Zukunftsprojekt Industrie 4.0

DER AUTOR Dipl.-Ing. Martin Müller ist Leiter des Geschäftsbereichs I/O & Networks bei Phoenix Contact Electronics GmbH in Bad Pyrmont

Das Konzept von Industrie 4.0 zielt auf eine hierarchie- lose Integration der horizontalen Wertschöpfungskette und der vertikalen Geschäftsprozesse ab. Durch die Verschmelzung von Industrie und IT sollen sich Maschinen und Anlagen flexibel an die sich schnell ändernden Herstellungsverfahren anpassen lassen. Dieses Szenario ist ebenfalls Bestandteil der Hightech-Strategie der Bundesregierung, um die international führende Rolle des Industriestandorts Deutschland weiter auszubauen. Im Bereich der Informations- und Kommunikationstechnik soll Deutschland daher zum Leitmarkt für beide Schlüsseltechnologien werden. Vor diesem Hintergrund haben die drei großen Verbände Bitkom, VDMA und ZVEI die Plattform Industrie 4.0 gegründet. Hier werden alle gemeinsamen Aktivitäten mit der Absicht organisiert und koordiniert, einheitliche Standards und Schnittstellen über die Querschnittsfunktionen Informations- und Kommunikationstechnik, Elektrotechnik und Automation sowie den Maschinen- und Anlagenbau zu erarbeiten.

Kern sämtlicher Maßnahmen ist eine durchgängige und endpunktorientierte Kommunikation in allen Bereichen der Systeme. Sie basiert auf dem Internet-Protokoll (IP) und ermöglicht eine Datenübertragung ohne Systembrüche von der Feldebene – also den Sensoren und Aktoren – bis in die Ebene der Geschäftsprozesse mit den dort verwendeten ERP-Lösungen. Neben den zahlreichen Vorteilen, die ein solch nahtloser Datenaustausch bietet, ergeben sich auch einige Herausforderungen. Sie betreffen insbesondere den Schutz der Systeme vor unbeabsichtigten Fehlbedienungen oder vor Cyber-Attacken. Deshalb werden in der Arbeitsgruppe 4 „Sicherheit vernetzter Systeme“ der Plattform Industrie 4.0 Handlungsempfehlungen formuliert, wie Industrial Security in Zukunft zum Einsatz kommen soll. Eine methodische Bewertung der Risiken entlang der Wertschöpfungskette wird dabei durch die Ableitung von Use Cases in Bezug auf sichere Identitätsnachweise für die beteiligten Produkte, Prozesse und Maschinen ergänzt. Außerdem beschäftigen sich die Arbeitsgruppen-Mitglieder mit der Identifizierung der Anforderungen, die an die Forschung und Standardisierung zu stellen sind.

Daran, dass das eigene Netzwerk durch eine auf dem angeschlossenen PC installierte Firewall sowie Virenscanner geschützt werden muss, hat sich heute jeder Nutzer gewöhnt. In der industriellen Umgebung stellt sich die Situation leider anders dar. Hier bedarf es zudem einer sorgfältigen Planung und Projektierung der Kommunikationssysteme, um mögliche Bedrohungs- und Risikosituationen zu beherrschen.

Eines von vielen gefürchteten Szenarien ist der unberechtigte Zugriff auf Rezepturen, die im Steuerungssystem der Maschine oder Anlage hinterlegt sind, oder die Veränderung des Steuerungsprogramms, wie es bei Stuxnet der Fall war. Handelt es sich bei den Automatisierungs-Komponenten um Windows-basierte Systeme, könnte der Nutzer davon ausgehen, dass die auf dem Büro-PC genutzte Antivirus-Software ausreichend Schutz bietet. Dies ist in der Regel jedoch nicht der Fall, denn eine solche Lösung kann aufgrund des Echtzeitverhaltens der Automatisierungssysteme und des Ressourcenmangels nicht verwendet werden. Darüber hinaus erweist sich das ständige Aktualisieren der Virenmuster auf den unzähligen Rechnern der Maschinen und Anlagen als unwirtschaftlich.

Mit CIFS (Common Internet File System) Integrity Monitoring bieten die Security Appliances der Produktfamilie FL MGuard von Phoenix Contact eine Lösung für dieses Problem. Hinter der Technologie verbirgt sich ein innovativer und industrietauglicher Ansatz zur Überwachung von Windows-basierten Automatisierungs-Komponenten auf Manipulation oder Infektion durch Schad-Software. CIFS Integrity Monitoring belastet die Ressourcen der abzusichernden Systeme kaum und kommt auf den Geräten ohne Aktualisierung der Virenmuster aus. Auf diese Weise lassen sich selbst so genannte Zero-Day-Infektionen schnell entdecken, für die es noch gar keine Antivirus-Signaturen gibt.

Zum Aufbau eines adäquaten Schutzes platziert der Anwender einen Security-Router – beispielsweise der Produktfamilie FL MGuard – vor den abzusichernden Systemen. Die Infrastruktur-Komponente überwacht nicht nur den ein- und ausgehenden Netzwerkverkehr sondern kontrolliert auch bestimmte Bereiche des Dateisystems der Windows-basierten Automatisierungs-Komponenten auf Veränderungen. Dazu wird dem Security-Router über das CIFS/SMB-Protokoll der Zugriff auf Windows-Dateifreigaben eingeräumt, die das MGuard-Gerät zyklisch scannt und dabei Prüfsummen über die Dateien bildet. Werden Dateien verändert, erkennt der Security-Router dies an den abweichenden Prüfsummen und blockiert dann den weiteren Netzwerkverkehr.

Dateien, die im laufenden Betrieb variieren, können von der Prüfung ausgeschlossen werden, sodass der Schutz lediglich für die sich in der Regel nicht verändernden Systemdateien sowie das Steuerungsprogramm oder Rezepturen greift. Das beschriebene Verfahren eignet sich auch als Lösung für ältere Systeme, die beispielsweise noch unter Windows 95, 98 oder XP laufen, für die Microsoft aber keine System-Updates mehr anbietet. Bei Bedarf stellt der Security-Router FL MGuard die Dateifreigaben den überlagerten Virenscannern aus der Unternehmens-IT transparent zum Scan mit aktuellen Virenmustern zur Verfügung.

Ein weiteres potentielles Risiko ergibt sich aus den Zugängen, die dem Wartungspersonal der Maschinen oder Anlagen genehmigt werden. In den Produktionshallen stehen heute Applikationen unterschiedlicher Hersteller, die zu Service- und Wartungszwecken aus dem Unternehmensnetzwerk oder sogar dem Internet erreichbar sein sollen. Gewährt der Endanwender dem Service-Techniker des Maschinenbauers Zugang zu seinem Netzwerk, kann dieser nicht nur auf die von ihm zu wartende Anwendung zugreifen, sondern auf das gesamte Subnetz, in dem sich die Maschine befindet.

Um dies zu verhindern, sind die Security Appliances FL MGuard mit der User-Firewall ausgestattet, über die die Firewall-Regeln in Abhängigkeit von dem sich anmeldenden User angepasst werden können. Für das beschriebene Szenario bedeutet dies, dass sich der Service-Techniker an dem für ihn zugänglichen Security-Router anmeldet. Erst dann erhält er Zugriff auf die dahinter angeordneten Geräte – und zwar lediglich auf die Komponenten, die für ihn freigegeben worden sind. So ist sichergestellt, dass es nicht zu unbeabsichtigten Fehlbedienungen von anderen im System angesiedelten Maschinen oder zu Industriespionage kommt.

Durch Nutzung der vorgestellten Funktionen lassen sich industrielle Kommunikationssysteme und damit das Know-how des jeweiligen Unternehmens sowie dessen Produktionsanlagen bereits jetzt gut schützen. Voraussetzung dafür ist allerdings, dass die Netzwerke sorgfältig geplant und projektiert werden, sodass der Anwender alle aus dem Einsatz offener Systeme resultierenden Risiken stets sicher im Griff behält. Vor diesem Hintergrund erweist sich eine Abstimmung auf die generelle Security Policy des Unternehmens als unbedingt notwendig, da nur so ein reibungsloser und sicherer Geschäftsbetrieb möglich ist. Unter Umständen sollten dazu Experten zu Rate gezogen werden, die ausgehend von einer Risikoanalyse sowie unter Berücksichtigung der unternehmensspezifischen Besonderheiten abgestimmte Security-Lösungen erarbeiten.

Neben den klassischen Methoden werden derzeit weitere Verfahren erprobt, die den Schutz industrieller Netzwerke sicherstellen sollen. Als Beispiel sei das Projekt SEC PRO (Sichere Produktion mit verteilten Automatisierungssystemen) genannt, das unter Leitung der Hochschulen Hannover und Ostwestfalen-Lippe evaluiert, wie die Sicherheit der Kommunikation bis zur Geräteebene erreicht werden kann. Die Grundlage bilden Authentifizierungs-Methoden auf Basis von Zertifikaten und eines Public-Key-Managements. Sie tragen dafür Sorge, dass lediglich die vorgesehenen Geräte untereinander Daten austauschen können. Das Konzept erlaubt die Verwendung von Geräte-, Hersteller- und Anlagenzertifikaten, um zum Beispiel die Authentizität der Kommunikations-Teilnehmer zu garantieren.

Untersuchungen haben gezeigt, dass sich Automatisierungsgeräte – beispielsweise I/O-Systeme –, die an ein Ethernet-basiertes Netzwerk wie Profinet angeschlossen sind, bereits mit den vorhandenen Mitteln besser vor unbefugten Zugriffen schützen lassen. Die den modernen Feldkomponenten innewohnenden Ressourcen genügen dabei in der Regel zur Absicherung der Datenübertragung selbst unter hohen Echtzeitbedingungen. Bei größerem Schutzbedarf kann der Ansatz erweitert werden, indem die Kommunikation zwischen den jeweiligen Teilnehmern in Echtzeit verschlüsselt wird. In diesem Fall sollten die CPU-Systeme der Automatisierungsgeräte mit einer Hardware-Crypto-Einheit ausgestattet sein, welche die Ausführung der Verschlüsselungs-Algorithmen und die Berechnung der Prüfsummen erheblich beschleunigt.

Der Ansatz von Industrie 4.0 geht von selbstlernenden und -organisierenden Produktionssystemen aus, die sich dynamisch an die wechselnden Fertigungsbedingungen anpassen lassen. Das erfordert durchgängige und flexible Kommunikationssysteme, die sämtliche Anforderungen hinsichtlich einer Echtzeit-Übertragung in der Feldebene sowie des Datenaustausches mit ERP-Lösungen erfüllen. Zudem müssen auch Cyber-Security-Aspekte beachtet werden, um die Maschinen und Anlagen zuverlässig vor unbefugten Zugriffen zu schützen. Phoenix Contact stellt schon heute entsprechende Komponenten zur Verfügung.