Maschinensicherheit

Kombinierte Elemente

Auch in der Smart Factory gilt: Sicherheitsmaßnahmen dürfen die Produktivität von Maschinen nicht beeinträchtigen. Das erfordert eine ganzheitliche Herangehensweise, für die es Maßnahmen und Hardwarelösungen wie die Pilz SecurityBridge gibt.

08. November 2017
Sicherheit wird zum erfolgskritischen Faktor in der Smart Factory. Bild: Pilz GmbH & Co. KG
Bild 1: Kombinierte Elemente (Sicherheit wird zum erfolgskritischen Faktor in der Smart Factory. Bild: Pilz GmbH & Co. KG)

Safety steht für die funktionale Sicherheit von Maschinen – oder anders formuliert: den Schutz von Mensch und Umwelt vor Bedrohungen, die von Maschinen ausgehen können. Safety verlangt, dass Restrisiken, die von einer Maschine oder Anlage ausgehen, akzeptable Werte nicht übersteigen. Das schließt sowohl die Gefährdungen der Umgebung der Anlage als auch die Gefährdungen innerhalb der Maschine oder Anlage – beispielsweise Personen, die sich in der Anlage aufhalten – ein.

Fertigungsanlagen, die früher aufgrund der Vernetzung über Feldbusse quasi »offline« gearbeitet haben, erhalten heute eine Verbindung zur IT-Welt und dem Internet. Werden keine Maßnahmen ergriffen, so können die Maschinen und Anlagen wesentlich leichter zum Ziel von Cyberangriffen werden. Der Vernetzungsgrad erhöht gleichzeitig auch die Komplexität und den Administrationsaufwand der Systeme. Dadurch steigt ebenfalls die Gefahr eines unberechtigten oder unbemerkten Zugriffs.

Security betrifft den Schutz einer Maschine oder Anlage vor unbefugten Zugriffen von außen sowie den Schutz sensibler Daten vor Verfälschung, Verlust und unbefugtem Zugriff im Innenverhältnis. Das schließt sowohl explizite Angriffe als auch unbeabsichtigte Security-Vorfälle jeder Art ein.

Die Maschine vor dem Menschen schützen

Im Gegensatz zur Safety müssen sich Security-Mechanismen ständig an die Bedrohungslage anpassen. Malware wie Viren, Würmer, Trojaner, Spyware und ähnliche Risikoobjekte werden stetig weiterentwickelt, nutzen Lücken in Betriebssystemen oder Netzwerken aus und können die Produktion mit all ihren funktionalen Elementen beeinträchtigen.

Um flexibel auf das jeweilige Bedrohungsszenario reagieren zu können, muss der Schutz von Anwendungen durch eine umfassende Security-Strategie unterstützt werden, die aus mehreren Schalen besteht: Im Kern befinden sich die Automatisierungskomponenten. Dann folgt das Netzwerk, über das diese Komponenten mit anderen oder etwa einem ERP-System (Enterprise Resource Planning) kommunizieren können. Die oberste Schale bildet die Fabrik, die durch ein spezielles Firewall-Konzept nach außen abgeschirmt wird.

Neue Schutzziele

Die Anforderungen, die die IT-Welt und die Welt der Automatisierung an Security stellen, unterscheiden sich deutlich. Während im Büroumfeld die Vertraulichkeit der Informationen höchste Priorität hat, steht im Produktionsbereich die Verfügbarkeit der Daten an oberster Stelle, da dies eine Voraussetzung für reibungslose Fertigungsprozesse ist. Denn die Produktivität von Maschinen und Anlagen darf durch Sicherheitsmaßnahmen nicht beeinträchtigt werden.

Zurzeit wird an einer internationalen Norm (IEC 62443) gearbeitet, mit der die beiden Welten vereinheitlicht werden sollen. Sie soll dem Betreiber von Maschinen dabei helfen, Security-Maßnahmen speziell für die funktional sicheren Teile einer Maschine umzusetzen. Da die funktionale Sicherheit ebenso wie die Automatisierung normalerweise nicht verändert wird, also anders als die Bedrohungen aus der Cyberwelt mehr oder weniger ein statisches Element ist, bleiben auch künftig Safety und Security zwei separate Themen, die jedoch eng miteinander verknüpft werden.

Wie lassen sich Safety-Anwendungen gegen die Bedrohungen aus der Cyberwelt schützen? Um die Antwort gleich vorweg zu nehmen: nur durch die Kombination verschiedener Maßnahmen und Security-Richtlinien, die von allen Beteiligten konsequent eingehalten werden.

Verschiedene Zonen, unterschiedliche Rechte

In Bezug auf die Vernetzung heißt das Erfolgsrezept »Defense in Depth«, also eine in der Tiefe gestaffelte Verteidigung. Ein zentrales Element, das bereits beim Bau von Burgen seit dem Mittelalter angewendet wurde, bildet das Security-Modell »Zones and Conduits« (Zonen und Übergänge), das in der Norm IEC 62443 bereits definiert ist. Es sieht vor, ein Automatisierungsnetzwerk in verschiedene Zonen aufzuteilen. Der Datenaustausch mit Geräten in anderen Zonen ist nur über einen einzigen Übergang möglich, der durch einen sicheren Router oder eine Firewall überwacht wird, die alle irrelevanten Informationen blockieren. Selbst wenn es einem Angreifer gelänge, in eine Zone einzudringen, wären also nur die dortigen Geräte gefährdet und alle anderen nach wie vor sicher. Eine weitere Maßnahme für den Schutz von Safety-Anwendungen besteht darin, auch die Sicherheitssysteme gegen Cyberangriffe zu wappnen. Die entsprechenden Kommunikationsdaten werden im Sinne der Safety zwar schon mehrfach geprüft übertragen und mittels verschiedener Methoden überprüft, sodass Manipulationsversuche weitaus eher von den sicheren Endgeräten erkannt werden können als bei anderen Kommunikationsmethoden, aber das allein reicht noch nicht aus. Deshalb wird beispielsweise Pilz seine Produkte künftig auch unter dem Gesichtspunkt der Security in einem TÜV-zertifizierten Prozess nach IEC 62443-4-1 weiterentwickeln. Dabei werden von vornherein Aspekte wie Bedrohungsszenarien, Stärken und Schwachstellen von Protokollen oder Verschlüsselungsverfahren berücksichtigt.

Rundum sicher

Den Anfang macht die Pilz SecurityBridge. Sie schützt die Verbindungen zwischen den Programmier- oder Konfigurationswerkzeugen und den Hardwaresteuerungen vor Manipulationen, indem sie beispielsweise unerlaubte Veränderungen am Automatisierungsprojekt aufdeckt. Die SecurityBridge fungiert dabei als Firewall. Anders als generische Firewalls muss sie jedoch nicht aufwendig konfiguriert werden und kann dank anwendungsspezifischer Voreinstellungen nach dem Plug-and-play-Prinzip einfach in Betrieb genommen werden.

Damit bietet Pilz für konfigurierbare Steuerungssysteme PNOZmulti 2 und das Automatisierungssystems PSS 4000 einen wirksamen Schutz vor netzwerkbasierten Angriffen und vor unautorisiertem Zugriff über das Netzwerk.

Anwender profitieren neben der Security auch von einer höheren Verfügbarkeit der Anlage, da nur notwendige Daten (autorisierte Konfiguration und Prozessdaten) übertragen werden.

Die Kombination machts

Für Security genauso wie für Safety gilt: Die beste Maßnahme nützt nichts, wenn diese wegen Unverständnis oder Unwissenheit nicht praktiziert oder, schlimmer noch, bewusst umgangen wird. Technische Maßnahmen alleine reichen nicht aus – ihnen müssen organisatorische Maßnahmen wie Handlungsanweisungen, Vorgehensweisen und Schulungen an die Seite gestellt werden. Dabei müssen Security-Maßnahmen so gestaltet werden, dass diese einfach umsetzbar sind. Zunehmend wichtig wird es also sein, bei der Entwicklung von Lösungen von Anfang an die Bedürfnisse des Anwenders zu berücksichtigen und die Komplexität zu begrenzen. Denn wie bei der Safety gilt: je einfacher die Umsetzung der Maßnahme, desto weniger wird diese manipuliert oder umgangen.

SPS IPC Drives: Halle 9, Stand 370

Erschienen in Ausgabe: 08/2017

Schlagworte