Die Kontrolle behalten
Die Mehrzahl der Maschinen und Anlagen in Produktionsnetzwerken ist vernetzt. Um eine Durchgängigkeit der Daten und Services zu erreichen, sind die Produktionsnetze wiederum mit Office-Systemen und damit mit dem Internet verbunden. Die Anzahl derart verknüpfter Produktionsnetzwerke wird in Zukunft weiter steigen.
Bild: Phoenix Contact Deutschland GmbHDer Zugriffsschutz der komplex vernetzten Maschinen und Anlagen stellt den Betreiber vor große Herausforderungen bei der IT-Sicherheit, auch als ICS Security (Industrial Control System) bezeichnet. Fertigungsbedingte Datenströme lassen sich auf ein definiertes Maß reduzieren und die Maschinen und Anlagen folglich durch Anwendung bekannter Best-Practise-Methoden -wie der Schaffung einer Sicherheitsarchitektur nach dem Defense-in-Depth-Prinzip gemäß ISA99 und IEC62443 -schützen. Der Wartungs- und Programmierzugriff auf solche Systeme erweist sich aber als besondere Aufgabenstellung.
Bild: Phoenix Contact Deutschland GmbH
Bild: Phoenix Contact Deutschland GmbH
Bild: Phoenix Contact Deutschland GmbH
Bild: Phoenix Contact Deutschland GmbHAuf das notwendige Maß reduzieren
Die beschriebenen Lösungen erlauben zwar eine Identitätsprüfung des zugriffsberechtigten Personenkreises und eine verschlüsselte Datenübertragung. Der Zugriffsberechtigte hat allerdings weiterhin freien Zugang zum geschützten Netzwerk. Zudem wird dem Maschinenbetreiber durch die Verschlüsselung der Einblick in die Daten und damit jegliche Kontrolle verwehrt. Deshalb lässt sich ein schädigendes Ereignis auch nicht zurückverfolgen. Ein weiteres Problem des Konzepts resultiert daraus, dass jeder Maschinenbauer das von ihm präferierte Fernzugriffs-System verwenden möchte. Auf diese Weise entstehen heterogene, nicht beherrschbare IT-Landschaften. Darüber hinaus lösen die VPN-Fernwartungszugänge nicht die Herausforderung, den Service-Technikern des Betreibers einen kontrollierten und authentifizierten Zugriff zur Verfügung zu stellen. Werden den internen Service-Mitarbeitern weitreichende Zugangsrechte zu den Maschinen und Anlagen gewährt, führt das zu einer deutlichen Verringerung des erzielten Security Levels. Daher sollten entsprechende Zugänge stets auf ein notwendiges Maß reduziert werden. Als Lösungsansatz bietet sich die Einrichtung einer separaten isolierten Netzwerkzone - Service-Netzwerk genannt - zur Übergabe respektive zum Routing der Service-Verbindungen an. Im Bereich der Informationstechnik wird eine derartige Netzwerkzone auch als demilitarisierte Zone bezeichnet.
Bild: Phoenix Contact Deutschland GmbH
Bild: Phoenix Contact Deutschland GmbHProduktions- und Servicenetzwerk trennen
Die industrietauglichen Security Appliances der Produktfamilie FL mGuard von Phoenix Contact sichern die einzelnen Fertigungszellen ab und ermöglichen ferner die Bildung von Service-Netzwerk-Zonen (siehe Abb. rechts). Aufgrund ihrer konsequenten Ausrichtung auf die ICS Security umfassen die Geräte den Funktionsumfang, der zur Umsetzung der geschilderten Aufgaben benötigt wird. Das Service-Netzwerk ist bestenfalls auf der Ebene des Produktionsnetzwerks angesiedelt. Beide Netzwerke werden durch die Security Appliances separiert und voneinander isoliert. Die FL mGuard fungieren außerdem als Zugangspunkt zu den einzelnen Netzwerken der Produktionszellen. Diese Netzwerke sind über VPN-Verbindungen transparent in das Service-Netzwerk integriert. Entsprechende Service-Verbindungen auf Basis von VPN lassen sich aus den Produktionszellen heraus auf- und abbauen. Dazu wird entweder ein Schlüsselschalter genutzt, der die Security Appliances über die integrierten digitalen I/Os ansteuert. Alternativ kann der Maschinenbediener ein HMI-Gerät verwenden, wobei hier interne Netzwerk-Events verschickt werden. So behält er jederzeit die Kontrolle über mögliche Service-Verbindungen. Innerhalb der VPN-Verbindungen können Firewall-Regeln festlegen, welche Service-Zugriffe autorisiert sind. Ist der Einsatz von VPN-Verbindungen in den internen Netzwerken nicht gestattet, stellt die Funktion GRE-Tunnel (Generic Routing Encapsulation) und Conditional Firewall - also schaltbare Firewall-Regelsätze - die gleiche Funktionalität zur Verfügung.
Ein mehrstufiges Sicherheitskonzept erzeugen
Die externen Service-Techniker des Maschinenbauers werden per VPN an die Service-Netzwerk-Zone angebunden. Mit dem FL mGuard Secure VPN Client oder dem FL mGuard Smart2 VPN bietet Phoenix Contact eine Lösung an. Die Techniker des Maschinenbetreibers lassen sich auch über VPN-Verbindungen oder per direktem Netzwerkzugriff ankoppeln. Sämtliche Zugriffe können so konfiguriert werden, dass sich der jeweilige Techniker über die Benutzer-Firewall der Security Appliances authentifizieren muss. Dieses Verfahren eröffnet die Möglichkeit, dynamische Firewall-Regeln für definierte Benutzer zu aktivieren. Die Regeln gelten für die IP-Adresse, die zur Authentifizierung genutzt worden ist. Auf diese Weise können jedem Techniker nur bestimmte Zugriffe erlaubt und kann somit ein mehrstufiges Sicherheitskonzept erzeugt werden. Sofern der Betreiber die vom Maschinenbauer präferierten VPN-Lösungen akzeptiert, sind entsprechende Endgeräte innerhalb der Service-Netzwerk-Zone zu platzieren. Die Bereitstellung von Service-Zugängen zu Maschinen und Anlagen bringt den Betreibern erhebliche Vorteile, stellen sie aber ebenso vor große Herausforderungen in puncto Zugriffssicherheit. Mit den richtigen Strategien und speziellen Technologien lässt sich diese Aufgabe meistern und damit die Wartungskosten bei gleichzeitig höherer Verfügbarkeit senken.
Die Mehrzahl der Maschinen und Anlagen in Produktionsnetzwerken ist vernetzt. Um eine Durchgängigkeit der Daten und Services zu erreichen, sind die Produktionsnetze wiederum mit Office-Systemen und damit mit dem Internet verbunden. Die Anzahl derart verknüpfter Produktionsnetzwerke wird in Zukunft weiter steigen.
Bild: Phoenix Contact Deutschland GmbHDer Zugriffsschutz der komplex vernetzten Maschinen und Anlagen stellt den Betreiber vor große Herausforderungen bei der IT-Sicherheit, auch als ICS Security (Industrial Control System) bezeichnet. Fertigungsbedingte Datenströme lassen sich auf ein definiertes Maß reduzieren und die Maschinen und Anlagen folglich durch Anwendung bekannter Best-Practise-Methoden -wie der Schaffung einer Sicherheitsarchitektur nach dem Defense-in-Depth-Prinzip gemäß ISA99 und IEC62443 -schützen. Der Wartungs- und Programmierzugriff auf solche Systeme erweist sich aber als besondere Aufgabenstellung.Bild: Phoenix Contact Deutschland GmbHBild: Phoenix Contact Deutschland GmbH
Bild: Phoenix Contact Deutschland GmbHBild: Phoenix Contact Deutschland GmbHAuf das notwendige Maß reduzieren
Die beschriebenen Lösungen erlauben zwar eine Identitätsprüfung des zugriffsberechtigten Personenkreises und eine verschlüsselte Datenübertragung. Der Zugriffsberechtigte hat allerdings weiterhin freien Zugang zum geschützten Netzwerk. Zudem wird dem Maschinenbetreiber durch die Verschlüsselung der Einblick in die Daten und damit jegliche Kontrolle verwehrt. Deshalb lässt sich ein schädigendes Ereignis auch nicht zurückverfolgen. Ein weiteres Problem des Konzepts resultiert daraus, dass jeder Maschinenbauer das von ihm präferierte Fernzugriffs-System verwenden möchte. Auf diese Weise entstehen heterogene, nicht beherrschbare IT-Landschaften. Darüber hinaus lösen die VPN-Fernwartungszugänge nicht die Herausforderung, den Service-Technikern des Betreibers einen kontrollierten und authentifizierten Zugriff zur Verfügung zu stellen. Werden den internen Service-Mitarbeitern weitreichende Zugangsrechte zu den Maschinen und Anlagen gewährt, führt das zu einer deutlichen Verringerung des erzielten Security Levels. Daher sollten entsprechende Zugänge stets auf ein notwendiges Maß reduziert werden. Als Lösungsansatz bietet sich die Einrichtung einer separaten isolierten Netzwerkzone - Service-Netzwerk genannt - zur Übergabe respektive zum Routing der Service-Verbindungen an. Im Bereich der Informationstechnik wird eine derartige Netzwerkzone auch als demilitarisierte Zone bezeichnet.
Bild: Phoenix Contact Deutschland GmbHBild: Phoenix Contact Deutschland GmbHProduktions- und Servicenetzwerk trennen
Die industrietauglichen Security Appliances der Produktfamilie FL mGuard von Phoenix Contact sichern die einzelnen Fertigungszellen ab und ermöglichen ferner die Bildung von Service-Netzwerk-Zonen (siehe Abb. rechts). Aufgrund ihrer konsequenten Ausrichtung auf die ICS Security umfassen die Geräte den Funktionsumfang, der zur Umsetzung der geschilderten Aufgaben benötigt wird. Das Service-Netzwerk ist bestenfalls auf der Ebene des Produktionsnetzwerks angesiedelt. Beide Netzwerke werden durch die Security Appliances separiert und voneinander isoliert. Die FL mGuard fungieren außerdem als Zugangspunkt zu den einzelnen Netzwerken der Produktionszellen. Diese Netzwerke sind über VPN-Verbindungen transparent in das Service-Netzwerk integriert. Entsprechende Service-Verbindungen auf Basis von VPN lassen sich aus den Produktionszellen heraus auf- und abbauen. Dazu wird entweder ein Schlüsselschalter genutzt, der die Security Appliances über die integrierten digitalen I/Os ansteuert. Alternativ kann der Maschinenbediener ein HMI-Gerät verwenden, wobei hier interne Netzwerk-Events verschickt werden. So behält er jederzeit die Kontrolle über mögliche Service-Verbindungen. Innerhalb der VPN-Verbindungen können Firewall-Regeln festlegen, welche Service-Zugriffe autorisiert sind. Ist der Einsatz von VPN-Verbindungen in den internen Netzwerken nicht gestattet, stellt die Funktion GRE-Tunnel (Generic Routing Encapsulation) und Conditional Firewall - also schaltbare Firewall-Regelsätze - die gleiche Funktionalität zur Verfügung.
Ein mehrstufiges Sicherheitskonzept erzeugen
Die externen Service-Techniker des Maschinenbauers werden per VPN an die Service-Netzwerk-Zone angebunden. Mit dem FL mGuard Secure VPN Client oder dem FL mGuard Smart2 VPN bietet Phoenix Contact eine Lösung an. Die Techniker des Maschinenbetreibers lassen sich auch über VPN-Verbindungen oder per direktem Netzwerkzugriff ankoppeln. Sämtliche Zugriffe können so konfiguriert werden, dass sich der jeweilige Techniker über die Benutzer-Firewall der Security Appliances authentifizieren muss. Dieses Verfahren eröffnet die Möglichkeit, dynamische Firewall-Regeln für definierte Benutzer zu aktivieren. Die Regeln gelten für die IP-Adresse, die zur Authentifizierung genutzt worden ist. Auf diese Weise können jedem Techniker nur bestimmte Zugriffe erlaubt und kann somit ein mehrstufiges Sicherheitskonzept erzeugt werden. Sofern der Betreiber die vom Maschinenbauer präferierten VPN-Lösungen akzeptiert, sind entsprechende Endgeräte innerhalb der Service-Netzwerk-Zone zu platzieren. Die Bereitstellung von Service-Zugängen zu Maschinen und Anlagen bringt den Betreibern erhebliche Vorteile, stellen sie aber ebenso vor große Herausforderungen in puncto Zugriffssicherheit. Mit den richtigen Strategien und speziellen Technologien lässt sich diese Aufgabe meistern und damit die Wartungskosten bei gleichzeitig höherer Verfügbarkeit senken.
Phoenix Contact Deutschland GmbH
Dieser Artikel erschien in IoT Design 5 2017 - 18.09.17.Für weitere Artikel besuchen Sie
