Anomalien erkennen

Wer nicht von Funktionsstörungen oder gar ungeplanten Anlagenstillständen überrascht werden will, der setzt bei seinen Anlagen auf eine Permanente Netzwerküberwachung (PNÜ). Diese permanenten Überwachungslösungen sind in der Lage, eine sogenannte Plausibilitätserkennung durchzuführen. Dabei wird analysiert, ob Telegramme bestimmte Vorgaben wie Zeit und Inhalt einhalten; Abweichungen werden sofort erkannt und gemeldet. Somit wird es möglich, eine große Bandbreite von Szenarien zu detektieren: von vergleichsweise banalen Zwischenfällen wie das unbedachte Aufstecken eines Laptops durch einen Mitarbeiter des Unternehmens auf die Anlage bis hin zu technisch ausgefeilten Angriffen wie eine vorsätzliche Cyber-Attacke.

Denn: Durch das Zwischenschalten des Angreifers entsteht ein zeitlicher Verzug bei der Datenübertragung, der so genannte Jitter. Dadurch können Informationen nicht in der vorgegebenen Zeit (Aktualisierungsrate) verarbeitet werden. Von außen und ohne permanente Überwachungslösung ist diese Verspätung nicht zu erkennen. Und ist der Angreifer erst einmal im Netzwerk, hat der Betroffene seine Chance verpasst, ihn auf frischer Tat zu ertappen. Im Gegensatz zur IT, wo selbst modernste Sicherheitssysteme getarnte Angriffe mitunter kaum erkennen können, hinterlässt ein unbekannter Teilnehmer im Netzwerk einer automatisierten Anlage jedoch garantiert Spuren. Indem diese Anomalien aufgezeichnet und die zugehörigen Daten historisch verfügbar gehalten werden, erhält der Betreiber wichtige, sicherheitsrelevante Hinweise. Somit hat er eine reelle Chance, den Angriff überhaupt mitzubekommen und eventuell notwendige Gegenmaßnahmen einzuleiten.

Während Sicherheitssysteme in der IT eine Selbstverständlichkeit sind, bleiben die Aktivitäten hinsichtlich der Weiterentwicklung des Security-Bereiches aufseiten der Automatisierungstechnik bisher überschaubar. Erste Unternehmen reagieren mit umfassend niedergeschriebenen Sicherheitsrichtlinien. Man stelle sich nun vor, ein externer Dienstleister wird gerufen, will die Anlagenverfügbarkeit wiederherstellen und den möglichen Schaden eines anstehenden Produktionsausfalls gering halten, muss sich aber vor Ausführung seiner Arbeit an der Maschine oder Anlage erst in ein umfassendes Regelwerk von Security-Anweisungen vertiefen.

Dabei lassen sich die oben geforderten Funktionalitäten in einem Produkt vereinen. Mit dem Profinet-Inspektor NT hat Indu-Sol ein intelligentes, permanentes und dabei passiv arbeitendes Mess- und Diagnosetool für Profinet-Netzwerke entwickelt. Es überwacht den logischen Datenverkehr und speichert Ereignisse wie Jitter, Telegrammfehler oder fehlende Telegramme oder Geräteausfälle. Bei Veränderungen und somit Überschreitung voreingestellter Schwellwerte der Qualitätsparameter im Netz werden Alarmmeldungen über verschiedene Kanäle wie SNMP, E-Mail oder die Web-Oberfläche des Inspektors abgesetzt.

Bisher passiert all dies zwar primär mit dem Fokus auf die Sicherstellung der Netzwerkverfügbarkeit. Das Gerät und die Vorgehensweise sind aber genauso dazu geeignet, dem Anwender sicherheitstechnische Hinweise zu liefern. Denn er kann historische Ereignisse nachvollziehen und erhält Hinweise auf Teilnehmer, die sich im laufenden Betrieb ins Netzwerk eingeschaltet haben – unter Umständen eben auch unerwünschte. Und sollte der Elektroinstandhalter nicht in der Lage sein, die automatisch aufgezeichnete Anomalie selber auszuwerten, kann der Telegrammmitschnitt einem Fachmann zur Auswertung übermittelt werden.

Will die Automatisierungstechnik das volle Potenzial von Industrie 4.0 ausschöpfen, muss sie ihre Netzwerke mit zeitgemäßen Security-Systemen ausrüsten. Wie eingangs beschrieben sind die aus der IT bekannten Maßnahmen dabei als Vorlage ungeeignet. Da sich jedoch mittlerweile Lösungen zur Permanenten Netzwerküberwachung etabliert haben, können diese mitgenutzt werden, um erste Schritte in Richtung eines modernen Security-Systems zu gehen. Noch können in der Automatisierungstechnik Angriffe wie die genannten nicht verhindert werden, ohne die Netzwerkverfügbarkeit zu gefährden. Dennoch müssen diese Ereignisse wenigstens dokumentiert werden, um eine sinnvolle Informationsbasis für effiziente Gegenmaßnahmen zu haben. bf