Industrielle Automation 4/2017

Weitere Magazine

Info

MODERNE KOMMUNIKATIONSLÖSUNGEN I SPECIAL Cyber-Sicherheit für Produktionsprozesse Analyse- und Firewall-Lösungen für sichere Netzwerke im IIoT Fertigungsunternehmen vernetzen zunehmend ihre Maschinen und Anlagen, um effizienter produzieren zu können und Wettbewerbsvorteile zu erlangen. Das „Internet of Things“ (IoT) bietet dabei vielfältigste Möglichkeiten, aber auch Risiken. Soll IoT ein Erfolg werden, müssen Cyber-Angriffe und Netzwerkprobleme rechtzeitig erkannt und konsequent abgeblockt werden. Im Zeitalter des IoT werden Maschinen, Werkzeuge und Steuerungsgeräte zu Trägern digitaler Informationen. Sie sind „smart“ und können Daten verarbeiten und Befehle weitergeben. Für die produzierende In - dus trie entstehen mit der Entwicklung des IoT neue Chancen. Durch die permanente Kommunikation zwischen Betriebsanlagen, Zulieferern und Endprodukten werden Produktionsprozesse dynamischer und effizienter. Gleichzeitig gehen mit der wachsenden Anzahl der mit dem Internet verbundenen Geräte jedoch auch Sicherheitsrisiken einher. Cyber-Kriminelle können die Schnitt stellen mit dem Netz als Angriffspunkt nutzen – mit gravierenden Folgen. Diese reichen vom Verlust sensibler Informationen über die Sabotage einzelner Maschinen bis hin zu Produktionsausfällen. Anja Dienelt ist Solution Manager IoT bei Rohde & Schwarz Cybersecurity in München Tatsache ist: IT-Sicherheit gilt bei Unternehmen inzwischen als wichtigstes Hemmnis beim Thema Industrie 4.0. Das ist das Ergebnis einer Studie der IDG Communications Media AG zur Entwicklung von Industrie 4.0 in deutschen Unternehmen. Die Umfrage zeigt, dass die größte Sorge von Unternehmen Hackerangriffen oder DDoS- Attacken gilt, gefolgt von Industriespionage und dem daraus resultierenden Verlust der Wettbewerbsfähigkeit. Gleichzeitig gehen zwei Drittel der Unternehmen davon aus, dass Industrie 4.0 innerhalb der nächsten drei Jahre für sie wichtig oder sehr wichtig wird. Industrienetzwerke werden zur Blackbox Vor allem dort, wo Maschinen und Anlagen für den Fernzugriff mit Herstellern und Wartungstechnikern vernetzt sind, entstehen hohe Sicherheitsrisiken. Über Fernwartungszugänge und Update-Interfaces an den Maschinen entstehen Schlupflöcher, durch die Daten unerwünscht nach außen dringen oder schädliche Daten in das Unternehmen gelangen können. Diesen Gefahren haben die in den Produktionsnetzwerken eingesetzten industriellen Leitund Steuerungskomponenten kaum etwas entgegenzusetzen. Denn die meisten Komponenten der Steuerungs- und Regelungstechnik wurden in der Vergangenheit mit Blick auf deren Verfügbarkeit und nicht auf deren Sicherheit entwickelt. Durch die Industrienetzwerke fließen immer mehr Daten, was daran liegt, dass diese enorm schnell anwachsen und im Gegensatz zum homogenen Office-Netz eher heterogen sind und geprägt von unterschiedlichen Anlagenlieferanten, die die Hoheit über ihre Maschinen haben. Das Netzwerk wird zur Blackbox, in der Informationen und Befehle unbeobachtet ausgetauscht werden – etwa für die Fernwartung von Anlagen, um Produktinformationen an Produktionssysteme weiterzugeben, eine permanente Zustandsüberwachung von Anlagen zu erlangen (Condition Monitoring) und um Logistikprozesse zu synchronisieren. Externe Partner haben zunehmend Zugriff auf dieses Netzwerk. Denn Maschinenbauer integrieren ihre eigenen IoT-Lösungen in ihre Geräte, sodass der Anlagenbetreiber letztlich kaum noch weiß, was auf seinem Netz läuft. Gleichzeitig ist er darauf angewiesen, dass die Produktion kontinuierlich 58 INDUSTRIELLE AUTOMATION 4/<strong>2017</strong>
SPECIAL I MODERNE KOMMUNIKATIONSLÖSUNGEN und ohne Unterbrechungen arbeitet. Jegliche Latenzzeit muss vermieden werden. Nur dann wird Industrie 4.0 für die Industrie tatsächlich zur Chance. Mehrstufiges Sicherheitskonzept Um sich vor Angriffen und Netzwerkproblemen zu schützen, müssen Industrieunternehmen daher Gefahren aufdecken, Anomalien visualisieren und das Netzwerk vor Angriffen schützen – und zwar sehr schnell, sodass es innerhalb der Produktionsprozesse zu keinerlei Verzögerungen kommt. Dafür ist ein mehrstufiges Sicherheitskonzept notwendig, bestehend aus Netzwerk-Sensor, Reporting- Tool und Industrie-Firewall. Der Netzwerk-Sensor – auch als Probe bezeichnet – wird an mehreren Stellen in das Netzwerk eingefügt. Dort schneidet er den Netzwerkverkehr mit und analysiert ihn. Auf diese Weise lässt sich zum einen erkennen, was in der Leitung passiert – gleichzeitig lassen sich Angriffe finden. Kern einer solchen Netzwerkanalyse ist eine sogenannte Deep Packet Inspection (DPI)-Engine. Anstatt den Datenverkehr über den genutzten „Port“ zu klassifizieren, werden mit dem DPI-Verfahren die Daten inhaltlich dekodiert. Erst das ermöglicht detaillierte Einblicke in den Datenverkehr. Auf diese Weise werden Datenströme bis auf die Inhaltsebene dekodiert und versteckte Angriffe auch in erlaubten Protokollen gefunden. Eine solche DPI-Engine ist eine moderne Softwarebibliothek, die neueste Technologien verwendet, um Protokolle und Applikationen im Netzwerkverkehr zu klassifizieren. Und zwar auch dann, wenn fortgeschrittene Verschleierungs- und Verschlüsselungstechniken eingesetzt werden. Das Reporting-System aggregiert und korreliert die gewonnenen Informationen. Es trifft dann Aussagen zum Zustand des Netzes, wie etwa die Kommunikationsbeziehungen im Netz oder das Kommunikationsverhalten einzelner Maschinen. Die gewonnenen Daten verschaffen Unternehmen die entscheidende Grundlage zur Sicherung eines kontinuierlichen Betriebs und ermöglichen darüber hinaus eine genauere Planbarkeit hinsichtlich Netzwerkauslastung und -dimensionierung. Es gibt sogar die Möglichkeit, dass das Reporting Anomalien in dem Moment visualisiert, in dem sie im Netzwerk auftreten. Ein solches Event-Monitoring signalisiert sofort, dass Probleme im Netz entstehen können. Neue Abwehrtechnologien IT-Sicherheit gilt bei Unternehmen inzwischen als wichtigste Hemmnis beim Thema Industrie 4.0. 01 Unternehmen können ihre Industrienetzwerke mit der Industrial Network Analytics and Protection-Lösung zuverlässig sichern 02 Multilayer-Sicherheitskonzept zur Absicherung kritischer Energieinfrastrukturen Die Industrie-Firewall: Auf Basis einer solchen Netzwerk-Analyse lassen sich dann die notwendigen Schutzmaßnahmen einrichten. Auch für diese Abwehr braucht es neue Technologien. Bislang wurden Prozess- und Steuerungsnetze hauptsächlich durch klassische Firewalls geschützt, die das Firmennetzwerk im Ganzen vor Angriffen von außen sichern (First Line of Defense). Solche Perimeter-Firewalls reichen als Schutzkonzept in komplexen Industrienetzwerken nicht mehr aus. Benötigt werden stattdessen zusätzlich Firewalls, die im Inneren des Netzes arbeiten und dieses in mehrere Zonen segmentieren. Um auch unbekannte Angreifer fernzuhalten, braucht die Industrie zudem Firewalls mit einer integrierten DPI-Engine. Gegenüber dem portbasierten Ansatz hat das DPI-Verfahren den Vorteil, dass jeglicher Verkehr sofort eindeutig identifiziert und validiert wird – bis hin zu einzelnen Anwendungen, Geräten oder Benutzern. Das DPI-Verfahren ermöglicht dadurch einen sog. proaktiven Schutz mittels Whitelisting und stellt sicher, dass Industrienetzwerke nur von autorisierten Personen mit definierten Befehlen angesteuert werden. Der Netzwerkadministrator kann dazu einzelne Protokolle freigeben oder sperren, indem er für den Datenverkehr zwischen Maschinen oder Maschinen und Menschen ein sehr fein granulares Regelwerk erstellen lässt. Portbasierte Firewalls arbeiten stattdessen mit dem Blacklisting-Verfahren. Dabei werden Viren oder Spyware erst dann identifiziert und blockiert, wenn diese zur Blacklist hinzugefügt werden. Moderne Firewalls arbeiten datenstrombasiert Neben der Genauigkeit bei der Datenerkennung, spielt die Zuverlässigkeit der Performance in der Industrie eine große Rolle. Die Datenübertragung in einem Produktionsnetzwerk muss daher stets sofort erfolgen. Eine effiziente Industrie-Firewall bearbeitet die Pakete deshalb nicht sequentiell sondern parallel. Moderne Next Generation Firewalls arbeiten mit der „Single-Pass-Technologie“, also datenstrombasiert. Eine Firewall für Industrienetzwerke sollte außerdem verschiedene Industrieprotokolle, wie Scada, Modbus TCP oder DNP 3 unterstützen. Die Hardware muss zudem so konzipiert sein, dass sie auch für anspruchsvolle Einsatzorte wie Windparks geeignet ist. Bilder: Aufmacher Fotolia, sonstige Rohde & Schwarz Cybersecurity www.cybersecurity.rohde-schwarz.com INDUSTRIELLE AUTOMATION 4/<strong>2017</strong> 59
Seite 1 und 2:
19239 4 www.industrielle-automation
Seite 3 und 4:
EDITORIAL Kommunikation 4.0 Smartph
Seite 5 und 6:
SZENE AMA Verband verstärkt Deutsc
Seite 7 und 8: SZENE Wachstum in Österreich im Vi
Seite 9 und 10: € SZENE Grundsteinlegung für neu
Seite 11 und 12: Gibt es Ansätze aus dem RE in der
Seite 13 und 14: SENSORIK UND MESSTECHNIK weltweit f
Seite 15 und 16: SENSORIK UND MESSTECHNIK 01 Piezore
Seite 17 und 18: SENSORIK UND MESSTECHNIK schiedlich
Seite 19 und 20: arbeiter. Diese können dann auf ei
Seite 21 und 22: Intelligente Messtechnik mit IEPE 0
Seite 23 und 24: Rechner aufgehoben. Unter Verwendun
Seite 25 und 26: SENSORIK UND MESSTECHNIK Kleinste D
Seite 27 und 28: SENSORIK UND MESSTECHNIK Schwingung
Seite 29 und 30: Neues Evaluation-Kit für Winkel- u
Seite 31 und 32: INTERVIEW I STEUERN UND ANTREIBEN v
Seite 33 und 34: Alles unter Kontrolle Reduktion Ihr
Seite 35 und 36: STEUERN UND ANTREIBEN Hochvolt-Modu
Seite 37 und 38: Offene, Linux-basierte Multiachs-St
Seite 39 und 40: INTERVIEW I INDUSTRIELLE KOMMUNIKAT
Seite 41 und 42: industry.automation ZUVERLÄSSIG -
Seite 43 und 44: INDUSTRIELLE KOMMUNIKATION Der Begr
Seite 45 und 46: emva_EVE_2017_Anzeige_DIN_A4.indd E
Seite 47 und 48: Lüfter sparsam im niedrigen Energi
Seite 49 und 50: KOMPONENTEN UND SOFTWARE Standardge
Seite 51 und 52: Teilbar muss er sein! DC-Anwendunge
Seite 53 und 54: KOMPONENTEN UND SOFTWARE Leuchtkabe
Seite 55 und 56: KOMPONENTEN UND SOFTWARE Leicht mon
Seite 57: KOMPONENTEN UND SOFTWARE Elektrisch
Seite 61 und 62: 01 Bis zu 20 Taster, Drehknebel, Le
Seite 63 und 64: SPECIAL I MODERNE KOMMUNIKATIONSLÖ
Seite 69 und 70: TITEL I MESSE MOTEK 2017 02 Die Sch
Seite 71 und 72: Das Kamerasystem scannt sowohl die
Seite 73 und 74: Leistungsstarke Panel-PC im Edelsta
Seite 75 und 76: VORSCHAU IM NÄCHSTEN HEFT: 5/2017
Alle anzeigen

Industrielle Automation 4/2017

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?