Startseite » Safety »

Verantwortung übernehmen – für Safety und Security

Mitgliedsfirmen der PNO erarbeiten sichere und verlässliche Kommunikationslösungen
Verantwortung übernehmen – für Safety und Security

Anzeige
Sicherheit lässt sich nicht mit einem einzelnen Gerät, einer Norm oder einer Zertifizierung lösen. Hilfreich ist jedoch, wenn in Regelwerken konzeptionelle und organisatorische Schwachstellen beschrieben werden, um dann gezielt gegenzusteuern. Werden die empfohlenen Maßnahmen durchgeführt, kann ein Großteil aller Cyber-Attacken abgewehrt werden. Keine Sicherheitsmaßnahme ist allerdings dauerhaft – das Thema Sicherheit ist ständig im Wandel und muss an die aktuellen Entwicklungen angepasst werden.

Die Autorin Sabine Mühlenkamp ist freie Redakteurin und hat diesen Beitrag für PI (Profibus & Profinet International) erstellt.

Derzeit erzeugt allein der Begriff ‚Sicherheit‘ ein mediales Blätterrauschen – ein Blick in Zeitschriften und auf Online-Seiten genügt und jeder ist mittendrin in der Diskussion um Cyber-Security. Davon bleibt auch die Automatisierungs- und Kommunikationstechnologie nicht verschont. Unbestritten ist, dass die Zahl der Attacken durch Malware zugenommen hat. Experten schätzen, dass jedes Jahr 403 Millionen neue Malware-Varianten entstehen und Industrieanlagen immer häufiger in das Visier der Angreifer rücken.
Mitunter wird allerdings der Eindruck erweckt, dass Fragen rund um die IT-Sicherheit ein neues Phänomen sind. Dass dem nicht so ist, zeigen die Fachleute der Profibus Nutzerorganisation e.V. (PNO), die sich schon seit vielen Jahren mit der Frage beschäftigen, wie sich Komponenten der Kommunikationstechnologie – die naturgemäß schon immer eng vernetzt waren – sicher betreiben lassen.
Neu an der Diskussion ist, dass die Bereiche Safety und Security enger zusammen rücken. Dafür ist es notwendig, zunächst beide voneinander abzugrenzen, insbesondere weil im deutschen Sprachgebrauch das gleiche Wort verwendet wird. Schlicht gesagt: Während Safety Personen vor der Maschine oder Anlage schützt, ist es bei Security genau anders herum. Die Maschine und Anlage muss vor einem Eingriff geschützt werden, der die Anlage stoppt oder in einen gefährlichen Zustand versetzt.
Auf den ersten Blick scheint es problematisch, dass IT-Sicherheit und funktionale Sicherheit getrennt behandelt werden. In der Regel handelt es sich um zwei verschiedene Fachgebiete und daher findet auch die Normung in unterschiedlichen Gremien statt. Während Safety in Vorschriften wie der Maschinenrichtlinie der Europäischen Union MRL 2006/42/EC sowie Normen wie der IEC/EN 62061 und ISO 13849 (für die Fertigungsautomation) und der IEC 61511 (für die Prozessautomation) – alle der Basisnorm IEC 61508 untergeordnet – betrachtet wird, wird Security von der IEC 62443 behandelt.
Durch das Engagement von PNO-Mitgliedern in der Normenentwicklung konnten die Zusammenhänge zwischen Safety und Security bereits durch entsprechende Beschlüsse der IEC TC 44 behandelt werden, wodurch eine klare Vorgehensweise bei der Betrachtung definiert wurde:
  • Der Maschinenhersteller sorgt dafür, dass seine Maschine die Anforderungen der Maschinenrichtlinie erfüllt,
  • die Anforderungen an Security werden durch eine spezifische Anwenderrisikoanalyse festgelegt, aus welcher sich dann die geeigneten Maßnahmen ableiten lassen.
Für den Anwender ist die Abgrenzung hilfreich, weil sie auch die Verantwortlichkeit klar aufzeigt. Während die Verantwortung für die Sicherheit der Maschine ganz klar beim Maschinen- oder Anlagenlieferanten liegt, muss der Betreiber die Verantwortung für die sichere Kommunikation zwischen den Maschinen übernehmen – auch über Produktionsstandorte hinweg.
Black-Channel-Prinzip legt die Grundlage
Im Bereich Safety hat die PNO vor 15 Jahren mit der ersten Profisafe-Spezifikation den entscheidenden Grundstein für die Automatisierung sicherheitsrelevanter Maschinen und Anlagen gelegt. Die Profisafe-Lösung beruht auf dem ‚Black-Channel-Prinzip‘. Wegen der engen Verzahnung der sicheren und Standardautomatisierung wurden Sicherheits- und Standarddaten auf das gleiche Kommunikationsmedium zusammengeführt. Dadurch reduzieren sich die Kosten bei Geräten, Engineering und natürlich beim Betrieb von sicherheitsrelevanten Anlagen und Maschinen.
Kern des Prinzips ist es, dass sicherheitsgerichtete Informationen in einen sicheren ‚Profisafe-Container‘ gepackt werden. Bei einem Not-Halt zum Beispiel wird der Signalstatus des Sicherheitssensors beziehungsweise des Not-Aus-Tasters per Profisafe-Telegramm zum Safety-Controller übertragen, bearbeitet und von dort weitergesendet, etwa zu einem Antrieb. Nach Ankunft dieses Telegramms in der Antriebseinheit wird die angeforderte Sicherheitsreaktion ausgelöst, der Antrieb also zum Beispiel mit der Sicherheitsfunktion STO (Safe Torque Off) zuverlässig drehmomentfrei geschaltet. Parallel zum sicherheitsgerichteten Verkehr der Profisafe-Telegramme werden über das gleiche Medium auch Standarddaten mit dem betreffenden Antriebsgerät und den anderen Geräten ausgetauscht, die Kommunikation im Netzwerk geht unterdessen weiter. Ferner lassen sich neue Sicherheitsfunktionen, etwa sichere reduzierte Geschwindigkeit (SLS) realisieren, die neue Betriebsarten der Maschinen erlauben und dadurch deren Ergonomie und Bedienungsmöglichkeiten deutlich verbessern. Dies beeinflusst den Aspekt der Safety weiter positiv.
Dank der Bekanntheit der PI-Organisation (Profibus & Profinet International) und der Mitgliederfirmen konnte sich Profisafe schnell am Markt durchsetzen und zum klaren Marktführer werden. Sowohl die Anzahl der Gerätehersteller und – weit wichtiger – die Anzahl der Applikationen mit Profisafe ist herausragend im Vergleich zu anderen Safety-Kommunikationslösungen. Alleine im vorletzten Jahr war ein Wachstum von 50 % zu verzeichnen.
Inzwischen ist das Prinzip des Black Channel in den IEC-Normen als Stand der Technik enthalten. Profisafe erfüllt alle Anforderungen dieser Safety-Standards. Experten zahlreicher namhafter Firmen im Profisafe-Arbeitskreis der PI untersuchten weitere Fehlerszenarien und mathematische Fehlerberechnungen und erarbeiteten Lösungen dafür, so dass Profisafe heute den höchstmöglichen Stand der sicherheitsgerichteten Kommunikation bietet. Unter anderem lassen sich mit Profisafe Maschinen und Anlagen bis PL e nach ISO 13849-1 beziehungsweise SIL 3 nach IEC/EN 62061 oder IEC 61508 realisieren. Profisafe ist in vielen Bereichen im Einsatz, wie in Fahrgeschäften, Seilbahnen, beim Personentransport oder in Teilchenbeschleunigern (CERN).
Safety und Security miteinander verbinden
Interessant an dem Profisafe-Konzept ist, dass es durchaus auch Möglichkeiten bietet, die Anforderungen von Safety und Security miteinander zu verbinden. Dies beweisen zahlreiche Anlagen, konkret etwa viele Automatisierungskonzepte von Seilbahnen. In diesem Bereich kommen alle von der PNO definierten Anwendungsfälle zum Einsatz:
  • Als erstes die sichere Profisafe-Kommunikation zwischen Tal- und Bergstation oder der Kabine, die in einer Sicherheitsfunktion verwendet wird,
  • weiter die sichere Kommunikation mit überlagerten Bedien- und Beobachtungssystemen und
  • schlussendlich die Ferndiagnose beziehungsweise Wartung der Anlage durch dessen Hersteller.
Fehler, die immer mal wieder auftreten können, sind zum Beispiel ‚Denial of Service‘ durch Funkfernsehkameras, eine Störung wegen Frequenzkollision oder die Übertragung verfälschter, nicht-sicherheitsgerichteter Daten bei der Ferndiagnose, was zu falschen Anweisungen an das Bedienungspersonal führen kann. Zwar haben diese Fehler nicht automatisch einen mutwilligen Hintergrund, zeigen aber, wie sorgsam die Risiken abgewogen werden müssen. Bei Seilbahnen ist beispielsweise das Automatisierungssystem quasi an zwei Stellen bedroht:
  • Einmal steuert der Betreiber die Anlage selbst über eine Drahtlos-Verbindung,
  • zum anderen klinkt sich der Hersteller für Wartungen oder bei einer Fehlersuche direkt in die Anlage ein.
In solchen Anwendungen ist jede Steuerung dieser beiden Bereiche über Profisafe abgesichert. Die Funkübertragung findet im ‚Black Channel‘ ohne eine spezielle Sicherheitszertifizierung statt. Profisafe wurde von Anfang an für die Funkübertragung zugelassen. Dabei wird dank Funkfeldplanung und einer minimalen Signalfeldstärke auch die Verfügbarkeit sichergestellt, um Fehlauslösungen zu vermeiden.
Robustheit ist Voraussetzung für Security
Nicht nur technologisch sondern auch organisatorisch hat sich PI schon frühzeitig Gedanken zum Thema Sicherheit gemacht: So hat PI bereits vor Jahren eine Security-Guideline für Profinet entwickelt, die Ende 2013 in einer vollständig überarbeiteten Fassung veröffentlicht wurde. Diese Guideline geht beispielsweise auf das Thema Risikoanalyse ein. Erst auf Basis einer solchen Analyse lassen sich angemessene Security-Maßnahmen ableiten, die auch wirtschaftlich vertretbar sind. Hierfür werden auf Basis von Schutzzielen, Schwachstellen und möglichen Bedrohungen die Wahrscheinlichkeit eines Schadensfalles und die möglichen Auswirkungen eines Schadens bewertet. Ergänzt wird die Guideline durch eine Reihe von bewährten Best-Practices-Lösungen.
Immer noch unterschätzt wird zudem die Tatsache, dass der Einsatz von robusten Geräten eine wesentliche Voraussetzung für Security in der Automatisierung ist. Hintergrund ist, dass in großen Netzwerken vor allem die Anlagenverfügbarkeit zählt. Dies nutzen zum Beispiel Denial-of-Service-Attacken gezielt aus, in dem sie eine enorme Anzahl an Anfragen an die jeweiligen Geräte oder Server schicken, um diese zu überlasten. Es ist also sehr hilfreich, wenn Geräte auch bei großen Netzlasten immer noch so reagieren wie vorgesehen. Aus diesem Grund hat PI für die Zertifizierung von Profinet-Geräten den ‚Security Level 1 Tester‘ entwickelt, der für Mitgliedsunternehmen kostenlos ist. Damit lassen sich Netzlastszenarien bis hin zum Denial of Service bereits im Vorfeld simulieren. Der Test in Bezug auf die Netzlast wird auch bereits von verschiedenen Endanwendern, wie beispielsweise der Automobilindustrie gefordert. In die Zertifizierung von Geräten nach der neuen Spezifikation Profinet 2.3 ist dieser Test bereits integriert und damit für jeden Hersteller Pflicht, um die entsprechende Zertifizierung zu erlangen. Anwender, die ein solches zertifiziertes Gerät erwerben, können sich also darauf verlassen, ein entsprechend robustes Gerät zu erhalten.
Die eingesetzten Profisafe-Komponenten werden solche Fälle durch die Time-Out-Überwachung erkennen und die betroffenen Anlagenteile in den sicheren Zustand führen, so dass eigentlich kein Safety-Problem entstehen kann. Die verteilten Architekturen können entsprechend der Risikoanalyse so aufgebaut werden, dass Teile der Anlage weiter ohne Produktionsverlust betreiben werden können. co
Anzeige
Schlagzeilen
Video

So war das mit den Messen vor dem Auftauchen des Coronavirus: Blicken Sie mit uns zurück auf die SPS in Nürnberg...

Aktuelle Ausgabe
Titelbild elektro AUTOMATION 2
Ausgabe
2.2021
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Automation Award
Videos

Hier finden Sie alle aktuellen Videos

Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de