Suchen

Sicherheit Datenverarbeitung und Security kombiniert und doch getrennt

| Autor/ Redakteur: Matthias Ochs / Simone Käfer

Ein Gateway, das Datenverarbeitung mit Security zusammenführt, sie aber getrennt hält, ist das Ergebnis der Zusammenarbeit eines IT-Sicherheitsexperte für staatliche Security und eines IPC-Herstellers.

Firmen zum Thema

Das GS.Gate schützt Produktion und Daten vor unberechtigten Zugriffen, indem es die interne von der externen Kommunikation getrennt absichert.
Das GS.Gate schützt Produktion und Daten vor unberechtigten Zugriffen, indem es die interne von der externen Kommunikation getrennt absichert.
(Bild: © fotomek - Fotolia.com)

Was Häme und hohe Kosten erzeugen kann, hat noch viel schlimmere Folgen. Denn dringt ein Angreifer an einer unzureichend abgesicherten Stelle in ein Produktionsnetzwerk ein, kann er nicht nur Daten stehlen oder die Produktion lahmlegen. Mit ein wenig Manipulation können Produktionsmaschinen außer Kontrolle geraten und Menschenleben gefährden. Deswegen besteht eine wichtige Aufgabe auf dem Weg zu Industrie 4.0 in der zuverlässigen Absicherung der Datenkommunikation in vollvernetzten Produktionsbereichen – und bei der Anbindung an die Cloud.

Maschinendaten analysieren und weiterleiten ohne Sicherheitsrisiko

Für die Aufgaben Erfassung, Verarbeitung und Bereitstellung von Maschinendaten auf einem hohen Schutzniveau haben Schubert System Elektronik und das deutsche IT-Sicherheitsunternehmen Genua mit dem Industrial Gateway GS.Gate eine Lösung entwickelt.

Das GS.Gate lässt sich herstellerunabhängig an Maschinen anbinden und bietet auf kompakter, industrieller Hardware zwei getrennte Bereiche: In einem können Maschinenhersteller oder -betreiber mittels Docker individuelle Anwendungen installieren. Die Anwendungen rufen über die gängigen Schnittstellen LAN, IO-Link, Gbit-Ethernet oder Industrial Ethernet Zustands- und Leistungsdaten von der Maschine ab und führen die gewünschten Analysen durch. So werden bereits hier aus der gesamten Datenmenge die wichtigen Informationen herausgefiltert, die für umfassende Analysen benötigt werden. Wichtig für den Maschinenbetreiber ist zudem, dass er an dieser Stelle entscheiden kann, welche Daten in die Cloud des Herstellers übertragen werden dürfen und welche eben nicht. Denn interne Prozessdaten sollen sicherlich nicht mit externen Dritten geteilt werden. Durch diese Steuerung behält der Betreiber stets die Hoheit über seine Daten.

Zwei Bereiche in einer Hardware: Im internen Bereich entscheiden Anwender, welche Daten für die Analysen an die Fernwartung gesendet werden. Beide Bereiche sind separat vor Zugriffen geschützt.
Zwei Bereiche in einer Hardware: Im internen Bereich entscheiden Anwender, welche Daten für die Analysen an die Fernwartung gesendet werden. Beide Bereiche sind separat vor Zugriffen geschützt.
(Bild: Genua)

Im zweiten Bereich befinden sich eine Firewall sowie die Remote-Access-Komponente für sichere Fernwartungszugriffe. Über die Firewall werden die gewonnenen Informationen verschlüsselt via Internet zu Analytics-Systemen oder zur Cloud weitergeleitet. Dabei schützt die Firewall das Industrial Gateway und die damit vernetzte Maschine vor Cyber-Attacken. Über die Remote-Access-Komponente können berechtigte Personen nach erfolgreicher Authentisierung über verschlüsselte Verbindungen Wartungsarbeiten am GS-Gate vornehmen.

Security by Design: Anwendungen und Sicherheitssysteme sind strikt getrennt

Um an der kritischen Schnittstelle zwischen Maschine und externem Netz ein hohes Schutzniveau zu erreichen, ist das GS.Gate nach dem Prinzip Security by Design konzipiert. So sind die Anwendungen zur Datenverarbeitung, die mit der Maschine sprechen, strikt getrennt von den Sicherheitssystemen, welche die Kommunikation und Schnittstelle Richtung externes Netz schützen. Die separierten Bereiche verfügen über jeweils eigene Betriebssysteme sowie fest zugewiesene Hardware-Ressourcen. Überschneidungen gibt es keine.

Diese Box leitet Maschineninformationen ausschließlich über verschlüsselte Verbindungen zu Monitoring-Systemen oder zur Cloud weiter. Zusätzlich schützt eine Firewall vor unbefugten Zugriffen und Malware.
Diese Box leitet Maschineninformationen ausschließlich über verschlüsselte Verbindungen zu Monitoring-Systemen oder zur Cloud weiter. Zusätzlich schützt eine Firewall vor unbefugten Zugriffen und Malware.
(Bild: Genua)

Diese Sicherheitsarchitektur ermöglicht ein Microkernel-Betriebssystem, das als unterste Ebene auf dem GS.Gate läuft und strikt getrennte Bereiche erzeugt. Dadurch sind nach außen, Richtung Netzwerk, nur die speziell gehärteten Sicherheitssysteme sichtbar. Diese werden durch regelmäßige Updates auf dem neuesten Stand gehalten und wappnen das Produktionssystem somit gegen alle aktuellen Bedrohungen. Hinter dem starken Schutzschirm können die Datenverarbeitungsanwendungen ohne ständige Eingriffe durch Updates und Patches betrieben werden, wodurch keine Änderungen oder gar Störungen bei abgestimmten Abläufen auftreten. Die Sicherheitsarchitektur mit separierten Bereichen setzt Genua auch bei Lösungen im staatlichen Geheimschutzbereich ein, um die hohen Sicherheitsanforderungen zu erfüllen. Das GS.Gate soll reibungslose Abläufe auf einem Sicherheitsniveau garantieren, das neue Maßstäbe im Industriebereich setzen soll.

* Matthias Ochs ist Geschäftsführer der Genua GmbH in 85551 Kirchheim, Tel. (0 89) 99 19 50-0, info@genua.de, www.genua.de

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45071218)