Sichere WLAN Access Points Fertigung im Handumdrehen sicher steuern

Autor / Redakteur: Jürgen Weczerek / Dipl.-Ing. (FH) Reinhold Schäfer

Beim Einsatz von Smart Devices in der Fertigung gilt es, bei der Auswahl der erforderlichen WLAN Access Points einige wichtige Punkte zu beachten. Es stellt sich nämlich die Frage, ob damit alle notwendigen Sicherheitsanforderungen erfüllt werden.

Firmen zum Thema

Immer mehr Maschinenhersteller bieten ihren Kunden die Nutzung von Smart Devices – wie Tablets oder Datenbrillen – an den Maschinen an.
Immer mehr Maschinenhersteller bieten ihren Kunden die Nutzung von Smart Devices – wie Tablets oder Datenbrillen – an den Maschinen an.
(Bild: Phoenix Contact)

Auf den ersten Blick scheint die kommunikative Anbindung von Smart Devices an die Maschine einfach realisierbar zu sein, weil die Anwendung häufig nicht prozessrelevant ist und es keine Anforderungen an die Echtzeitfähigkeit gibt. Doch bei der Erarbeitung eines Lösungskonzepts und der Auswahl der Funkkomponenten müssen einige Besonderheiten berücksichtigt werden (Bild 1).

Zum Datenaustausch zwischen Smart Device und Maschine wird in der Regel Wireless LAN verwendet, weil diese Technik weitgehend akzeptiert und bereits in alle Smart Devices integriert ist. Zudem bietet Wireless LAN eine hohe Übertragungsgeschwindigkeit. Das ermöglicht eine flüssige Darstellung der Informationen und die Weiterleitung hochauflösender Videodaten. Der Aufbau eines lokalen Wireless-LAN-Zugangs zum Maschinennetz erweist sich eigentlich als einfach. Prinzipiell reicht ein im Schaltschrank montierter handelsüblicher WLAN Access Point aus, der um eine günstig, außen am Schrank angebrachte Antenne ergänzt wird. Vergibt der Anwender dann noch ein sicheres Passwort für das WLAN, steht dem Betrieb der Funklösung nichts entgegen.

Bildergalerie
Bildergalerie mit 5 Bildern

Gutes Sicherheitskonzept ist notwendig

Doch genügt ein solcher Ansatz, selbst wenn die Anwendung nicht betriebskritisch ist? Leider agieren viele Betreiber in der beschriebenen Form und beachten daher wesentliche Punkte nicht, die später zu einem Sicherheitsrisiko oder zur Unzufriedenheit des Nutzers führen können. Üblicherweise handelt es sich bei einem Maschinendatennetz um ein relativ kleines sowie in sich geschlossenes System, zu dem unbekannte Nutzer keinen Zugang benötigen und erhalten. Wird das Maschinennetz jedoch um eine WLAN-Schnittstelle zur Kommunikation mit Smart Devices erweitert, können auch unbekannte Nutzer auf das Netz zugreifen. Aufgrund der Funktechnik müssen sie dazu noch nicht einmal vor Ort sein. Weil sich Funkwellen lediglich schwer räumlich begrenzen lassen, ist sogar ein Zugriff von außerhalb des Betriebsgeländes möglich (Bild 2).

Ein unerlaubtes Eindringen in das Datennetz kann erhebliche negative Konsequenzen nach sich ziehen. Schäden entstehen dabei nicht nur durch die Störung der Datenübertragung oder die Manipulation von Geräten. Sind Safety-Systeme mit dem Maschinendatennetz verbunden, könnten diese beeinflusst werden, sodass schlimmstenfalls Personen zu Schaden kommen. Sofern die Maschinen außerdem ungesichert an das Produktionsdatennetz angekoppelt sind, hat ein Eindringling möglicherweise Zugriff auf sämtliche Maschinen und Systeme dieses überlagerten Netzes. In diesen Fällen reicht die übliche Absicherung des WLAN-Netzes mit einem Passwort nicht aus. Beim Einsatz von Wireless-LAN in Maschinennetzen ist vielmehr ein umfassendes Sicherheitskonzept unabdingbar.

Problem: individuelle Passwörter

Die in Maschinen- und Anlagennetzen genutzten Wire­less-LAN-Systeme werden oftmals über einen gemeinsamen statischen Netzwerkschlüssel geschützt. Der Mechanismus wird als WLAN WPA-PSK (Wi-Fi Protected Access Pre Shared Key) bezeichnet. Erweist sich das Passwort (Netzwerkschlüssel) als sicher, gilt dies ebenfalls für die Funkkommunikation. Die wesentliche Herausforderung bei einem Maschinen-WLAN liegt in der Verwaltung des Passworts. Verwenden mehrere Mitarbeiter das Funkdatennetz, melden sie sich mit demselben Passwort an. Egal wie sicher dieses gewählt ist: Weil das Passwort von allen Nutzern benötigt wird, kennt es ein größerer Personenkreis nach relativ kurzer Zeit. Und weil Passwörter in der Praxis meist nie geändert werden, haben die Mitarbeiter auch dann noch Zugriff auf das Maschinendatennetz, wenn sie gar nicht mehr dazu befugt sind. Darüber hinaus findet keine Unterscheidung zwischen den einzelnen Nutzern statt. Jeder erhält uneingeschränkten Zugang zum gesamten Netz.

Die zentrale Frage ist deshalb, wie sichergestellt werden kann, dass lediglich berechtigte Nutzer Zugriff auf das Datennetz und die dort festgelegten Ressourcen haben. Für jeden Nutzer individuelle Kennwörter und Zugriffsrechte einzurichten – wie im Office-Netzwerk üblich – zeigt sich wegen des hohen administrativen Aufwands und der zusätzlich erforderlichen Infrastruktur für das Maschinennetz als nicht praktikabel und unwirtschaftlich.

Kontrolliertes Ein- und Ausschalten von WLAN-Zugängen

Ein automatisiertes Kennwortmanagement, das durch die Maschinensteuerung erfolgt, könnte eine Lösung sein. Dazu ist allerdings ein WLAN Access Point notwendig, der von der Maschinen-SPS über das Datennetz gesteuert werden kann. Indem die Steuerung nutzergruppenspezifische WLAN-Zugänge (virtuelle Access Points) kontrolliert ein- und ausschaltet sowie verbindungsspezifische Einmal-Kennwörter genutzt werden, lässt sich der drahtlose Zugang zum Maschinendatennetz sicher gestalten.

Um sich mit ihr verbinden zu können, informiert der Anwender die Maschine zum Beispiel durch die Anmeldung an einem stationären Bedienterminal. Die Steuerung konfiguriert anschließend einen WLAN-Zugang (virtuellen Access Point) am Access Point, der durch ein Einmal-Kennwort geschützt ist. Dieses wird dem Nutzer über das Bedienterminal in Klartext oder als QR-Code zur Verfügung gestellt. Alternativ wäre eine Übermittlung per NFC (Near Field Communication) möglich. Weil das Einmal-Kennwort nach der Trennung der WLAN-Verbindung seine Gültigkeit verliert, ist dessen Weitergabe kein Sicherheitsrisiko (Bild 3).

Durch verschiedene virtuelle Access Points mit unterschiedlichen Zugangsberechtigungen lässt sich der Zugriff auf die Datennetz-Ressourcen nutzerabhängig sicher regeln. Beispielsweise kann der Servicetechniker ohne Einschränkungen auf das Maschinendatennetz zugreifen, während der Maschinenbediener nur auf den Visualisierungsserver Zugriff hat. Zu diesem Zweck muss der Access Point konfigurierbare Filterfunktionen unterstützen.

Zugangsberechtigungen festlegen

Sind umfangreiche Filterregeln erforderlich, die sowohl den Zugriff auf das überlagerte Produktions- als auch das Maschinennetz individuell organisieren, bietet sich der Einsatz einer Firewall mit DMZ-Port (Demilitarized Zone – ent- oder demilitarisierte Zone) – wie dem FL Mguard 4000 von Phoenix Contact – an. Der WLAN Access Point wird dann an den DMZ-Port angeschlossen. Diese Lösung erweist sich als besonders interessant, wenn der Anwender aus Sicherheits- oder Fernwartungsgründen bereits ein VPN-Firewall-Konzept (Virtual Private Network) auf Basis der Security Appliances FL Mguard in der Maschine verwendet (Bild 4).

Hochwertige und robuste Industrieantenne ist notwendig

Die Anforderung, dass die WLAN Access Points überall für einen guten Empfang sorgen sollen, stellt in der Praxis ein häufiges Problem dar. Weil die Anwendung nicht prozessrelevant ist, wird versucht, die Kosten so gering wie möglich zu halten, und daher wird an der Qualität der verbauten Komponenten gespart. Eine einfache und dazu an einer funktechnisch ungünstigen Position montierte Antenne führt in Kombination mit der meist reichweitenschwachen Funktechnik der Smart Devices zu einem geringen Empfangssignal in den Bereichen rund um die Maschine. Hier treten nun deutliche Leistungseinbußen und damit längere Ladezeiten der Daten oder sogar Unterbrechungen auf.

Internationale Zulassungen sind unumgänglich

Vor diesem Hintergrund sollte schon bei der Planung und Umsetzung auf eine gute Funkleistung der WLAN-Lösung geachtet werden. Eine qualitativ hochwertige und robuste Industrieantenne ist teuer, jedoch langfristig gesehen eine lohnende Investition. Bei der Wahl des WLAN Access Points zeigt sich ein leistungsfähiges Industriegerät gemäß IEEE 802.11n mit Mimo-Antennentechnik (Multiple Input Multiple Output) als die beste Alternative. Die Mimo-Technik sorgt nicht nur für eine erhebliche Steigerung der Datenrate, sondern im stark reflektierenden, metallhaltigen Industrieumfeld zudem für eine höhere Stabilität und Zuverlässigkeit des Funkempfangs. Sie erfordert allerdings den Einsatz von zwei oder mehr Antennen (Bild 5).

Darüber hinaus spielt die Funkzulassung eine wichtige Rolle. Zum Betrieb eines Funksystems müssen die entsprechenden Genehmigungen des jeweiligen Betriebslands eingehalten werden, die teuer sind. Deshalb verfügen vor allem die preiswerten Funkgeräte lediglich über eine Zulassung für den Betrieb in Europa und Nordamerika. Der Anwender muss bei der Auswahl der WLAN-Komponenten also darauf achten, welche Länderzulassungen vorliegen und ob die Einholung weiterer Genehmigungen bei Bedarf möglich ist.

Werden die aufgeführten Aspekte – passendes Sicherheitskonzept, gute Funkleistung und Zulassungen für alle relevanten Betriebsorte – bei der Konzeption der WLAN-Schnittstelle berücksichtigt, steht einer langfristig sicheren Nutzung der Wireless-Lösung nichts im Weg. Es müssen jedoch leistungsstarke industrielle Access Points gemäß IEEE 802.11n mit Mimo-Unterstützung verwendet werden, die sich durch die Maschinensteuerung kontrollieren lassen. Der WLAN Access Point 5100 von Phoenix Contact erfüllt die Anforderungen und bietet ferner Funktionen für den Einsatz an der Maschine. MM

* Dipl. Ing. (FH) Jürgen Weczerek ist Mitarbeiter im Product Marketing Network Technology bei der Phoenix Contact Electronics GmbH in 31812 Bad Pyrmont

(ID:44310302)