Industrielle Automation 1/2016
Industrielle Automation 1/2016
Industrielle Automation 1/2016
- TAGS
- industrielle
- automation
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
INDUSTRIELLE KOMMUNIKATION<br />
IT als Vorlage ungeeignet<br />
Welche Anforderungen die Automatisierungstechnik an ihre Sicherheitskonzepte stellt<br />
Im Zuge von Industrie 4.0<br />
verschmelzen Automatisierung und<br />
Informationstechnik immer stärker.<br />
Um jedoch eine global vernetzte<br />
Produktion zu realisieren, ist die<br />
Sicherstellung der Maschinen- und<br />
Anlagenverfügbarkeit sowie des<br />
Netzwerkes von hoher Relevanz.<br />
Auf bewährte IT-Sicherheitskonzepte<br />
zurückzugreifen, erscheint<br />
zunächst naheliegend, bei genauer<br />
Betrachtung zeigt sich aber, dass<br />
sie für die Automatisierung nicht<br />
geeignet sind. Doch warum ist das<br />
so und wie könnte eine adäquate<br />
Lösung aussehen?<br />
Die als Sicherheitsinstanzen in der IT<br />
etablierten Router und Firewalls sind<br />
für automatisierte Netzwerke überflüssig.<br />
Denn die Maschinen sind entweder gar<br />
nicht ins Büronetzwerk eingebunden oder<br />
die Verbindungsstelle zwischen Büro- und<br />
Produktionsnetzwerk ist bereits durch die<br />
IT-Abteilung des Unternehmens gegenüber<br />
dem weltweiten Netz abgesichert. Eine weitere<br />
Maßnahme sind aktive Scantools. Sie<br />
identifizieren zwar unberechtigte Teilnehmer<br />
im Netzwerk und ermitteln das Benutzerverhalten<br />
sowie den Ressourcenverbrauch,<br />
produzieren jedoch auch zusätzlichen<br />
„Traffic“. Damit erhöhen sie die<br />
Netzlast und behindern den wesentlichen<br />
Datenverkehr, der für eine reibungslose<br />
Maschinen-/Anlagenfunktion notwendig<br />
ist. Auch die Verschlüsselungsverfahren<br />
scheiden für die Automatisierer als Maßnahme<br />
aus, da Codie-rung und Decodierung<br />
den Anforderungen an Echtzeitkommunikation<br />
moderner Netzwerke zuwider laufen.<br />
Verfügbarkeit gewährleisten<br />
Also: Schotten dicht? Wer trotz stumpfer<br />
Waffen seine Festung schützen will, könnte<br />
einen Grenzzaun ziehen. In der IT heißt<br />
das, vor allem den Backbone – die Hauptverkehrsader<br />
des Datenstromes – vor unbefugtem<br />
Zugriff abzuriegeln. Würden Automatisierer<br />
dies in ihren Netzwerken tun,<br />
hätten allerdings auch die Mitarbeiter und<br />
„Verbündeten“ keinen Zugriff. In den Anlagen<br />
müssen jedoch Zugangspunkte zum<br />
Netzwerk geschaffen und freigehalten werden,<br />
da sie für die Programmierung, Diagnose<br />
oder andere Servicedienstleistungen<br />
durch Mitarbeiter oder Auftragnehmer<br />
essentiell sind. Speziell im Fehlerfall, wenn<br />
Gegenmaßnahmen zur Gewährleistung der<br />
Maschinen-/Anlagenfunktion zu ergreifen<br />
sind, schmerzt jeder Zeitverlust, der durch<br />
Zugangsprobleme verursacht wird. Die<br />
gängigen IT-Sicherheitsmaßnahmen behindern<br />
also das Hauptziel der Automatisierungstechnik,<br />
nämlich die Verfügbarkeit<br />
des Netzwerks und damit letztlich die Anlagenfunktion<br />
zu gewährleisten.<br />
Direkte Identifizierung und<br />
Meldung von Anomalien<br />
Wer nicht von Funktionsstörungen oder<br />
Anlagenstillständen überrascht werden<br />
will, der setzt auf eine Permanente Netzwerküberwachung<br />
(PNÜ). Diese Überwachungslösungen<br />
sind in der Lage, eine<br />
Plausibilitätserkennung durchzuführen.<br />
Dabei wird analysiert, ob Telegramme bestimmte<br />
Vorgaben wie Zeit und Inhalt einhalten;<br />
Abweichungen werden sofort erkannt<br />
und gemeldet. Somit wird es möglich,<br />
eine Bandbreite von Szenarien zu detektieren:<br />
von vergleichsweise banalen Zwischenfällen<br />
wie dem unbedachten Aufstecken<br />
eines Laptops auf die Anlage bis hin zu<br />
technisch ausgefeilten Angriffen wie einer<br />
Cyber-Attacke. Denn: Durch das Zwischenschalten<br />
des „Angreifers“ entsteht ein zeitlicher<br />
Verzug bei der Datenübertragung,<br />
der sogenannte Jitter. Dadurch können Informationen<br />
nicht in der vorgegebenen Zeit<br />
verarbeitet werden. Von außen und ohne<br />
permanente Überwachungslösung ist diese<br />
Verspätung nicht zu erkennen. Und ist der<br />
Angreifer erst einmal im Netzwerk, hat der<br />
Betroffene seine Chance verpasst, ihn auf<br />
frischer Tat zu ertappen. Im Gegensatz zur<br />
IT, wo selbst modernste Sicherheitssysteme<br />
getarnte Angriffe mitunter kaum erkennen<br />
können, hinterlässt ein unbekannter Teil-