Die von der Unternehmensberatung Gartner herausgegebene Studie \’Hype Cycle for Cyberthreads 2006\‘ kommt zu dem Schluss, dass 40% aller Organisationen bis Ende 2008 Ziel finanziell motivierter krimineller Angriffe auf ihr Netzwerk sein werden. In seinem Bericht zur \’Lage der IT-Sicherheit in Deutschland 2007\‘ zieht das Bundesamt für Sicherheit in der Informationstechnik ein ähnliches Fazit. Bereits heute stellen Schadprogramme wie Trojaner, Viren oder Würmer, die sich innerhalb von Sekunden weltweit verbreiten, die häufigste Angriffsform gegen IT-Systeme dar. Da der Kontakt mit dem Angreifer zumeist über Webseiten oder Standard-Ethernet-Protokolle erfolgt, die zur Internet- und E-Mail-Nutzung notwendig sind, bieten Firewalls nur beschränkten Schutz. Moderne Schadprogramme passen sich darüber hinaus der Rechnerumgebung an, sodass sie nicht von Virenschutzprogrammen erkannt werden. Trotzdem schätzen viele Unternehmen das eigene Bedrohungsrisiko als gering ein und implementieren daher keine Security-Lösungen. Solche Versäumnisse können schwerwiegende Folgen haben, denn sie verursachen nicht nur hohe Produktionsausfallkosten, sondern auch einen Imageverlust sowie unter Umständen eine persönliche Haftung der Vorstände oder Geschäftsführer. Unzureichende Sicherheitsmechanismen Prozessleitsysteme werden nicht nur in produzierenden Unternehmen sondern auch in Betrieben zur Energie- und Wasserversorgung eingesetzt, um Prozesse zu steuern und zu überwachen. Da sie immer häufiger über Ethernet-TCP/IP2 Netzwerke mit der Peripherie verbunden sind, können Hacker die gleichen Angriffsmethoden zum unbefugten Eindringen in das Netzwerk nutzen, die gegen die Standard-IT verwendet werden. Trotz des Gefährdungspotenzials sind Sicherheitsmechanismen wie die Authentifizierung oder Verschlüsselung bislang nur unvollständig oder gar nicht in viele Scada-Lösungen integriert. Wenn überhaupt, dann werden Daten durch das SSL-Protokoll (Secure Socket Layer) vor dem Lesen und Manipulieren während der Übertragung geschützt. Durch die Kombination aus asymmetrischer und symmetrischer Verschlüsselung bietet SSL ein hohes Maß an Sicherheit. Allerdings ist das asymmetrische Verfahren aufgrund der längeren Schlüssel sehr langsam und erhöht die Serverbelastung. Weitere Nachteile ergeben sich aus der aufwendigen Verwaltung der Zertifikate sowie ihrer Speicherung auf dem Rechner, um ein gemeinsames Login von Plattform und Applikation zu ermöglichen. Außerdem ist eine schnelle Key-Blockierung im Fall der \’Übernahme\‘ des Clients durch einen Angreifer nur aufwendig realisierbar. Authentizität, Integrität und Vertraulichkeit garantiert Vor diesem Hintergrund hat ETM professional control GmbH mit Kerberos ein bewährtes Third-Party-Authentifizierungsprotokoll in sein Prozessleitsystem PVSS integriert, das alle technischen Anforderungen erfüllt. Das vom Massachussets Institute of Technology (MIT) vor rund 15 Jahren entwickelte Protokoll stellt die Authentizität der beteiligten Parteien sowie die Integrität und Vertraulichkeit der Datenübertragung sicher. Soll eine Kommunikation zwischen zwei Parteien aufgebaut werden, authentifizieren sich beide gegenüber einer vertrauensvollen dritten Partei, dem so genannten Authentication Server (AS), und vereinbaren einen Session Key, mit dem ihre Nachrichten signiert und bei Bedarf verschlüsselt werden. PVSS besteht aus verschiedenen Komponenten, die als Manager bezeichnet werden und jeweils eine spezielle Funktion wahrnehmen. So verwaltet der Event-Manager das Prozessabbild und verteilt Nachrichten an die anderen Manager, während der Datenbank-Manager die Informationen archiviert und auswertet, der Control-Manager Steuerungs- und Überwachungsfunktionen übernimmt und der User-Interface-Manager für die Visualisierung der Daten sorgt. Wenn sich beispielsweise ein Prozesswert in der Peripherie ändert, wird dies vom Treiber erfasst, der eine Nachricht an den zentralen Event-Manager schickt. Der Event3 Manager leitet die Nachricht dann an den User-Interface-Manager und/oder den Datenbank-Manager weiter. Kerberos stellt nun sicher, dass nur die berechtigten Manager miteinander kommunizieren (Authentizität) und die Nachrichten nicht verändert werden können (Integrität). Falls vom Anwender gewünscht, lassen sich die Informationen auch verschlüsselt übertragen (Vertraulichkeit). Da sich die Kerberos-Implementierung in PVSS optimal in die IT-Systemlandschaft integriert, werden die Anwender gegen die zentrale Nutzerdatenbank Windows Active Directory oder Linux LDAP-Service geprüft. Dadurch ist garantiert, dass der User, der einen Befehl absetzen will, tatsächlich der ist, der er zu sein vorgibt. Vorteilhafte Lösung Im Vergleich zur SSL-Verschlüsselung bietet Kerberos verschiedene Vorteile. Während sich die Parteien bei SSL komplett über Zertifikate austauschen, muss bei Kerberos aufgrund der zentralen Verwaltung nur die (eigene) Signatur mitgeschickt werden, so dass sich die Kommunikation durch den geringeren Datenumfang beschleunigt. Zu einem schnelleren Datenaustausch trägt auch die einheitliche Verwendung von symmetrischen Schlüsseln bei, die erheblich kürzer als die von SSL verwendeten asymmetrischen Keys sind. Die zeitlich beschränkte Gültigkeit des Zugriffs auf die einzelnen Manager erhöht die Sicherheit ebenso wie die Tatsache, dass die User-Passwort-Informationen bei Kerberos nicht über das Netz übertragen werden und nur berechtigte PCs an der PVSS-Kommunikation teilnehmen können. Findet ein Angriff auf das Netzwerk statt, kappt PVSS darüber hinaus die kompromittierende Verbindung automatisch und ohne Zeitverlust. Neben der schnelleren Kommunikation und hohen Sicherheit überzeugt Kerberos durch wirtschaftliche Aspekte. Aufgrund der optimalen Integration von PVSS in die IT-Systemlandschaft können die verwendeten Sicherheitsmechanismen von der zentralen IT bereitgestellt und aktuallisiert werden, sodass die zeitraubende und fehlerträchtige Einstellung an den einzelnen Arbeitsplatz-Rechnern entfällt. Die Möglichkeit des Single Sign-on reduziert hier den Zugriffsaufwand für den einzelnen Mitarbeiter. Da die einzelnen Teilnehmer nicht mehr explizit durch eine Firewall geschützt werden müssen, lassen sich auch dort die Kosten für den Einsatz von Sicherheitsfunktionen senken. Umfassendes Schutzkonzept Mit Kerberos verfügt das Prozessleitsystem PVSS über ein Authentifizierungsprotokoll, das eine unverfälschte und vertrauliche Kommunikation zwischen den berechtigten Parteien sicherstellt. Aufgrund der verteilten Manager-Architektur sowie der ereignisgesteuerten Kommunikation über TCP/IP ergänzen sich die Scada-Lösung und das Protokoll optimal. Kerberos kann dabei – je nach Bedarf – in verschiedenen Ausbaustufen freigeschaltet werden, um PVSS und die sensiblen Daten umfassend vor unbefugten Zugriffen zu schützen. Zu einem hohen Maß an Sicherheit tragen darüber hinaus eine Reihe von Funktionen bei: das Redundanzkonzept des Prozessleitsystems, dessen ausgeklügelte Logik den Zustand der beiden miteinander verbundenen Serversysteme permanent analysiert und individuell entscheidet, ob eine Redundanzumschaltung notwendig ist. Im Fehlerfall übernimmt der Hot-Standby-Rechner stoßfrei alle Aufgaben des ausgefallenen Systems, ohne dass der Nutzer in seiner Arbeit beeinträchtigt wird oder Daten verloren gehen. Im Rahmen des so genannten Lastabwurfs wird automatisch eine Überlastung des zentralen Event-Managers und damit ein Datenverlust oder Crash verhindert, während das Berechtigungskonzept den Zugriff auf die einzelnen Aufgabenbereiche einschränkt, um Schäden durch Fehlbedienung zu minimieren. Eine Inaktivitätsverwaltung, die den User bei kurzzeitigem Verlassen des Arbeitsplatzes beispielsweise abmeldet, und die Access Control List, mit der sich Zugriffe auf Maschinen individuell beschränken lassen, runden das umfassende Sicherheitskonzept von PVSS ab.
Prozessleitsystem PVSS: Umfassende Absicherung gegen unberechtigte Zugriffe
-
Fördertechnik & Intralogistik
120 Motorrollen unter einer IP-Adresse steuern
Hunderte Motorrollen, zahlreiche IP-Adressen und hoher Engineering-Aufwand gehören in großen Förderanlagen oft zum Alltag. Das G20-Ethernet-System von Pepperl+Fuchs geht einen anderen Weg: Bis zu 120 Motorrollen lassen sich…
-
Auftragseingang im Verarbeitenden Gewerbe im Mai: +1,9% zum Vormonat
Der reale (preisbereinigte) Auftragseingang im Verarbeitenden Gewerbe ist nach vorläufigen Angaben des Statistischen Bundesamtes im Mai gegenüber April saison- und kalenderbereinigt um 1,9% gestiegen.
-
Exporte im Mai: +0,9% zum April
Im Mai sind die deutschen Exporte gegenüber April kalender- und saisonbereinigt um 0,9% gestiegen und die Importe um 2,5% gesunken.
-
Hersteller von Extruderabzügen setzt auf Präzisionspotentiometer
Poti am Band
Band- und Raupenabzüge sorgen nach dem Extrusionsprozess für die reibungslose Weiterverarbeitung von Kunststoffrohren und -profilen. Auf die Herstellung dieser Anlagen hat sich Graewe aus Neuenburg spezialisiert. Für die…
-
Weg- und Winkelmessung für anspruchsvolle Maschinen
Prozesssicherheit im Zehntelbereich
Was zählt in anspruchsvollen Maschinen und Anlagen? Robustheit, Geschwindigkeit, Langlebigkeit – und vor allem belastbare Live-Daten aus präziser Weg- und Winkelmessung. Nur wer Positionen, Endlagen und Bewegungsprofile sicher…
-
Neuer Geschäftsführer bei Inosoft
Thomas Helmbold (r.) übernimmt die Geschäftsführung der Inosoft AG in der Schweiz und…
-
Siemens PLM Connection 2026 in Seeheim
KI prägt die PLM-Community – Zahlen und Keynotes im Rückblick
Rund 430 angemeldete Mitgliedsfirmen, 29 Aussteller und mehr als 90 Vorträge, Roundtables und…
-
Ziehl-Abegg investiert zusätzlich 90Mio.€
Ziehl-Abegg setzt seinen Wachstumskurs mit einer der größten Investitionsoffensiven der Unternehmensgeschichte fort.
-
Ein Überblick über Kriterien, Entwicklungen und Herausforderungen der Standardisierung
Welches industrielle Netzwerk ist das beste?
Die Frage nach dem ‚besten‘ industriellen Kommunikationsnetzwerk beschäftigt seit Jahrzehnten Ingenieure, Automatisierungsexperten sowie…
-
Marktanalyse von HMS Networks
Industrial Ethernet steigt auf 79%
Jährliche Marktanalyse von HMS Networks für industrielle Netzwerke 2026 sieht Industrial Ethernet in…
-
Ein mit SensoJoints entwickelter Greifer sammelt für das EU-Projekt SeaClear2.0 Müll auf dem Meeresboden
SensoJoints als Gamechanger in der Unterwasserrobotik
Für das von der EU finanzierte Projekt SeaClear2.0 zur Sauberhaltung der Weltmeere mittels…
-
Was Industrieunternehmen bei Bedarfsplanung, Komponentenanalyse und Beschaffung jetzt beachten sollten
Mit vier Tipps die Speicherknappheit meistern
Die Speicherknappheit stellt Unternehmen vor Herausforderungen. System-D, Spezialdistributor für Industrial Storage, rät zu…
-
Elektro- und Digitalindustrie: höchstes Auftragsplus seit zwei Jahren
Die Nachfrage in der deutschen Elektro- und Digitalindustrie hat sich zuletzt spürbar weiter…
-
Für die Lebensmittelindustrie
Hygienische Kabelführung
Icotek verfügt über ein umfangreiches Sortiment an teilbaren Kabeldurchführungen, Kabelverschraubungen und Kabelführungsplatten für…
-
Mit Innenverriegelung
M12 Push-Pull umspritzte Steckverbinder
Escha erweitert sein Push-Pull-Portfolio im Bereich industrieller Verbindungstechnik um M12 Push-Pull Steckverbinder in…
-
Messtechnik
Touch-Oszilloskope für mobile Messaufgaben
Voltcraft hat sein Messtechnikprogramm um die neue Oszilloskop-Serie DOV erweitert.
-
HMI
Panel-PC-Plattform bündelt HMI und Steuerung
Wachendorff Prozesstechnik erweitert seine Match-Produktfamilie um Match Control, eine Plattform für Panel-PCs, die…
-
Sensorik
Smart-Measurement-Sensoren wachsen um Miniatur- und Hochleistungsvarianten
Contrinex erweitert sein Portfolio an Smart-Measurement-Sensoren um Miniaturausführungen sowie Varianten mit ActivStone-Beschichtung für…
-
Elektrische Verbindungstechnik
PTFE-Einzeladern für anspruchsvolle Industrie- und Automotive-Anwendungen
Habia erweitert sein Portfolio an Hochleistungskabeln um PTFE-isolierte Einzeladern für anspruchsvolle elektrische Anwendungen.…
-
Yaskawa eröffnet neues Robotermontage- und Distributionszentrum
Yaskawa baut seine Produktions- und Distributionskapazitäten für Roboter in Europa weiter aus: Am…
-
CPO Dr. Wilma Kauke im Interview: Wie Lapp Führung und Unternehmenskultur neu denkt
Zwischen KI, Krisen und Fachkräftemangel
Wirtschaftliche Unsicherheit, Fachkräftemangel, globale Spannungen und künstliche Intelligenz verändern die Arbeitswelt tiefgreifend. Für…
-
Hilscher kombiniert Industrial Ethernet, IIoT und CRA-Readiness auf NetX-90-Basis
Neue CifX-PC-Karten für sichere Industriekommunikation
Hilscher hat zwei neue PC-Karten für die sichere industrielle Kommunikation vorgestellt. Die Karten…
-
Vorzeigeprojekt bei SGAC mit Rittal, Rittal Automation Systems und Eplan
Digitale Exzellenz in China
Mit der ‚Smart Manufacturing and Digitized Assembly Factory‘ setzt das chinesische Unternehmen SGAC…
-
Für sichere Schaltbefehle
Befehls- und Meldegeräte mit externen Kontaktgebern
Norelem erweitert sein Portfolio um Befehls- und Meldegeräte mit externen Kontaktgebern.
-
Für sicherheitsgerichtete Prozesse
Digitale Safety-HMI-Lösung mit SIL3
IconTrust HMI unterstützt die digitale Umsetzung funktional sicherer Bedien- und Anzeigekonzepte mit hohen…
















