Phoenix Contact Funkbasierten Zugriff auf das Maschinendatennetz sicherer machen

Autor / Redakteur: Jürgen Weczerek / Dipl.-Ing. (FH) Reinhold Schäfer

Um die Sicherheit in Maschinennetzen zu verbessern, hat ein Automatisierungsunternehmen bei seinem Access Point die Vergabe von Einmal-Passwörtern an externe Geräte ermöglicht. Ebenfalls kann die Maschinensteuerung zur Laufzeit gesteuert werden.

Firma zum Thema

Die Umsetzung des Zukunftsprojekts Industrie 4.0 im Maschinenbau bedingt eine sichere Wireless-LAN-Kommunikation.
Die Umsetzung des Zukunftsprojekts Industrie 4.0 im Maschinenbau bedingt eine sichere Wireless-LAN-Kommunikation.
(Bild: Phoenix Contact)

Heute ist es Stand der Technik, dass sich Mitarbeiter und externe Dienstleister per Tablet-PC oder Smartphone Zugriff auf das Maschinennetzwerk verschaffen, um beispielsweise Daten abzufragen oder Einstellungen zu ändern. Doch oft lässt der Maschinenbetreiber hier den Sicherheits­aspekt außer Acht, will heißen, er unterbindet potenzielle Schadhandlungen nicht konsequent. Mit dem Access Point WLAN 1100 stellt Phoenix Contact deshalb eine einfach handhabbare Lösung zur Verfügung (Bild 1).

In der Vergangenheit hat sich der Schutz des Maschinennetzwerks vor Malware und Schadhandlungen als einfach erwiesen: Es wurde als lokale Insel betrieben, zu der lediglich ein begrenzter Personenkreis – meist Servicetechniker – direkt vor Ort oder per Fernwartung Zugang benötigte. Im Gegensatz dazu können viele Menschen auf die vernetzte Maschine zugreifen, weshalb in diesem Umfeld neue, sichere Zugriffskonzepte erforderlich sind. Am Beispiel eines Wireless-LAN-Zugangs zum Maschinendatennetz zur Kommunikation mit Smart Devices – wie einem Tablet-PC – lassen sich die Herausforderungen und deren Lösung darstellen.

Bildergalerie
Bildergalerie mit 6 Bildern

Wie bereits erwähnt, war das Netz bisher dadurch abgesichert, dass es als lokale Netzwerkinsel arbeitete, auf die – wenn überhaupt – nur vor Ort im Schaltschrank über einen offenen Ethernet-Port zugegriffen werden konnte. Daher boten einfache mechanische Schutzeinrichtungen, wie das Abschließen des Schaltschranks, häufig die notwendige Sicherheit. Doch mit der zunehmenden Vernetzung und der Integration weiterer Schnittstellen für einen externen Zugang – zum Beispiel über Wireless LAN – öffnet sich das Netzwerk auch für den entfernten Zugriff. Der Anwender muss also nicht mehr unmittelbar einen mechanischen Zugang zur Maschine haben, sondern kann unbemerkt sowie bei genügender Reichweite sogar von außerhalb des Unternehmensgeländes in das Maschinennetzwerk eindringen. Befinden sich dort Safety-Systeme oder ist das Maschinennetz ungeschützt mit dem Produktionsnetzwerk verbunden, birgt das unkalkulierbare Gefahren für den Maschinenbediener und -betreiber. Vor diesem Hintergrund müssen im Datennetz zwingend elektronische Sicherungsmaßnahmen umgesetzt werden.

Individuelles Passwort muss ständig aktualisiert werden

Die meisten Netzwerkgeräte erlauben einen Zugriffsschutz, indem sich der Nutzer über ein gemeinsames Gerätepasswort authentifiziert. An sich stellt ein solch sicheres Passwort eine hohe Abwehr von unerlaubten Schadhandlungen zur Verfügung. Allerdings führen die Generierung eines entsprechenden Passworts sowie dessen sichere Dokumentation für den Maschinenbediener zu einem großen Aufwand. Da die Nutzer oftmals davon ausgehen, dass der Zugang zum Datennetz mechanisch geschützt ist, fehlt ihnen in der Praxis häufig das Problembewusstsein. Dies zeigt sich darin, dass die Netzwerkgeräte meist nur über das herstellerseitige oder ein einfaches maschinenbauerspezifisches Default-Passwort geschützt sind. Diese Aussage trifft oft ebenfalls für das Wireless-LAN-Passwort (WPA-PSK) zu, das den Zugriff über den WLAN Access Point auf das Maschinendatennetz absichert. Wer die Passworte kennt oder weiß, wo sie abgespeichert sind, hat somit freien Zugang zu allen Geräten im gesamten Datennetz.

WPA-PSK genügt zwar, um den Datenverkehr in Wireless-LAN-Netzwerken sicher zu verschlüsseln. Doch mag sich ein Passwort für sämtliche Nutzer von Heimnetzen eignen, schützt das Verfahren in Maschinennetzen mit einer Vielzahl häufig wechselnder Nutzer nicht vor unbefugten Zugriffen. Denn durch die ständige Weitergabe ist das ehemals geheime Passwort schnell allgemein bekannt. Spätestens dann, wenn einem Nutzer (zum Beispiel mit einem Tablet-PC) nur vorübergehend Zugang zum Netz eingeräumt worden ist, muss das Passwort erneuert werden. Dies, weil sowohl Nutzer als auch Tablet-PC die Zugangsdaten kennen. Smart Devices merken sich diese nicht nur, sondern verbinden sich automatisch mit dem Netz, sobald sie in seiner Reichweite sind – und das selbst in dem Fall, dass der Zugriff nicht mehr gewollt oder erlaubt ist (Bild 2).

Einzelne Funktionen des Access Points lassen sich zur Laufzeit steuern

In einem IT-Netz werden den Nutzern hingegen individuelle Passwörter zentral von einem Administrator zugewiesen und durch einen Server – zum Beispiel einen Radius-Server – an die ans Netz angeschlossenen Geräte verteilt. Ändern sich die Zugriffsrechte eines Nutzers, passt der Administrator dies im zentralen Server an. Die IT-Datennetze nutzen deshalb für das Wireless LAN statt WPA-PSK den Security-­Mode WPA Enterprise. Bei diesem Verfahren handelt der WLAN Access Point die Verbindungsanfragen der Clients – beispielsweise eines Tablet-PC – über das Protokoll IEEE 802.1x mit einem nachgelagerten Radius-Server aus. Maschinennetze werden nicht von Netzwerkadministratoren betreut. Die einmal eingerichteten Nutzerrechte und Passwörter bleiben deshalb in der Regel über die gesamte Einsatzdauer der Maschine unverändert gültig. Vor diesem Hintergrund stellt die Implementierung von IT-Diensten – wie die Integration eines Radius-Servers in die Maschine – ebenfalls keine Lösung dar, weil sie nicht von einem Administrator gepflegt werden (Bild 3).

Die geschilderte Herausforderung lässt sich umgehen, indem die für das Datennetz zuständige Administrierung automatisiert und durch die Maschinensteuerung übernommen wird. Ein solcher Ansatz ist nicht nur kostenneutral und praktikabel, sondern ermöglicht dem Maschinenbauer darüber hinaus die volle Kontrolle und Flexibilität bei der Umsetzung. Wichtige Voraussetzung ist jedoch, dass das Netzwerkgerät – in diesem Fall der WLAN Access Point – eine Schnittstelle umfasst, über die es die Maschinensteuerung zur Laufzeit steuern kann. Deshalb hat Phoenix Contact ein Web-API-Interface in seine für den Maschinenbau entwickelten Datennetzkomponenten eingebaut. Einzelne Funktionen der Netzwerkgeräte lassen sich durch das Versenden von HTTP­-GET-Nachrichten zur Laufzeit steuern. Ferner kann das komplette Modul so einfach durch die Maschinensteuerung konfiguriert werden. Die Syntax der Kommandos entspricht dabei der des Standard Command Line Interface (CLI). Die Switches der Produktfamilie FL Switch 2000 sowie der WLAN Access Point der Baureihe WLAN 1100, die auf der Hannover Messe 2017 vorgestellt worden sind, verfügen über eine entsprechende Schnittstelle (Bild 4).

Konfigurierbarer IP-Filter schränkt den Zugriff auf Netzwerk-Geräte ein

Der Nutzer, der sich über seinen Tablet-PC mit dem Maschinennetz verbinden möchte, meldet seinen Zugangswunsch zum Beispiel über ein Bedienen- und-Beobachten-Terminal an. Die Steuerung generiert daraufhin ein zufälliges Einmal-Passwort. Anschließend konfiguriert und aktiviert sie einen virtuellen Access Point im WLAN 1100 per HTTP- GET-Nachricht. Das Einmal-Passwort zum WLAN-Netz wird dem Nutzer danach über das Bedienen-und-Beobachten-Terminal mitgeteilt. Als komfortablere Möglichkeit erweist sich die Ausgabe als QR-Code, der mit der Kamera des Tablet-PC eingelesen und womit automatisch die WLAN-Verbindung eingerichtet werden kann. Benötigt der Nutzer die Verbindung nicht mehr, deaktiviert die Steuerung den virtuellen Access Point. Die Kenntnis des WLAN-Passworts sowie die automatische Speicherung im Tablet-PC zeigen sich zukünftig also nicht mehr als Sicherheitsrisiko, weil beim nächsten Verbindungsaufbau ein neues Einmal-Passwort erstellt und verwendet wird.

Das WLAN 1100 bietet weitere Möglichkeiten für einen einfachen und trotzdem sicheren Zugang zum Maschinennetz. So lassen sich gleichzeitig bis zu zwei virtuelle Access Points mit individuellen WLAN-Sicherheitseinstellungen aufbauen. Neben einem einzigartigen WLAN-Passwort kann der Maschinenbetreiber die Anzahl der gleichzeitigen Verbindungen für jeden Zugang begrenzen sowie den Zugriff auf im Datennetz installierte Geräte durch einen konfigurierbaren IP-Filter einschränken. Auf diese Weise stellt er zum Beispiel einen vollständigen Netzwerkzugang für den Servicetechniker und gleichzeitig einen Zugriff für den Maschinenbediener bereit, der lediglich Einsicht in den Visualisierungsserver nehmen darf. Darüber hinaus vergibt ein Port-basierter DHCP-Server individuelle und unabhängige IP-Adressen für jeden virtuellen WLAN Access Point an die WLAN-Clients (Bild 5).

Durch die zunehmende Vernetzung der Maschine steigt auch die Anzahl der Nutzer, die Zugang zu den in ihrem Netzwerk verbauten Geräten haben müssen. Zu diesem Zweck ist ein Sicherheitskonzept für die Vergabe von Nutzerrechten und das Passwort-Management erforderlich. Im Gegensatz zu IT-Netzwerken kann die Maschinensteuerung die Administrierung der Passwörter und Nutzerrechte im Netzwerk automatisiert übernehmen. Allerdings müssen sich die Netzkomponenten zur Laufzeit aus der Maschinensteuerung über eine einfache Schnittstelle steuern lassen.

* Dipl. Ing. (FH) Jürgen Weczerek ist Manager im Produktmarketing Network Technology bei der Phoenix Contact Electronics GmbH in 31812 Bad Pyrmont

(ID:44989104)