Durch die Vernetzung von Produktionsprozessen lässt sich die Produktivität steigern. Beispielsweise wird der Verbrauch von Materialien durch einen Fertigungsroboter an das angeschlossene Warenwirtschaftssystem gemeldet. Bei Unterschreitung eines vorher festgelegten Lagerbestandes erfolgt die automatische Bestellauslösung bei dem entsprechenden Lieferanten. Ebenso werden Fertigungsmengen in das Warenwirtschaftssystem gebucht. Zu jedem Zeitpunkt ist der Bestand aller End- bzw. Zwischenprodukte abrufbar. Somit lassen sich die Lagerbestände besser planen bzw. an Bestellungen ausrichten. Diese Beispiele zeigen nur einige Vorteile, die bei einer Vernetzung entstehen können. Analysten gehen von einem weltweiten Wachstum des Industrial Ethernets von bis zu 50% über die nächsten drei Jahre aus. Für Deutschland wird sogar ein noch höheres Wachstum prognostiziert. Dies liegt sicherlich daran, dass Deutschland traditionell über eine starke Maschinenbauindustrie verfügt.
Angepasste Konzepte gefordert
Die Verbindung der Office- und Automatisierungswelt bringt jedoch nicht nur Vorteile, sondern ist gleichzeitig mit erheblichen Sicherheitsrisiken verbunden. Grundsätzlich sind die Lösungen aus den Office-Netzen nicht ohne weiteres auf die Produktionsumgebungen übertragbar. Die spezifischen Anforderungen im Fertigungsumfeld erfordern in der Regel angepasste Konzepte. Die Unterschiede werden schnell deutlich. Betrachten wir zunächst Anforderungen an Merkmale wie Verfügbarkeit, Performance, Risiko oder Security. Ist im Büro Outlook für ein bis zwei Stunden nicht verfügbar, stellt sich zwar schnell eine leichte Verärgerung ein, man kann aber auch mal eine gewisse Zeit ohne diese Office-Applikation leben. Fällt ein Fertigungsroboter für genau die gleiche Zeit aus, ist dies fast immer mit einem finanziellen Verlust gleichzusetzen. Während eines Ausfalls kann unter Umständen eine Fertigungsstraße nicht produzieren, in manchen Fällen ist sogar die komplette Produktion während dieser Zeit unterbrochen. Hinsichtlich Performance-Anforderungen werden im Office-Netz nicht selten Bandbreiten im GBit-Bereich benötigt, im Industrial Ethernet in der Regel nur wenige kBit/s. Betrachten wir den Punkt Risiko. Im Office-Bereich werden Mechanismen etabliert, um einen möglichen Datenverlust zu verhindern. Backup-Systeme sollen hier nur exemplarisch genannt werden. In der Produktion ist der Verlust von Anlagen oder vielleicht von Gesundheit und Leben zu betrachten, wenn ein Fertigungsroboter mit falschen oder manipulierten Daten versorgt wird.
Gefahren werden oft vernachlässigt
Nahezu jedes Unternehmen schottet sich seit Jahren mit Firewall-Systemen oder Virenschutz-Lösungen vor Gefahren ab, die von Hackern und Viren ausgehen. In der Vergangenheit hat man vergleichbar mit einer Burgmauer ein Schutzsystem errichtet, welches das interne Netz (LAN) von dem externen, öffentlichen Netz (Internet) abschottet. Da sich in den letzten Jahren das Kommunikationsprofil dramatisch verändert hat, reicht eine Firewall an einem zentralen Perimeter nicht mehr aus. Ein Unternehmen besitzt heute nicht mehr nur eine Schnittstelle zur Außenwelt: Mitarbeiter können sich von zu Hause aus in das Firmennetz einwählen und arbeiten (Home Office). Es existieren Wartungszugänge von außen in das Unternehmen, die von Fremdfirmen genutzt werden. Gäste oder Consultants wählen sich im internen Netz ein etc. Um es kurz zu machen, die Burgmauer bietet im Allgemeinen keinen ausreichenden Schutz. Um den neuen Kommunikationsanforderungen gerecht zu werden, müssen auch die Sicherheitsmechanismen angepasst werden.
Verbindung mit Folgen
Werden die beiden Welten Office- und Produktionsnetze verbunden, entstehen schlagartig neue Gefahren. Hier gilt es vor allem die Bedrohungen für die Produktionsumgebung zu beleuchten. Viren oder Würmer können zwar durch eine Trennung der beiden Netze mit Firewall- oder Antiviren-Gateways ferngehalten werden, sofern diese Schädlinge versuchen, die Burgmauer genau an dieser Stelle zu überwinden. Werden die Schädlinge direkt im Produktionsnetz, beispielsweise durch einen Wartungszugriff direkt an der Maschine freigesetzt, müssen andere Mechanismen zur Gefahrenabwehr greifen. Eine rein Software-basierte Sicherheitslösung, vergleichbar mit einem Virenschutz auf dem Arbeitsplatzrechner, die auf alle betroffenen Systeme aufgespielt wird, eignet sich schon deshalb nicht, da für manche Branchen wie dem Chemie- oder Pharma-Sektor bestimmte Maschinen validiert werden müssen, bevor diese den Betrieb aufnehmen dürfen. Das Aufspielen von aktuellen Sicherheits-Patches würde also jedesmal einen erneuten Zertifizierungsprozess nach sich ziehen. Dies legt die Maschine nicht nur für Tage lahm, sondern verursacht auch hohe Kosten. Aufgrund der beschriebenen Problematik sind deshalb oftmals Betriebssysteme im Einsatz, die gar nicht mehr von den aktuellen Antivirenherstellern beliefert werden. Eine zentrale Burgmauer (Firewall) rund um das gesamte Unternehmensnetzwerk bzw. als Trennpunkt zwischen den beiden Netzen (Office- und Produktionsnetz) ist in der Praxis oft nicht ausreichend. Die meisten Störungen und Ausfälle werden nämlich nicht durch Angriffe von außen, sondern durch unerlaubte oder fahrlässige Zugriffe an bzw. auf den Systemen innerhalb des Netzwerkes verursacht.
