Startseite » Industrial Ethernet »

Alles eine Frage des Protokolls

Powerlink-Protokoll bietet prinzipbedingt bereits Sicherheit vor Hackern
Alles eine Frage des Protokolls

Anlagen benötigen nicht nur industrielle Kommunikationsmechanismen, die schnell und offen sind, sondern zugleich hoch verfügbar. Mit Powerlink bietet die EPSG einen Echtzeit-Ethernet-Standard, der diese Kriterien erfüllt – nicht zuletzt aufgrund der inhärenten Sicherheit. Die zugrundeliegende Architektur verhindert ein Eindringen in das Netzwerk, ohne externe Sicherheitsmaßnahmen ergreifen zu müssen.

Nach Informationen der EPSG.

Industrie 4.0 wird die Nachfrage nach schnellen, offenen industriellen Netzwerken weiter ankurbeln. Trotz offensichtlicher Effizienzgewinne zögern allerdings viele Unternehmen, die PC-basierte Automatisierungshardware ihrer Maschinen und Anlagen für Betrieb, Diagnose und Wartung an das Internet oder gar cloudbasierte Dienste anzuschließen. „Das ist verständlich, denn jedweder Stillstand einer Produktionsmaschine verursacht Verluste“, sagt Stefan Schönegger, Geschäftsführer der Ethernet Powerlink Standardization Group (EPSG). Produzenten, die im harten Wettbewerb stünden, könnten zudem dem Gedanken wenig abgewinnen, dass vertrauliche Produktionsdaten in fremde Hände gelangen.
Um die Vorteile offener Netzwerke dennoch in industriellen Anwendungen nutzen zu können, empfiehlt die EPSG den Einsatz von Powerlink. Neben einer hohen Geschwindigkeit und Verfügbarkeit bietet dieses Echtzeit-Ethernet auch ein hohes Sicherheitsniveau – nicht zuletzt deswegen, weil es sich um Open-Source-Software handelt. Der Quellcode des Stacks und alle Abwandlungen davon sind häufigen Überprüfungen durch die Gemeinschaft ausgesetzt. Das verhindert nicht nur Sicherheitsprobleme – diese werden entdeckt und eliminiert, lange bevor sie Schaden anrichten können – sondern bietet auch wirksamen Schutz vor verborgenen Backdoor-Angriffen.
Art der Datenübertragung beeinflusst Sicherheit
Um zu verstehen, welche Rolle Powerlink im Bereich der Security spielen kann, lohnt sich ein Blick auf die Vorgehensweise von Hackern. Typischerweise verschaffen sie sich über das Internet Zugriff auf einzelne Computer über deren eindeutige IP-Adressen. Da dieses Adressierungsverfahren von den Protokollen TCP und UDP – den meist verwendeten Protokollen auch in LANs – verwendet wird, werden die Angreifer in internen Netzwerken direkt zu individueller Hardware geleitet, selbst wenn diese selbst nicht direkt mit der Außenwelt verbunden ist. Die Hardware in Produktionsmaschinen ist nun aber über Feldbus oder immer öfter über eine der gegenwärtig verfügbaren Industrial-Ethernet-Implementierungen miteinander verbunden. Die verschiedenen Standards unterscheiden sich dabei wesentlich durch die Art, in der Netzwerkknoten adressiert und Daten übertragen werden:
  • Manche nutzen etwa weiterhin unverändert das TCP/IP-Protokoll. Die Hersteller von Automatisierungssystemen und Anbieter industrieller IT-Hardware, die diese Standards unterstützen, bieten deshalb zum Schutz ethernetbasierter Netzwerke Sicherheitskonzepte mit industrietauglicher Firewall-Hardware an.
  • Andere Industrial-Ethernet-Protokolle, besonders solche, die harte Echtzeitanforderungen abdecken, nutzen für den Großteil der Datenübertragung Master-Slave-Kommunikationsmechanismen und greifen nur zum Durchschleusen der regulären Ethernet-Kommunikation durch das System auf TCP/IP-Kommunikationsschichten zurück. Einige dieser Modelle bedienen sich keines Standards entsprechender Schichten und können so zukünftig Kompatibilitätsprobleme nach sich ziehen.
  • Netzwerkprotokolle für Industrial Ethernet wie Powerlink setzen dagegen nicht nur auf unveränderte, zertifizierte Ethernet-Layers nach IEEE 802.3, sondern sie nutzen auch deterministische Kommunikationsschichten für die Echtzeitkommunikation.
Powerlink kombiniert Zeitschlitz- und Polling-Verfahren für die isochrone Datenübertragung. Wie der Master-Knoten die von ihm kontrollierten Knoten adressiert, können Softwareentwickler mittels entsprechender Entwicklungswerkzeuge einstellen. Das ist jedoch anderen Einheiten im Netzwerk nicht transparent. „Da für Anwender keinerlei Möglichkeit besteht, während der Laufzeit auf diese Konfigurationsdetails zuzugreifen, besteht kein Bedarf für einen besonderen Schutz vor bösartigen Manipulationen im System selbst“, betont Stefan Schönegger.
Jeder Powerlink-Kommunikationszyklus besteht aus drei Phasen. In der Initialisierungsphase sendet der Master-Knoten als Vorbereitung für den in der zweiten, zyklischen Periode erfolgenden isochronen Datenaustausch eine Synchronisierungsnachricht an alle von ihm kontrollierten Knoten. Am Ende folgt die asynchrone Phase, in der Anwenderdaten und TCP/IP-Pakete durch das Netzwerk gesendet werden. Eingebaute Router trennen sicher und transparent Echtzeitinformationen und asynchrone Daten – das nicht zu tun, würde ein Risiko für das Echtzeitverhalten des gesamten Systems darstellen. Schadsoftware bliebe deshalb komplett isoliert, selbst wenn sie direkt in das System geschleust wird.
Von außen eindringende Hacker oder Schadsoftware haben zudem keine Chance, ein Powerlink-Netzwerk zu gefährden. Sie würden nur auf die andere Seite des als steuernder Netzwerkknoten fungierenden Rechners gelangen. Da Angriffe auch davon abgehalten werden sollten, über die TCP/IP-Kommunikationsschichten durch das Industrie-Netzwerk zu reisen, ist es sinnvoll, auf der Nicht-Powerlink-Seite der Router alle externen Leitungen mit einer passenden Firewall zu schützen. Die Echtzeit-Kommunikationsschichten von Powerlink sind jedoch auch ohne derartige Vorsichtsmaßnahmen inhärent geschützt. co
Link zum openPowerlink-Stack (siehe auch Meldung zu openSafety v1.4, S. 4):
sourceforge.net/projects/openpowerlink
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de