Integrativer Sicherheitsansatz
Die Entwicklungen in Industrie 4.0 und IIoT sind die Hauptantriebskräfte für die Idee konvergierter Netzwerke. Bis es jedoch eine einheitliche Technologie gibt, welche die einfache Integration über vertikale und horizontale Kommunikation unterstützt, muss die Überbrückung bestehender IT-/OT-Systeme sichergestellt werden, ohne ihre individuellen Anforderungen zu stören. Diese muss auch besonderes Augenmerk auf die Sicherheit richten.
Industrielles Internet der Dinge und Industrie 4.0 treiben die Konvergenz zwischen IT und OT an. (Bild: Moxa Europe GmbH)
Aber was genau können die Besitzer von Produktionslinien tun, um die Produktivität zu steigern oder es den Anwendern zu ermöglichen, den Echtzeitstatus der Produktion einzusehen? Um diesen industriellen Anforderungen Rechnung tragen zu können, besteht der erste Schritt darin, die Daten aus der Fabrikhalle der Unternehmensebene und der Cloud zur Verfügung zu stellen. Das heißt, die industriellen Netzwerke, die lange Zeit isolierte Systeme waren, müssen jetzt mit dem IT-Netzwerk verbunden und über das Internet erreichbar sein. Dabei wird man auf einige Hindernisse stoßen, z.B. die Anwendung der IT-Netzwerkrichtlinien in der industriellen Netzwerkarchitektur. Der zweite wichtige Punkt ist, dass die industrielle Kommunikation mit besonderen Anforderungen an Leistung und Verfügbarkeit verbunden ist. Die M2M-Kommunikation (Machine-to-Machine-Kommunikation) erfordert kurze Reaktionszeiten, weshalb normalerweise mehrere Industrieprotokolle gleichzeitig im Operational-Technology-(OT)-Netzwerk implementiert werden. Das Information-Technology-(IT)-Netzwerk kann ein solches Verfügbarkeitsniveau der Netzwerke nicht gewährleisten. Letztendlich machen jegliche Arten von Internetzugang oder Fernzugriff auf die Fabrikhalle industrielle Prozesse anfälliger für Cyberangriffe, was zu Produktionsstillständen und enormen finanziellen Verlusten führen kann. Wie lässt sich dieses IT-/OT-Missverhältnis verringern? In der industriellen Netzwerkkommunikation sind dazu mehrere Vorgänge zu berücksichtigen: Die Sicherheit bzw. der Schutz der Feldgeräte, die sichere Datenerfassung für die Überwachung sowie der Fernzugriff für die bedarfsgerechte Wartung.
Feldgeräte besser schützen
Einige der größten Rückschläge für sichere OT-Netzwerke sind auf mangelndes Bewusstsein für Cyber-Probleme in Supply-Chain-Organisationen und unzureichende Cybersicherheitspraktiken bei KMU-Anbietern (kleine und mittlere Unternehmen) zurückzuführen. Das Fehlen eines angemessenen Budgets für Cybersecurity-Programme ist ein weiteres häufiges Problem (Quelle: MHI-Jahresbericht 2018 – Deloitte). Diese Rückschläge können vermieden werden, indem ein Standardsatz von Richtlinien vereinbart wird, den die OT für den Aufbau eines sicheren Netzwerks befolgen kann. Wichtiger ist jedoch, dass gemeinsame Richtlinien für Hersteller von industriellen Automatisierungskommunikationssystemen wie z.B. Moxa, Siemens, Schneider Electric und viele andere gelten. Hersteller müssen in der Lage sein, Endanwender mit Cybersecurity-fähigen Geräten zu unterstützen, die mit normierten Funktionen ausgestattet sind. Einer dieser Standards für industrielle Automatisierungs- und Steuerungssysteme (IACS) ist IEC62442. Für Moxa-Geräte bedeutet dies, dass Sicherheitsfunktionen wie Kennwortrichtlinien, Systembenachrichtigung, Protokollverwaltung, Konfigurationsverschlüsselung usw. implementiert wurden, die im Schutzbereich auf Geräteebene definiert sind. Industrielle Netzwerkgeräte umfassen Schaltschrank- und DIN-Schienen-Switches, ausgewählte Modelle von Geräteservern, Remote I/O, Wireless-Geräte und Protokoll-Gateways. Für den Netzwerkteilnehmer ist der so genannte In Depth-Schutz eine Lösung, indem Netzwerke mit Hilfe von Secure Routern in logische Zonen unterteilt werden. Diese Geräte verfügen normalerweise über integrierte Firewalls, VPN-Funktionen, Deep Packet Inspection und weitere Funktionen. Eines der wertvollsten Werkzeuge zur Vervollständigung einer solchen Infrastruktur ist eine leistungsfähige Netzwerkverwaltungssoftware wie Moxas MXview, die visuelles Management für die Sicherheitsüberprüfung und -überwachung sowie Northbound-Schnittstellen zur Bereitstellung des Netzwerkstatus bietet.
Sichere Datenerfassung
Was früher ein Gerät war, um Daten vor Ort an ein lokales Scada oder HMI zu liefern, muss heutzutage ein Gateway sein, das Daten vom Netzwerkrand, dem so genannten Edge, bis zur Cloud bereitstellt. Dies ist genau die Definition eines intelligenten Geräts. Um dies tun zu können, müssen Geräte entweder über einen eingebetteten Agenten für eine Anzahl privater und öffentlicher Cloud-Anbieter verfügen, Protokolle wie MQTT oder OPC UA verwenden oder einen Webdienst mit RestfulAPI unterstützen. Diese Geräte sind auch nicht mehr nur einfache Protokollkonverter, sie sind mit Rechenleistung ausgestattet und können Datenvorverarbeitung sowie Edge- und Fog-Computing durchführen. Moxa hat für seine Gateways die ThingsPro Softwaresuite entwickelt, eine Cloud-fähige Gateway-Lösung für einfache und sichere Konnektivität, die einen transparenten Datenaustausch zwischen OT- und IT-Systemen gewährleistet. Aus Sicherheitsgründen sind sie ein Verbindungspunkt zwischen IT- und OT-Netzwerken in Industrie 4.0 und IIoT. Die Gateways dienen als Zugangspunkt zum Edge-Netzwerk, isolieren die Edge-Geräte von der Außenwelt und nutzen gleichzeitig Technologien wie VPN für Fernzugriff und MQTT für sichere Datenkommunikation.
IEC62443 könnte die bewährte Methode und Anforderung zum Aufbau eines gesicherten industriellen Netzwerks sein. (Bild: Moxa Europe GmbH)
Sicherer Fernzugriff
Der On-Demand-Wartungsservice ist ein großer Teil der Industrieautomation, der sowohl seitens des Endanwenders als auch des Maschinenherstellers/Anbieters von Industrielösungen viele zusätzliche Kosten verursachen kann. Wenn wir uns die Tatsache ansehen, dass der größte Wartungs- und Fehlerbehebungsbedarf auf Software-Updates oder auf die Wartung und Diagnose von Software zurückzuführen ist, ist es sinnvoll, in Fernzugriffsmöglichkeiten zu investieren, anstatt einen Techniker jedes Mal vor Ort zu schicken, wenn z.B. eine Software aktualisiert werden muss. Um Feldgeräte, Ingenieure und industrielle Anwendungsserver über das Internet miteinander zu verbinden, hat Moxa die Moxa Remote Connect (MRC)-Kommunikations-Administrationsplattform entwickelt. Sie umfasst ein sicheres Gateway im Feldnetzwerk und eine Client-Software, die über einen sicheren Tunnel mit dem Gateway verbunden ist. Das ermöglicht es Ingenieuren, ihre industriellen Softwaretools aus der Ferne einzusetzen. Um den Zugriff von Clients auf die Gateways sowie den Zugriff zwischen Gateways zu verwalten, bietet Moxa MRC Server als Kommunikationsverwaltungsplattform an. Wie bereits erwähnt, unterscheiden sich die Anforderungen an industrielle und IT-Netzwerke. Daher ist es nicht nur wichtig, eine End-to-End-Verschlüsselung für die Gateway-zu-Client-Kommunikation über das Internet anzubieten, sondern auch die Filterung nach Industriestandards, wie Modbus TCP und Profinet IO, um sicherzustellen, dass nur der wirklich erforderliche Datenverkehr durch einen Kommunikationstunnel zugelassen wird. Aus diesem Grund ist die Funktion einer einfach zu konfigurierenden Whitelist-Firewall, die Industrieprotokolle unterstützt, von großem Nutzen für Ingenieure und die Überbrückung der Lücken zwischen IT und OT. Es gibt keinen hundertprozentigen Schutz vor Cyberangriffen. Stellen Sie jedoch sicher, dass Ihre OT-Teilnehmer sich des Risikos bewusst sind und stellen Sie ihnen Richtlinien, Tools und Geräte zur Verfügung, die ihnen helfen, dieses Risiko zu senken. Und vermitteln Sie den IT-Teilnehmern die Wichtigkeit und die Anforderungen industrieller Netzwerke. An diesen Herausforderungen muss jeder Hersteller industrieller Infrastrukturlösungen arbeiten.
