Netzwerk-Schutz Indu-Sol

Mit dem Profinet-Inspektor NT hat Indu-Sol ein intelligentes, passiv arbeitendes Mess- und Diagnosetool für Profinet-Netzwerke entwickelt. Es analysiert permanent den logischen Datenverkehr und warnt den Betreiber sofort bei ersten Auffälligkeiten. Bild: Indu-Sol

Die Vision einer global vernetzten Produktion innerhalb eines weltweiten Netzes – seit dem Jahr 2011 unter dem Schlagwort Industrie 4.0 oder Industrial Internet of Things (IIoT) bekannt – stellt die Automatisierungsbranche wohl schneller als gedacht vor eine wesentliche Herausforderung: Plötzlich erfordern die Verschmelzung von Maschinennetzwerken untereinander, die Verschmelzung von Maschinen- und Produktionsnetzwerk sowie letztlich die Verschmelzung von Produktions- und Büroebene moderne Security-Konzepte, die neben dem Schutz auch weiterhin die Maschinen- und Anlagenfunktion gewährleisten.

Nun lädt die immer stärkere Verzahnung der Automatisierungstechnik mit der Informationstechnologie (IT) förmlich dazu ein, Sicherheitskonzepte aus der IT einfach schablonengleich zu übernehmen. Eine genaue Betrachtung zeigt jedoch: Die Maßnahmen, die die IT bereitstellt, sind für die Automatisierung ungeeignet. Warum das so ist und wie eine Lösung aussehen könnte, wird in den folgenden Abschnitten diskutiert.

IT vs. Automatisierung?

Indu-Sol Netzwerkschutz PN-Inspektor-NT
Auf der Weboberfläche des Profinet-Inspektors NT von Indu-Sol werden in jedem gebräuchlichen Browser ohne zusätzliche Software die Analyseergebnisse sofort angezeigt. Die Chronik rechts zeigt den aktuellen Zustand des gesamten Busses. Der ermittelte Jitter wird teilnehmerbezogen entsprechend der Höhe der Abweichung nach dem Ampel-Prinzip farblich unterlegt (linker Teil der Grafik). Bild: Indu-Sol

Die als Security-Instanzen in der IT etablierten Router und Firewalls sind für automatisierte Netzwerke überflüssig. Denn die Maschinen sind entweder gar nicht ins Büronetzwerk eingebunden oder wenn doch, ist die Verbindungsstelle zwischen Büro- und Produktionsnetzwerk bereits durch die IT-Abteilung des Unternehmens gegenüber dem weltweiten Netz abgesichert. Eine weitere Maßnahme aus der IT, um Security zu gewährleisten, sind aktive Scantools. Sie identifizieren zwar unberechtigte Teilnehmer im Netzwerk und ermitteln das Benutzerverhalten sowie den Ressourcenverbrauch, produzieren dabei jedoch auch zusätzlichen Traffic im Netzwerk. Damit erhöhen sie die Netzlast und behindern den wesentlichen Datenverkehr, der für eine reibungslose Maschinen-/ Anlagenfunktion notwendig ist.

Auch die Verschlüsselungsverfahren der IT scheiden für die Automatisierer als Maßnahme aus, da Codierung und Decodierung den Anforderungen an Echtzeitkommunikation moderner Netzwerke zuwider laufen. Also: Schotten dicht? Wer trotz stumpfer Waffen seine Festung dennoch schützen will, könnte immerhin einen Grenzzaun ziehen.

Praktisch bedeutet das in der IT, vor allem den sogenannten Backbone – gewissermaßen die Hauptverkehrsader des Datenstromes – vor unbefugtem Zugriff auf die Daten abzuriegeln. Würden Automatisierer dies in ihren Netzwerken tun, hätten allerdings auch die eigenen Mitarbeiter und die Verbündeten keinen Zugriff.

In den Anlagen müssen jedoch Zugangspunkte zum Netzwerk geschaffen und freigehalten werden, da diese für die Programmierung, Diagnose oder andere Servicedienstleistungen durch eigene Mitarbeiter oder externe Auftragnehmer essentiell sind. Speziell im Fehlerfall, wenn akut Gegenmaßnahmen zur Gewährleistung der Maschinen-/Anlagenfunktion zu ergreifen sind, schmerzt jede Sekunde Zeitverlust, die durch Zugangsprobleme verursacht wird und am Ende bares Geld durch Produktionsausfall kostet.

Die gängigen Security-Maßnahmen aus der IT behindern also das Hauptziel der Automatisierungstechnik, nämlich die Verfügbarkeit des Netzwerks und damit letztlich die Anlagenfunktion zu gewährleisten. Sie muss folglich eigene Wege gehen.