Anzeige
Anzeige
Anzeige
Anzeige
Sichere Kommunikation in der Prozesstechnik
Verfügbar und trotzdem vor unautorisierten Zugriffen geschützt
In der Vergangenheit wurden in der Prozessindustrie häufig isolierte Systeme mit proprietären Steuerungsprotokollen verwendet. Durch den technischen Fortschritt hat sich die Integration solch heterogener Lösungen in ein Gesamtkonzept deutlich vereinfacht. Ein Grund dafür liegt in der Nutzung von Ethernet als Übertragungsmedium.

In den prozesstechnischen Industriebereichen wie Öl und Gas, Chemie, Energie, Stahl oder Zement ist ICS ein geläufiger Begriff. Die Abkürzung steht für Integrated Control System und umfasst DCS (Distributed Control System), Scada-Systeme (Supervisory Control and Data Acquisition), RTU (Remote Terminal Units), Energiemanagement-Lösungen, Steuerungssysteme für rotierende Maschinen sowie andere Systeme, die Steuerungsfunktionen übernehmen. Aufgrund ihrer Vorteile hat sich die Ethernet-Technologie branchenübergreifend als offener Kommunikationsstandard etabliert, der die nahtlose Einbindung der aufgelisteten ICS-Bestandteile einfacher gestaltet. Standard-Protokolle und -Software-Plattformen werden also immer öfter in Applikationen der Prozessindustrie eingesetzt. Darüber hinaus finden Funktechnologien Anwendung, die sich bei der Ankopplung weit verstreuter Anlagenteile als vorteilhaft erweisen. Allerdings gibt es auch technische Schwachstellen, die in prozesstechnischen Umgebungen zu berücksichtigen sind. So hat es bereits Cyber-Angriffe auf die Steuerungssysteme von Kraftwerken und Pipelines gegeben. Zu diesem Zweck ist eine spezielle Malware entwickelt worden, die insbesondere Prozessregler und Scada-Systeme adressiert.

Unterschiedliche Prioritäten im Büro- und Anlagenumfeld

Ganz unabhängig von ihrer Größe, Art und Komplexität ist heute jede Fertigungsanlage auf Informationstechnologien angewiesen. Anders ausgedrückt wird der Produktionsprozess in erheblichem Maße durch Informationen gesteuert. Das bedeutet, dass die IT-Systeme, die neben den Prozesssteuerungs-Systemen für einen effizienten Unternehmensbetrieb verantwortlich sind, relevante und zuverlässige Fertigungsdaten aus der Anlage benötigen. Physisch können sich die IT-Systeme im Umfeld der Anlage und/oder an einem viele Kilometer entfernten Ort befinden. Damit die Unternehmen auf die Daten aus dem Produktionsbereich der Prozessanlage zugreifen und sie analysieren können, müssen zahlreiche im Bürobereich verwendete IT-Lösungen in die Prozesssteuerungs-Systeme eingebunden werden. Alle vier Automatisierungsebenen sind also via Ethernet zu verknüpfen. Eine genauere Untersuchung zeigt jedoch, dass sich die Prioritäten der Office-nahen IT-Systeme von denen der Prozesssysteme unterscheiden. Während in der Prozessindustrie die Verfügbarkeit vor der Integrität und Vertraulichkeit von größter Wichtigkeit ist, kehrt sich die Situation bei den IT-Systemen um. Hier kommt der Vertraulichkeit besondere Bedeutung zu, gefolgt von Integrität und Verfügbarkeit. Nutzt der Anwender einen abgestuften Ansatz, der dem entsprechenden Konzept für die Prozesssicherheit ähnelt, ist der Prozessregler, der rund um die Uhr für eine stabile Prozesssteuerung sorgt, auf der innersten Stufe angesiedelt. Das Szenario lässt sich durch hoch verfügbare Systeme realisieren, die in einem Steuerungsnetzwerk betrieben werden, das von den IT-Systemen anderer Bereiche vollständig getrennt und somit geschützt ist. Dabei muss der Zugang zum jeweiligen System kontrolliert werden.

Aufteilung des Netzwerks durch Firewalls und Router

Beim Anschluss der Prozesssteuerungs- an die IT-Systeme hat der Anwender dafür Vorkehrung zu treffen, dass die Verbindung sicher und ununterbrochen verfügbar ist. IT-Systeme erweisen sich allerdings als anfällig. Durch den Einsatz des offenen und transparenten Ethernet-Protokolls sind die angekoppelten Prozesssteuerungs-Systeme also ebenfalls gefährdet. Doch Sicherheitsaspekte im Umfeld der Prozesssteuerung lassen sich nicht auf die gleiche Art lösen wie im Bereich der Informationstechnik. Für die Netzwerk-Sicherheit war bislang die IT-Abteilung des Unternehmens zuständig. In prozesstechnischen Anlagen reicht eine solche Regelung heute nicht mehr aus. Zur Verwaltung der komplexen Architektur mit IT- und Prozesssteuerungs-Netzwerk ist ein strukturiertes Team für die Cyber-Sicherheit erforderlich, das die sich ergebenden Herausforderungen besser bewältigen kann. Überdies geht es nicht um einzelne Technologien, Produkte oder Schulungen. Vielmehr sind Technologien, Menschen und Prozesse so zu kombinieren, dass ein nicht autorisierter Zugriff auf das integrierte Steuerungssystem verhindert wird. Denn das ICS muss sicher und zuverlässig arbeiten, um den Prozess richtig zu steuern und eine unterbrechungsfreie Verfügbarkeit sicherzustellen. Defense in Depth ist hier ein Ansatz, den viele Endanwender in der Prozessindustrie nutzen. Das heißt, dass das Netzwerk analysiert und in verschiedene Zonen aufgeteilt wird. Zur Trennung werden Firewalls und Router verwendet.

Öffnung des OPC-Kanals für eine sichere Kommunikation

Als Beispiel für eine Security-Applikation seien die Pipelines der Öl- und Gasindustrie genannt, durch d ie die geförderten Mengen rund um die Uhr geleitet werden. Daher kommt es in diesem Umfeld auf hohe Sicherheit und Zuverlässigkeit an. Die Rohrleitungen, die die Rohstoffe nicht nur durch unbewohntes, sondern auch besiedeltes Gebiet transportieren, müssen in jedem Fall sicher sein. Sie verfügen in der Regel über mehrere Kompressoren, RTU und Messwertgeber, die mit einem zentralen Scada-System verbunden sind. Die Ankopplung der Geräte an ein DCS sorgt für die Bereitstellung von Prozessinformationen, während der Anschluss an die Datenverwaltungs-Systeme der IT die Grundlage für das Treffen der richtigen Unternehmens-Entscheidungen bildet. Die Pipelines und die zugehörigen Komponenten müssen also mit Zäunen und Überwachungskameras physisch vor externen Angreifern abgesichert werden, um Menschen und Umwelt zu schützen. Im laufenden Betrieb erweist es sich für Wartungs-Teams als schwierig, solche entfernten Stationen zu erreichen, damit sie dort Reparaturen vornehmen können. Zur Reduzierung von Ausfallzeiten sollten die Stationen/Geräte deshalb eine Remote-Verbindung zum Netzwerk des jeweiligen Betreibers oder des externen Service-Dienstleisters umfassen. Das System muss somit die Möglichkeit bieten, den OPC-Kanal für eine sichere Kommunikation zu den Prozessdaten zu öffnen. Zu diesem Zweck können Security-Router mit VPN und zum Teil mit Firewall eingesetzt werden. Auf ähnliche Weise lassen sich Scada-Server über Firewall-Router an die IT-Systeme des Office-Bereichs anbinden, wobei das DMZ-Konzept (Demilitarized Zone) Anwendung findet. Das als Firewall und Router fungierende Gerät sollte sämtliche Kommunikations-Aktivitäten protokollieren und den Datenaustausch zu externen Quellen über verschlüsselte VPN überwachen.

Seiten: 1 2Auf einer Seite lesen

Phoenix Contact Deutschland GmbH
http://www.phoenixcontact.de
Anzeige

Das könnte Sie auch Interessieren

Weitere Beiträge

Automatica findet nicht statt

Die für den 8. bis 11. Dezember geplante Messe Automatica findet aufgrund der Corona-Pandemie nicht statt. Für Mitte 2021 ist jetzt ein an die Begebenheiten der Corona-Zeit angepasstes, neues Präsenzformat geplant.

mehr lesen
Anzeige