- Glossar
- Security Seminar
- Security Checkliste
- PROFINET Security
Sicherheit im industriellen Umfeld war lange Zeit gleichbedeutend mit Betriebssicherheit. Und noch heute gilt eine Maschine bzw. Anlage als sicher, wenn sie störungsfrei und gefahrlos für ihre Anwender läuft. In der automatisierten Produktion reicht dieser Sicherheitsbegriff jedoch nicht mehr aus. Die Kommunikationsnetze, welche die Automatisierung erst ermöglichen, werfen eigene Sicherheitsfragen auf. Sie gelten als sicher, wenn sie vor unberechtigtem Zugriff geschützt sind. Im Umkehrschluss ist Betriebssicherheit in der automatisierten Produktion erst dann gewährleistet, wenn Netzwerksicherheit besteht. Um beiden Sicherheitsbegriffen Trennschärfe zu verleihen, spricht man im Englischen von „Industrial Safety“ und „Industrial Security“:
- Industrial Safety entspricht der übergreifenden Betriebssicherheit und lässt sich sinngemäß als Gefahrlosigkeit übersetzen.
- Industrial Security bezieht sich auf den Aspekt der Netzwerksicherheit und lässt sich sinngemäß als Gefahrenabwehr übersetzen.
In die Gefahrenabwehr fließen alle Vorkehrungen ein, die Kommunikationsnetze automatisierter Produktionsanlagen vor unberechtigtem Zugriff schützen. Angefangen beim physischen Zugangsschutz, über spezielle Betriebsabläufe auf Basis von Richtlinien oder Checklisten, bis hin zum technischen Schutz der Kommunikationsnetze und Systeme. Hierbei können die Maßnahmen der Informationstechnik (engl. „Informational Technology“, kurz: IT) nicht ohne Weiteres auf die Produktionstechnik („Operational Technology“, kurz: OT) übertragen werden. Während IT-Netzwerke der Leitebenen per Firewall, Virenschutz, Webfilter, Datenverschlüsselung u.v.m. nach außen abgeschottet werden, setzt Automatisierung in zunehmendem Maße voraus, dass Steuerung, Geräte und Sensoren auf Feldebene möglichst barrierefrei miteinander kommunizieren. Deshalb gilt bislang für viele OT-Netzwerke das Konzept der Trusted Zone: Innerhalb eines festgelegten, nach außen abgesicherten Bereichs werden alle Netzwerkteilnehmer als vertrauenswürdig eingestuft und die Kommunikation zwischen ihnen nicht kontrolliert.
Security im OT-Netzwerk
Die Security in der Trusted Zone ist allerdings in zweierlei Hinsicht prekär: Einerseits, weil es auch innerhalb des vertrauenswürdigen Bereichs zu unberechtigten Zugriffen auf Schaltschränke, Netzwerkports oder Programmierzugänge kommen kann. Andererseits, weil eigene oder unternehmensfremde Servicemitarbeiter mit vermeintlich harmlosen Handlungen – wie einem Netzwerkscan oder dem Aufspielen von Firmware-Updates – ungewollt sicherheitsrelevante Zwischenfälle verursachen können. Vor diesem Hintergrund setzt die Industrie zunehmend auf robustere Geräte, die in Zertifizierungsverfahren (z.B. Net Load Class für PROFINET) ihre Unempfindlichkeit gegenüber kurzzeitigen Lastspitzen nachgewiesen haben.
Mit dem Vormarsch von PROFINET und weiteren ethernetbasierten Netzwerken steht die Security im OT-Netzwerk jedoch vor neuen Herausforderungen. Die echtzeitfähigen Kommunikationskanäle tragen entscheidend dazu bei, dass immer größere Datenmengen in die Produktionsprozesse einfließen, die entweder aus den Leitebenen abgerufen oder sogar direkt vom Kunden via Internet auf die Feldebene gesendet werden. Unter diesen Bedingungen ist eine zuverlässige Netzwerksicherheit nur dann zu gewährleisten, wenn der Datenverkehr jederzeit nachvollziehbar bleibt – nach dem Grundsatz: Wer hat wann, was, mit wem, auf welchem Weg kommuniziert?
Die von Indu-Sol entwickelte Permanente Netzwerküberwachung (PNÜ) liefert darauf präzise Antworten. Selbst im PROFINET, wo zum zyklischen eine nicht vorhersehbare Menge azyklischen Datenverkehrs hinzukommt, kann die gesamte Kommunikation entsprechend bewertet, analysiert und langfristig gespeichert werden. Auf Basis der gesammelten Zustandsdaten vermag die PNÜ rechtzeitig vor Auffälligkeiten im Netzwerk warnen, womit nicht nur die vorbeugende Instandhaltung erleichtert, sondern auch Security-Bedürfnisse bedient werden. Anhand der Zustandsdaten lassen sich nämlich auch Angriffen von innen nachvollziehen.
So ist es mit der aktuellen Version des PROFINET-INspektors® NT und der Software PROmanage® NT erstmals möglich, Anomalien aufzuzeichnen, die die OT-Security betreffen: Zum einen detektiert der INspektor® jegliche Programmierzugriffe auf die Steuerung, zum anderen erkennt er die Anwesenheit unbekannter Teilnehmer im Netzwerk. Damit liefert das Diagnosegerät im Ernstfall sofort entscheidende Informationen an die Betreiber – denn nur wer weiß, dass er angegriffen wird, kann auf Angriffe reagieren. Die Meldung aller sicherheitsrelevanten Ereignisse erfolgt, je nach Konfiguration, per E-Mail, Nachrichtendienst, OPC oder SNMP an den entsprechenden Verantwortungsbereich, buchstäblich auf dem „kurzen Dienstweg“. Über die Netzwerkchronik von PROmanage® NT sind die gesammelten Daten dann bis zu einem Jahr minutengenau abrufbar.
Interesse an einer Security Beratung?
Auf der Basis jahrelanger Erfahrung und in Kenntnis aktueller Richtlinien wie der PROFINET Security Guideline bieten wir Ihnen kompetente Beratung rund um alle Fragen der industriellen Netzwerksicherheit.
GUT ZU WISSEN - kurz und bündig!
OT-Security in der Industrie 4.0 | Einfach erklärt
Jetzt Aufzeichnung ansehen!
IT-Security als Blaupause ungeeignet
Die Verschmelzung von Maschinen- und Produktionsnetzwerken im Zuge von Industrie 4.0 erfordert moderne Security-Konzepte.
Gesammelte Antworten (FAQ)
In der Wissensdatenbank beantworten wir die häufigsten Anwenderfragen zu unserer Hard- und Software.
Top-Produkte
Newsletter abonnieren
Bleiben Sie informiert! Erhalten Sie Angebote und Neuigkeiten rund um industrielle Netzwerke sowie deren Optimierung – bequem per E-Mail.