt.<br />

ISSN 2190-4111<br />

Die Ausgabe 4 / 2012 der<br />

erscheint am 11.04.2012<br />

Mit folgenden Beiträgen:<br />

Simulationsbasierte<br />

Steuerungstests<br />

Emulation dezentraler<br />

Steuerungslogik<br />

Neuer Prozessschritt im<br />

Anlagenengineering<br />

Automatisierter Steuerungstest<br />

in der Fabrikautomation<br />

Maschinenschutz in<br />

verfahrenstechnischen Anlagen<br />

Flugsimulator für<br />

Spritzgießmaschinen<br />

...und vielen weiteren Themen.<br />

Aus aktuellem Anlass können sich die Themen<br />

kurzfristig verändern.<br />

LeserService<br />

e-Mail:<br />

leserservice@oiv.de<br />

Telefon:<br />

+ 49 (0) 931 4170-1615<br />

66<br />

<strong>atp</strong> <strong>edition</strong><br />

3 / 2012


Erreichen Sie die Top-Entscheider<br />

der Automatisierungstechnik.<br />

Sprechen Sie uns an wegen Anzeigenbuchungen<br />

und Fragen zu Ihrer Planung.<br />

Annemarie Scharl-Send: Tel. +49 (0) 8144 9 96 95 12<br />

E-Mail: ass@salescomm.de


<strong>atp</strong> kompakt<br />

Methoden Verfahren Konzepte<br />

Sonderpreise<br />

für<br />

Abonnenten<br />

der <strong>atp</strong> <strong>edition</strong><br />

Die Automatisierungstechnik wird durch neue Forschungen und Entwicklungen bestimmt. Damit Ingenieure<br />

fit für ihren Job sind und die entscheidenden Trends in der Automatisierungstechnik schnell zur Hand haben,<br />

legt die Fachpublikation <strong>atp</strong> <strong>edition</strong> die Buchreihe <strong>atp</strong> kompakt auf. Alle darin enthaltenen Beiträge haben<br />

ein wissenschaftliches Gutachterverfahren durchlaufen.<br />

Herausgeber Prof. Dr.-Ing. Frank Schiller leitet am Lehrstuhl für Informationstechnik im Maschinenwesen der<br />

TU München das Fachgebiet Automatisierungstechnik.<br />

<strong>atp</strong> kompakt Band 1<br />

Erfolgreiches Engineering – Die wichtigsten Methoden<br />

Diese Ausgabe befasst sich mit den Methoden, Verfahren und Standards, die Sie in den nächsten Jahren im Engineering beschäftigen<br />

werden. Wichtige Kriterien sind die einfache Wiederverwendbarkeit von Komponenten, die Unterstützung durch geeignete Werkzeuge,<br />

die Erhöhung der Flexibilität von Anlagen sowie geeignete Modellierungs- und Gerätebeschreibungssprachen.<br />

1. Auflage 2010, 138 Seiten mit CD-ROM, Broschur, € 79,- • ISBN: 978-3-8356-3210-3<br />

Für Abonnenten<br />

€ 74,-<br />

<strong>atp</strong> kompakt Band 2<br />

Effiziente Kommunikation – Die bedeutendsten Verfahren<br />

Sie bekommen Einblick in die wachsende Bedeutung der industriellen Kommunikation und dem Wandel in der Gerätekommunikation.<br />

Einen Schwerpunkt bildet die Kommunikationstechnik in der Prozessautomatisierung mit deren besonderen Rahmenbedingungen wie<br />

dem Explosionsschutz. Die bedeutendsten Verfahren und Methoden der modernen Kommunikation werden praxisnah veranschaulicht.<br />

1. Auflage 2010, 72 Seiten mit CD-ROM, Broschur, € 59,- • ISBN: 978-3-8356-3212-7<br />

Für Abonnenten<br />

€ 54,-<br />

<strong>atp</strong> kompakt Band 3<br />

Praktische Messtechnik – Die besten Konzepte<br />

Dieser Band vermittelt wertvolles Know-how zu allen Aspekten der praktischen Messtechnik und fokussiert besonders die Prozessmesstechnik.<br />

Lernen Sie die Fortschritte in der Sensortechnik entlang der Technologie-Roadmap kennen und profitieren Sie von erstklassigen<br />

Konzepten zu kostengünstigen und effizienten Lösungen.<br />

1. Auflage 2010, 72 Seiten mit CD-ROM, Broschur, € 59,- • ISBN: 978-3-8356-3213-4<br />

Für Abonnenten<br />

€ 54,-<br />

<strong>atp</strong> kompakt Kollektion (Bände 1-3)<br />

Erfolgreiches Engineering Effiziente Kommunikation Praktische Messtechnik<br />

Mit dieser dreibändigen Kollektion zu den Themen Engineering, Kommunikation und Messtechnik erhalten Sie ein nützliches,<br />

kompakt und praxisnah aufbereitetes Kompendium zu den Kernthemen der Automatisierungstechnik. Die wertvolle Grundlage<br />

für Ihre tägliche und zukünftige Arbeit.<br />

1. Auflage 2010, ca. 282 Seiten mit CD-ROM, Broschur • € 179,- • ISBN: 978-3-8356-3221-9<br />

Für Abonnenten<br />

€ 169,-<br />

Sofortanforderung im Online-Shop www.oldenbourg-industrieverlag.de<br />

oder telefonisch +49 (0)201 / 82002-14<br />

OldenbOurg IndustrIeverlag gmbH<br />

vulkan-verlag gmbH<br />

www.oldenbourg-industrieverlag.de • www.vulkan-verlag.de

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!