Dezentral geschützte Produktionszellen

Produktionsnetze sind meist komplex aufgebaut und dadurch störanfällig. Für die sichere Vernetzung von Produktionsmaschinen und Anlagen setzt die Umdasch AG aus Amstetten in Österreich auf ein Konzept mit abgeschotteten Produktionszellen und dezentralen Industrie-Firewalls.
Bei der Umdasch AG sollten im Jahr 2006 etwa 30 neue Roboterschweißzellen und Produktionsanlagen in das Unternehmensnetzwerk integriert werden. Für den Ausbau war es notwendig, die Strategie und Vorgehensweise weiter zu entwickeln. „Das Produktionsnetzwerk war schnell gewachsen und sehr komplex geworden. Für die Administration wurde eine neue Sichtweise notwendig“, analysiert Herbert Dirnberger, Automatisierungs- und Systemtechniker bei der Umdasch AG die Ausgangssituation. Für die angepasste Behandlung des Risikos wie eines Virenbefalls bei Produktionsrechnern mit einem verbundenen Stillstand von Produktionslinien wurde ein Informationssicherheits-Konzept für die Prozess-, Fertigungs- und Gebäudeautomatisierung erstellt. Die Serviceabteilung Elektro- und Automatisierungstechnik und die zentrale Informationstechnologie entwickelten gemeinsam mit externen Partnern eine Plattform für innovative Produktions- und Unterstützungsprozesse im Umdasch-Konzern.

Informationssicherheit im Produktionsnetz

Die aktuell wichtigsten Anforderungen an die Informationssicherheit in der Produktion sind eine durchgängige und sichere Kommunikation im Office- und Produktionsnetz, flache Netzwerke mit möglichst geringer Komplexität, eine hohe Flexibilität für die Integration neuer Anlagen und hohe Sicherheit bei externen Zugriffen, z.B. bei der Fernwartung von Anlagen. Kern des Konzepts ist die Bildung von überschaubaren, dezentralen Produktionszellen. Die Produktionssysteme für Bearbeitungsprozesse wie Schneiden, Bohren, Fräsen, Schweißen und weitere sind jeweils in mehrere Zellen aufgeteilt und mit einer Industrie-Firewall abgeschottet. Insgesamt über 40 solcher Zellen bilden den Übergang zum Informationsnetz. So wird der Informationsfluss zwischen den Schichten des Produktionsnetzes und den administrativen Informationssystemen kontrolliert und abgesichert. Neue Automatisierungs- und Steuerungssysteme können mit diesem Konzept relativ einfach und schnell in die Systemlandschaft eingebunden werden. „Der Einsatz von dezentralen Firewalls ist die wichtigste Schutzmaßnahme. Trotz der sehr vielen vernetzten Produktionssysteme erreichen wir damit gut administrierbare und überschaubare Teilnetze“, begründet Dirnberger die Entscheidung für das Zellenkonzept. Neben den dezentralen Firewalls gehören aus seiner Sicht ein Konzept für Backup und Recovery und die Vorhaltung von Ersatzgeräten zu den wichtigsten Schutzmaßnahmen. Umgesetzt werden zudem weitere Schritte zur Systemhärtung, ein Anti-Malware-Schutz, sichere Authentifizierung und Autorisierung sowie Punkte zur physikalischen Sicherheit und Systemresistenz.

Technik für Industrial Security

Bei der Auswahl der Sicherheitstechnik fiel die Entscheidung zugunsten der mGuard Security Appliance Technologie von Innominate, einem Unternehmen der Phoenix Contact Gruppe. Maßgeblich dafür waren die Serviceunterstützung, die Industrietauglichkeit, die Einfachheit des Systems und der Linux-Background. „Wir brauchen eine Service-Hotline, die man auch am Tag erreichen kann, und verzichten deshalb auf Überseegeräte“, sagt Dirnberger. Gegenüber Produkten aus der Bürowelt sind Anforderungen wie ein erweiterter Temperaturbereich, die Schutzart oder die Montagemöglichkeit in Schaltschränken ausschlaggebend. Da viele Funktionen aus der Bürowelt im Produktionseinsatz nicht gebraucht werden und eher störend sind, zeigt sich die Industrietechnik als einfacher und besser administrierbar. Der Linux-Background ist hilfreich, um mit eigenen Skripten die Funktionalitäten erweitern zu können oder per Command Line Logging- und Konfigurationsdateien der Firewalls einzusehen. „Durch die mGuard Technologie werden sichere Übergänge zwischen den Systemen geschaffen, da der Netzwerkverkehr mittels Paketfilterung und Routing nach dem Prinzip des ‚Least Privilege‘ eingeschränkt wird. Es wird nur das erlaubt, was unbedingt notwendig ist“, erläutert Dirnberger. Für ihn ist außerdem die Logging-Funktion der Security Appliances ein wichtiges Sicherheitselement. Da sich die Netzwerke ständig dynamisch verändern, neue Netzteilnehmer eingepflegt oder Fehler im Netzwerk korrigiert werden, wird der Netzwerkverkehr aufmerksam beobachtet. Die Meldungen über abgelehnte bzw. akzeptierte Datenverbindungen werden zentral an einen Syslog-Server weitergeleitet und kontinuierlich überwacht. Veränderungen werden gezielt mittels automatisierten Skripten herausgefiltert und analysiert. Durch das Logging wurde beispielsweise ein aktueller Virusbefall frühzeitig erkannt. Der Virus war in der Lage, innerhalb von einer Stunde mehr als 100.000 Netzadressen zu kontaktieren. Durch die Firewalls wurden die Produktionszellen allerdings erfolgreich geschützt. Lediglich eine Zelle hatte Probleme. Die Ursache war ein ungepatchtes Gerät, das nicht dem Stand der Technik entsprach.

Konfiguration, Rollout und Betrieb

„Die Konfiguration von Firewalls mit individuellen Regeln für die einzelnen Zellen ist zunächst keine triviale Aufgabe. Mit einer Schulung, etwas Übung und den Best-Practice-Erfahrungen wie z.B. der Experten von Innominate lässt sich allerdings recht schnell ein strukturiertes Verfahren entwickeln. Dann geht es in kleinen Schritten immer nach dem gleichen Muster weiter. 80% der einmal entwickelten Konfiguration kann auch für andere Zellen genutzt werden“, berichtet Herbert Dirnberger. Für die Verwaltung der Firewall-Systeme überlegt das Unternehmen Umdasch, in Zukunft auch den Innominate Device Manager (IDM) einzusetzen. Damit lässt sich der administrative Aufwand bei Systemumstellungen oder bei Anpassungen an Ausführungsrichtlinien und Standards deutlich verringern. Ein größerer Anpassungsaufwand entsteht z.B. immer dann, wenn ein Fileserver ausgetauscht wird oder sich Adressen des Fileservers ändern. Weil dann bei allen Firewalls die gleichen Einträge angepasst werden müssen, kann der IDM für eine automatisierte Rollout-Prozedur genutzt werden. Dabei ermöglichen Templates die Zusammenfassung von Einstellungen und vereinfachen auch den sicherheitskritischen und komplizierten Teil einer Systemkonfiguration. Nach Einschätzung von Umdasch lohnt sich der Einsatz bereits ab 15 bis 20 Geräten. Für den Betrieb der Firewalls vergibt der Automatisierungs- und Systemtechniker sehr gute Noten. Ausfälle sind äußerst selten. Das System bleibt gleich und die Zellen müssen im laufenden Betrieb nicht verändert werden. Auch bei der Fernwartung durch externe Serviceanbieter sorgt die mGuard Technologie für ein kontrollierbares und sicheres Verfahren. Herbert Dirnberger erläutert den Ablauf: „Unsere Servicetechniker entscheiden jetzt von Fall zu Fall, ob für eine einzelne Zelle eine externe Einwahl erfolgen soll. Externe Zugriffe über die Hintertür gehören der Vergangenheit an. Erst wenn sie per Serviceknopf die Einwahl freischalten, ist ein Verbindungsaufbau möglich.“ Dann wird die Verbindung zwischen der Produktionszelle und der Office Firewall, dem äußeren Schutzwall an der Außengrenze des Unternehmens, freigeschaltet. Hier sind die Office- und Industrie-Firewalls eng aufeinander abgestimmt.

Schadsoftware über USB-Sticks

Nach den Erfahrungen bei Umdasch gehören Sicherheitsvorfälle im Netzwerk zum Alltag. Immer wieder wird Schadsoftware über infizierte USB-Sticks oder versehentlich von externen Servicetechnikern ins Netz gebracht. Die Folgen solcher Infektionen sind allerdings entscheidend eingedämmt, weil die Produktionssysteme jetzt gut geschützt sind. Das erarbeitete Informationssicherheits-Konzept mit dezentralen Industrie-Firewalls hat aus Sicht von Herbert Dirnberger zusätzliche Vorteile: „Das Netzwerk ist weniger komplex, besser kontrollierbar und wir haben dadurch die Verfügbarkeit erhöht. Außerdem lassen sich neue Anlagen besser integrieren.“ Dabei verweist er besonders auf die enge Zusammenarbeit der Fachabteilungen mit der zentralen Informationstechnologie und dem gemeinsam abgestimmten Informationssicherheits-Konzept.