Leider sind industrielle Systeme infolge der zunehmenden Vernetzung auf Basis von Ethernet und TCP/IP-Protokollen auch vielfältig gefährdet. Das Spektrum reicht von Überlastung durch technische Defekte und Broadcast-Stürme über unbeabsichtigte Fehlbedienung und argloses Einschleppen von Schadsoftware bis zu gezielten Angriffen von innen und außen zum Zwecke der Sabotage, Spionage und anderen kriminellen Motiven. Erhebliche Risiken wie Produktionsausfall, Gesundheits- und Umweltschäden, Verlust von Intellectual Property, Compliance und Image sind die Folge. Die Netzwerk-Einbindung von Maschinen und Anlagen sollte daher nicht ohne adäquate Sicherungsmaßnahmen erfolgen. Industrielle Steuerungen sind unsicherer, als Sie denken! Entgegen ihrer vermeintlichen Robustheit sind auch Speicher-programmierbare Steuerungen mit Ethernet-Schnittstellen durchaus anfällig für netzbasierte Störungen. So wurden in 2005 am Europäischen Forschungszentrum CERN 25 marktgängige SPSen von sieben Herstellern einem Sicherheitstest mit generischen Angriffstechniken unterzogen. Genutzt wurden die frei zugänglichen Werkzeuge Nessus, ein Penetrations- und Verwundbarkeits-Scanner und Netwox für die Simulation von Denial-of-Service Attacken. Selbst ohne jede sonstige Belastung führten 39% der Tests zu einer Fehlfunktion, in bis zu 32% der Fälle sogar zu Systemabstürzen. Bei einer Wiederholung mit neueren Firmware-Ständen fielen die Ergebnisse Ende 2006 zwar etwas besser aus, nach wie vor führten aber 34% der Tests zu einer Fehlfunktion und bis zu 26% der Fälle weiterhin zum Absturz der Steuerungen. Ferner zeigten Stichproben, dass Störungen unter produktionstypischer Last noch sehr viel wahrscheinlicher sind. Mit ähnlichem \’Aha-Erlebnis\‘ wurde von Langner Communications im Rahmen einer kürzlich gemeinsam mit Innominate veranstalteten Industrial Security Roadshow eindrucksvoll vorgeführt, wie SPSen ohne geheimes Insiderwissen oder spezifische Projektkenntnisse unbefugt manipuliert werden können. Bis hin zum völligen Stopp und Löschen des Programmspeichers führen die Steuerungen einfach aus, was über durchaus protokollkonforme an ihren Projektierungsport gesendete Datenpakete verlangt wird ohne jede Überprüfung des Absenders und seiner Autorisierung. Parallel zur Vernetzung nimmt die Verwendung von Standard-IT-Komponenten im industriellen Umfeld zu: PC-basierte Steuerungen und Bediensysteme, Microsoft Windows Betriebssysteme und Applikations-Protokolle für File Sharing, Datenbanken und Web-Oberflächen sind typische Beispiele. Die Systeme werden dadurch offener für gewünschte Integration, leider aber auch für unerwünschte Schädigung. Verwundbarkeiten der Büronetze breiten sich in die Welt der Produktion aus. Über 1.000 neue Schwachstellen und zugehörige Exploits pro Jahr werden von den internationalen Computer Emergency Response Teams (CERTs) gemeldet. Was also tun? Defense-in-Depth-Strategie und Endpunkt-Sicherheit Perimeter-Schutz an den Grenzübergängen eines Netzes allein kann keine ausreichende Sicherheit bieten, da er weder vor internen Angriffen schützt noch die weitere Ausbreitung von eingedrungenen Schädigungen eindämmen kann. Als Best Practice wird daher eine sogenannte Defense-in-Depth- Strategie empfohlen, die gestaffelt bis zum Schutz kritischer Zellen oder Einzelsysteme reicht, vergleichbar der mit Security Software auf PCs angestrebten Endpunkt-Sicherheit in Büronetzen. Eine Schlüsselrolle kommt dabei der Kontrolle und Filterung von Netzwerkverkehr durch Firewalls zu. Maxime: \“Was nicht explizit erlaubt ist, ist verboten!\“ Eine Sicherung heterogener industrieller Systeme rein durch Software sofern denn überhaupt verfügbar scheidet aber in der Regel aus. Zum einen sind die bei Security Software regelmäßig notwendigen Updates auf den Systemen selbst nicht praktikabel (Grundsatz: \“Never touch a running system!\“). Zum anderen reichen auch Hardware-Ressourcen und Prozessorleistung meist nicht aus, um ohne Beeinträchtigung der Nutzfunktion zusätzliche Sicherheitsaufgaben zu übernehmen. So war z.B. die Freude bei manchem Anwender Windows XP-basierter Steuerungen über die mit Service Pack 2 verfügbare Software-Firewall von kurzer Dauer: Schon ein trivialer Denial-of-Service-Angriff ließ die Systeme einfrieren oder besser gesagt durchglühen, da sich ihre CPU zu 99% nur noch mit Firewall-Funktionen beschäftigte. Verteilter Schutz mit zentralem Geräte-Management Innominate hat sich auf die Anforderungen der industriellen Netzwerksicherheit spezialisiert und mit der mGuard-Technologie innovative Lösungen geschaffen, die hier einspringen: fertig konfektionierte Security Appliances mit eigenen Ressourcen und integrierter Firmware. Eine zentralisierte Absicherung vieler Zellen oder Einzelsysteme durch eine entsprechend groß dimensionierte Sicherheitskomponente würde eine sternförmige Verkabelung voraussetzen, die im industriellen Umfeld untypisch und deutlich teurer ist als eine mit kleineren Switches realisierte baum- und linienförmige Topologie mit kurzen Kabelstrecken. Deshalb setzt Innominate auf eine dezentrale Architektur mit verteiltem Schutz durch kleine Security Appliances und völliger Freiheit im Netzwerk-Design. Diese ist nachweislich in fast allen industrietypischen Szenarien mit geringeren Investitions- und Betriebskosten realisierbar. Je nach Typ des zu schützenden Systems können Appliances in unterschiedlichen Formfaktoren prädestiniert sein. Für die Absicherung von Automatisierungstechnik im Schaltschrank wird man ein Hutschienengerät bevorzugen. Für PC-basierte Bedien-Panels oder Steuerungen eignen sich Appliances im PCI-Kartenformat sehr gut. Auch ein 19\’\‘-Rack-System mit Blade-Einschüben ist als platzsparende Lösung für den Netzverteilerraum verfügbar. Von Vorteil insbesondere für die Nachrüstung ist, dass die Geräte nicht nur als Router betrieben, sondern auch transparent in ein Netz bzw. vor ein System eingeschleift werden können (sogenannte \’Stealth Mode\‘). Mit 1:1 NAT (Network Address Translation) unterstützen mGuard-Appliances die flexible Einbindung von Anlagen in Betreibernetze ohne Anpassungen am internen Adressraum der Maschinen. Und mit ihrer optionalen VPN-Funktion (Virtual Private Networking) bilden sie \’ganz nebenbei\‘ die Grundlage hochsicherer Teleserivce-Verbindungen für Ferndiagnose und Fernwartung via Internet. Die dezentrale Architektur führt bei konsequenter Anwendung zu einer drei- oder gar vierstelligen Zahl von Appliances im Feld eines größeren Betreibers. Diese einzeln manuell zu administrieren und auf Dauer in Firmware und Konfiguration aktuell zu halten, ist nicht praktikabel. Ihre Vorteile lassen sich also nur ausspielen, wenn ein zentrales Geräte-Management verfügbar ist, mit dem selbst tausende verteilter Geräte von einer Stelle aus umfassend beherrscht werden können. Genau dies leistet der Innominate Device Manager (IDM) für die mGuard-Geräte-Familie. Mehrere Benutzer können an Vorlagen und Gerätedaten arbeiten. Fertige Konfigurationen ebenso wie spätere Updates können aktiv vom IDM auf die Geräte gespielt (Push-Verfahren) oder auf einem Web Server zum automatischen Download für die Geräte bereitgestellt werden (Pull-Verfahren). Bei beiden Verfahren werden sichere Protokolle (SSH bzw. HTTPS) genutzt und Status-Informationen zurückgespielt, die eine zentrale Überwachung aller verwalteten Geräte ermöglichen. Dabei lässt sich ein hoher Automatisierungsgrad für die Konfiguration einzelner Geräte erzielen, etwa durch eine Vorlagen- und Vererbungstechnik. In der Praxis finden sich oft größere Gruppen von zu schützenden Systemen mit ähnlichem oder gar identischem Kommunikationsverhalten. Der gemeinsame Kern einer Security-Konfiguration für diese Systeme kann in einer Vorlage gekapselt und von dieser auf hunderte von Appliances vererbt werden. Für Einzelgeräte müssen dann – wenn überhaupt – nur noch wenige individuelle Einstellungen vorgenommen werden. Diese Elemente ermöglichen auch eine praxisnahe Arbeitsteilung. Ein Security-Administrator mit tieferer Expertise gestaltet die Vorlagen, während Techniker nach kurzer Einweisung Geräte mithilfe passender Vorlagen ausrollen und in Betrieb nehmen können. Firewall-Regeln kann man lernen Doch wie kommt man überhaupt zu einem wirksamen Firewall-Regelwerk, besonders bei Nachrüstung in Bestandsanlagen ohne ausreichende Dokumentation? Hier können mGuard Appliances helfen, ein geeignetes Regelwerk buchstäblich zu erlernen. Im \’Learning Mode\‘ werden zunächst alle Verbindungsversuche zugelassen und durch einen Syslog-Server protokolliert. Bei intensiver Kommunikation fallen hier zwar schnell größere Datenmengen an als ein Mensch noch auswerten könnte. Mithilfe einer Software lassen sich diese aber auf eine Essenz von Regeln konzentrieren, die manuell plausibilisiert werden können. Dieser Vorgang wird iterativ wiederholt, bis keine unbekannten Verbindungen mehr auftreten. Dann ist der Lernprozess abgeschlossen und das Regelwerk kann \’scharf\‘ geschaltet werden. Unzulässige Verbindungsversuche werden fortan blockiert. Das gelernte Regelwerk kann auch in eine Vorlage des Geräte-Managements importiert und von dort auf andere Appliances mit gleichartigen Schützlingen verteilt werden. Fazit Der Schutz kritischer, vernetzter Automatisierungssysteme ist weniger ein technisches Problem, sondern primär ein Zielkonflikt zwischen Kosten (der Sicherheit) und Risiken (der Unsicherheit). Wirtschaftliche, effizient managebare Lösungen wie die Innominate mGuard-Technologie tragen bei, diesen Konflikt zugunsten von mehr Sicherheit zu mildern.
Industrial Firewalls: Kommunikation und Zugriff über Ethernet unter Kontrolle
-
Neue Füllstandslösung für geschlossene Schmelzöfen
OndoSense hat ein Messsystem zur Füllstandskontrolle von bis zu 1.600° heißen Aluminium-, Stahl- oder Kupferschmelzen in geschlossenen Öfen entwickelt: Mit der neuen OndoSense FurnaceProtect Radarlösung kann der Füllstand…
-
M16-Winkelstecker für Ströme bis 25A
Hummel erweitert sein Portfolio an kompakten M16-Steckverbindern um einen flach dimensionierten Winkelstecker.
-
Online konfigurierbarer 19“-Industrie-PC
Mit dem Controlmaster 1023 4HE IPC bietet ICO einen online konfigurierbaren 19“-Industrie-PC, der Prozessorleistung, Erweiterbarkeit und ein kompaktes 4HE-Rackformat verbindet.
-
Umspritzte Steckverbinder mit Push/Pull-Verriegelung
Mit den M12-Push/Pull-Steckverbindern in Steckerausführung mit Innenverriegelung erweitert Escha sein Portfolio industrieller Verbindungstechnik für anspruchsvolle Anwendungen.
-
Qualitätskontrolle mit Null-Fehler-Strategie
Die Maschine prüft sich selbst
Automatisierte Prüfsysteme stellen in der Fertigung sicher, dass auch ohne menschliches Zutun alles…
-
KI und digitaler Zwilling werden am meisten genutzt
Deutsche Industrieunternehmen setzen bereits auf die Möglichkeiten, die Industrie 4.0 bietet.
-
Kunststoffverarbeitung
Euromap 78 ohne zusätzlichen Schaltschrank: Dezentrale Sicherheit für komplexe Spritzgusszellen
Die Anbindung von Spritzgussmaschinen an externe Sicherheitseinrichtungen ist über Euromap 78 klar geregelt.…
-
Industrial IoT
Ganzheitlicher Engineering-Ansatz für individuelle IoT- und Tracking-Lösungen
Rosenberger verfolgt mit Smart Engineering einen anwendungsorientierten Entwicklungsansatz für industrielle IoT-Lösungen.
-
Auftragseingang im Verarbeitenden Gewerbe im Mai: +1,9% zum Vormonat
Der reale (preisbereinigte) Auftragseingang im Verarbeitenden Gewerbe ist nach vorläufigen Angaben des Statistischen…
-
Exporte im Mai: +0,9% zum April
Im Mai sind die deutschen Exporte gegenüber April kalender- und saisonbereinigt um 0,9%…
-
Hersteller von Extruderabzügen setzt auf Präzisionspotentiometer
Poti am Band
Band- und Raupenabzüge sorgen nach dem Extrusionsprozess für die reibungslose Weiterverarbeitung von Kunststoffrohren…
-
Weg- und Winkelmessung für anspruchsvolle Maschinen
Prozesssicherheit im Zehntelbereich
Was zählt in anspruchsvollen Maschinen und Anlagen? Robustheit, Geschwindigkeit, Langlebigkeit – und vor…
-
Elektro- und Digitalindustrie: höchstes Auftragsplus seit zwei Jahren
Die Nachfrage in der deutschen Elektro- und Digitalindustrie hat sich zuletzt spürbar weiter…
-
Ziehl-Abegg investiert zusätzlich 90Mio.€
Ziehl-Abegg setzt seinen Wachstumskurs mit einer der größten Investitionsoffensiven der Unternehmensgeschichte fort.
-
Ein Überblick über Kriterien, Entwicklungen und Herausforderungen der Standardisierung
Welches industrielle Netzwerk ist das beste?
Die Frage nach dem ‚besten‘ industriellen Kommunikationsnetzwerk beschäftigt seit Jahrzehnten Ingenieure, Automatisierungsexperten sowie…
-
Neuer Geschäftsführer bei Inosoft
Thomas Helmbold (r.) übernimmt die Geschäftsführung der Inosoft AG in der Schweiz und…
-
Siemens PLM Connection 2026 in Seeheim
KI prägt die PLM-Community – Zahlen und Keynotes im Rückblick
Rund 430 angemeldete Mitgliedsfirmen, 29 Aussteller und mehr als 90 Vorträge, Roundtables und…
-
Fördertechnik & Intralogistik
120 Motorrollen unter einer IP-Adresse steuern
Hunderte Motorrollen, zahlreiche IP-Adressen und hoher Engineering-Aufwand gehören in großen Förderanlagen oft zum…
-
HMI
Panel-PC-Plattform bündelt HMI und Steuerung
Wachendorff Prozesstechnik erweitert seine Match-Produktfamilie um Match Control, eine Plattform für Panel-PCs, die…
-
Sensorik
Smart-Measurement-Sensoren wachsen um Miniatur- und Hochleistungsvarianten
Contrinex erweitert sein Portfolio an Smart-Measurement-Sensoren um Miniaturausführungen sowie Varianten mit ActivStone-Beschichtung für…
-
Elektrische Verbindungstechnik
PTFE-Einzeladern für anspruchsvolle Industrie- und Automotive-Anwendungen
Habia erweitert sein Portfolio an Hochleistungskabeln um PTFE-isolierte Einzeladern für anspruchsvolle elektrische Anwendungen.…
-
Marktanalyse von HMS Networks
Industrial Ethernet steigt auf 79%
Jährliche Marktanalyse von HMS Networks für industrielle Netzwerke 2026 sieht Industrial Ethernet in…
-
Ein mit SensoJoints entwickelter Greifer sammelt für das EU-Projekt SeaClear2.0 Müll auf dem Meeresboden
SensoJoints als Gamechanger in der Unterwasserrobotik
Für das von der EU finanzierte Projekt SeaClear2.0 zur Sauberhaltung der Weltmeere mittels…
-
Was Industrieunternehmen bei Bedarfsplanung, Komponentenanalyse und Beschaffung jetzt beachten sollten
Mit vier Tipps die Speicherknappheit meistern
Die Speicherknappheit stellt Unternehmen vor Herausforderungen. System-D, Spezialdistributor für Industrial Storage, rät zu…
das könnte sie auch interessieren
-
CPO Dr. Wilma Kauke im Interview: Wie Lapp Führung und Unternehmenskultur neu denkt
Zwischen KI, Krisen und Fachkräftemangel
-
Hilscher kombiniert Industrial Ethernet, IIoT und CRA-Readiness auf NetX-90-Basis
Neue CifX-PC-Karten für sichere Industriekommunikation
-
Vorzeigeprojekt bei SGAC mit Rittal, Rittal Automation Systems und Eplan
Digitale Exzellenz in China
-
Für sichere Schaltbefehle
Befehls- und Meldegeräte mit externen Kontaktgebern
















