Kommunikationsschnittstelle Security auf der Feldebene: Der Startschuss ist gefallen

Anbieter zum Thema

HMS Industrial Networks GmbH

Klinkhammer Intralogistics GmbH

Getac Technology GmbH

CMS Automatisme

Datenkommunikation auf der Feldebene ist nahezu gleichzusetzen mit Effizienz in der Produktion. Die Crux: Noch sind in der Automatisierung viele Kommunikationsschnittstellen ungeschützt. Inzwischen ist das Thema Sicherheit auch hier angekommen.

In den Prozessen der Herstellung, Verarbeitung und Verpackung herrscht reger Datenverkehr. In Maschinen greifen die Abläufe eng getaktet ineinander und sind teilweise auf Bruchteile von Sekunden aufeinander abgestimmt. Die Speicherprogrammierbaren Steuerungen (SPS) leiten an und geben die erforderlichen Daten über Ethernet-Verbindungen an die angeschlossenen Automatisierungsgeräte weiter: Schweißvorgänge, Roboterbewegungen, Dosiervorgänge, Transportgeschwindigkeiten, Verschraubvorgänge und vieles mehr werden so koordiniert. Die Anforderungen an die Datenkommunikation waren also schon immer hoch. Doch mit Einzug des Industrial Internet of Things (IIoT) und Industrie 4.0 kommen weitere hinzu. Robustheit und Sicherheit der Datenübertragung werden wichtiger. Zunehmend.

Flankiert wird dies von Kontrollprozessen, beispielsweise über Kameras, Sensoren und Waagen. Toleranzgrenzen werden geprüft, ein Überschreiten löst Aktionen wie einen Anlagenstopp oder das Ausschleusen eines Produkts aus. Weitere Datenkommunikation entsteht, wenn Maschinen Feedback in Form von Daten für die Qualitätssicherung zurückmelden: Welche Leistung wird aktuell erreicht und in welchem Zustand befindet sich die Anlage? Viele Maschinen und Anlagen werden für diesen Zweck direkt mit IT-Systemen oder einer Cloud verbunden. Über die Datenanalyse werden Prozessverbesserungen erzielt oder ungeplante Anlagenstillstände verhindert.

Zwei kritische Faktoren im Datenverkehr: Zeit und Sicherheit

Obwohl es heute oft noch keine großen Datenmengen sind, sind dabei zwei Dinge kritisch: Zunächst die zeitliche Komponente des Datenverkehrs, damit die Anlagengeschwindigkeit, die Präzision der Maschinenabläufe und -bewegungen eingehalten werden. Bereits kleinste Unterbrechungen im Datenfluss können einen Linien-Stopp nach sich ziehen. Eine hohe Anlagenverfügbarkeit setzt somit eine robuste Datenkommunikation voraus.

Der zweite Aspekt betrifft die Sicherheit des Datenverkehrs. Denn das verwendete Ethernet ist eine offene, unverschlüsselte Datenverbindung zu den Automatisierungsgeräten, deren Kommunikationsschnittstellen meist noch ungenügend geschützt sind. Damit besteht die Gefahr, dass Sicherheitsbedrohungen wie Attacken Schäden in der Produktionsinfrastruktur nach sich ziehen oder diese lahmlegen. Genauso sind unbeabsichtigte, intern verursachte Eingriffe zu beachten – beispielsweise durch eine falsche Software-Aktualisierung oder Parametrierung verursacht.

Hier ist Schutz wichtig und angebracht. Dabei erfährt die Datenkommunikation auf der Feldebene erst in jüngster Zeit verstärkt Aufmerksamkeit. Heute gehen erste Anlagenbetreiber, beispielsweise in der Automobil- und in der Pharmaindustrie, dazu über, Sicherheitsanforderungen, welche die horizontale Vernetzung betreffen, in Lastenheften zu formulieren.

Produktives Zusammenspiel: Alle Akteure müssen mitziehen

Die sichere und robuste Datenübertragung ist eine übergreifende Aufgabe. Alle Akteure müssen ihren Beitrag leisten. Anlagenbetreiber genauso wie Maschinenbauer und Hersteller von Automatisierungsgeräten. Auch wenn die Normen und Spezifikationen für die entsprechenden Sicherheitskonzepte noch nicht bis ins letzte Detail ausformuliert sind, kann schon viel getan werden, um die Kommunikationsschnittstelle in Automatisierungsgeräten robuster zu machen. Denn der Startschuss für Sicherheit auf der Feldebene ist längst gefallen. HMS Networks, Spezialist für industrielle Kommunikationslösungen, hat sich des Themas schon angenommen. Die einbaufertigen Kommunikationsschnittstellen der Produktfamilie Anybus Compactcom sorgen für eine robuste und sichere Datenkommunikation zwischen den einzelnen Automatisierungsgeräten und der SPS. Die Schnittstellen gibt es für alle etablierten Feldbus- und Industrial-Ethernet-Netzwerke und sind für Gerätehersteller eine interessante Alternative zur Eigenentwicklung einer Kommunikationsschnittstelle. Um ihre Robustheit zu gewährleisten, führt HMS beispielsweise in den eigenen Entwicklungslaboren Produkttests mit der Testplattform Achilles durch, um die Schnittstellen so auf eine harte Probe zu stellen.

Doch bevor die Eigenschaften dieser Schnittstelle noch genauer unter die Lupe genommen werden sollen, lohnt sich noch ein Blick auf den Stand der Technik und die Sicherheitsstrategie, wie sie HMS verfolgt.

Nutzerorganisationen bereiten die Basis

HMS möchte das Thema Sicherheit in Automatisierungsgeräten weiter vorantreiben und arbeitet eng mit verschiedenen Nutzerorganisationen zusammen, die Standards für ihre Netzwerke definieren. Verschiedene Ergebnisse sind inzwischen sichtbar. So hat die Modbus Organisation 2018 eine Modbus Security Erweiterung publiziert, um die Kommunikation zu verschlüsseln. Die ODVA hat die Ethernet/IP-Kommunikation 2015 um die CIP Security erweitert. Die Spezifikation wird ständig verbessert, um die Implementierung dieser Sicherheitsprozesse für die Anwender einfacher zu machen. Auch bei der Profibus Nutzerorganisation (PNO) ist das Thema Security heute stark im Fokus, und die PNO hat 2020 eine erste Sicherheitsklasse (Security Class) vorgestellt, die diese Schnittstellenrobustheit garantiert. Diese Standardisierungen wurden in der neuesten Version um weiteren Sicherheitsklassen für die Authentifizierung der Verbindung sowie die Verschlüsselung der Kommunikation ergänzt.

Anforderungen an die Sicherheit in industriellen Applikationen sind in der Normenreihe IEC62443 festgehalten, die den Rahmen für Sicherheitsimplementierungen bildet. Defense in Depth („Verteidigung in der Tiefe“) ist das Grundprinzip dieser Norm. Gefährdungslagen für industrielle Systeme werden definiert, um auf deren Basis Sicherheitsanforderungen für Anlagen, Maschinen und Automatisierungsgeräte abzuleiten. Denn eine zunächst sichere Kommunikationsschnittstelle ist nutzlos, wenn Unbefugte vertrauliche Gerätezertifikate lesen oder diese durch Manipulation der Firmware austauschen können. Die IEC62443-4-1 und -2 legen hier einen Rahmen fest, wie Komponentenhersteller bei einer sicheren Implementierung vorgehen müssen.

HMS hat die Erfahrung gemacht, dass führende Steuerungshersteller schon jetzt viel Wert auf die Einhaltung dieser Norm legen, gerade auch im Hinblick auf die interne Organisation von Entwicklungsprozessen. Ein Pluspunkt für viele Kunde ist daher, dass HMS diese Sicherheitsverfahren bereits in seine Entwicklungsprozesse integriert hat, um Geräte sicher gegen Fremdangriffe zu schützen. „Security by Design“ ist hier das Stichwort.

Mit hoher Sicherheit und einbaufertig: die Schnittstelle

Doch was zeichnet nun Anybus Compactcom, eine Produktfamilie einbaufertiger Kommunikationsschnittstellen im Detail aus? In der Standardausführung bieten sie Herstellern von Automatisierungsgeräten die Anbindung ihrer Geräte an mehrere industrielle Netzwerke in nur einem Entwicklungsprojekt und reduzieren so den Entwicklungsaufwand für die Hersteller deutlich. Jüngstes Mitglied der Produktfamilie ist das Anybus Compactcom IIoT Secure. Im IIoT-Secure-Modul sind modernste Sicherheitsfunktionen implementiert. Vertrauliche Daten wie zum Beispiel private Schlüssel zur Geräteauthentifizierung werden auf einem dedizierten Sicherheits-Chip gespeichert. Beim sicheren Booten wird außerdem geprüft und sichergestellt, dass nur signierte Software von HMS verwendet wird. Dies beinhaltet auch eine sichere Verwaltung der Zertifikate, die für die verschlüsselte Kommunikation verwendet werden.

Mit Anybus Compactcom IIoT Secure sind nun einbaufertige industrielle Kommunikationsschnittstellen verfügbar, welche die aktuellen Anforderungen adressieren, dabei die Sicherheit auf ein neues Level heben und die Datenkommunikation robust gestalten. Diese Kommunikationsschnittstellen sind für Automatisierungsgeräte verfügbar, die über Industrial Ethernet (Profinet oder Ethernet/IP) kommunizieren. Somit können die unterschiedlichsten Automatisierungsgeräte der horizontalen Ebene auf hohem Sicherheitsniveau eingebunden werden. Da die Schnittstelle Anybus Compactcom IIoT Secure gleichzeitig über OPC UA und MQTT eine verschlüsselte Datenanbindung erlaubt, können Daten der Feldebene über diesen Kommunikationskanal sicher an übergeordnete IT-Systeme übertragen werden.

Als Technologiepartner begleitet HMS Hersteller von Automatisierungsgeräten aktiv dabei, die neuesten Sicherheitsstandards umzusetzen. Diese müssen somit nicht über eigene Sicherheitskompetenzen auf diesem komplexen, dynamischen Gebiet verfügen, um ein hohes Security-Niveau in ihren Geräten zu erreichen. Doch gerade in einem Bereich, in dem das Thema Sicherheit für viele noch in den Startlöchern steckt, kann diese Ready-to-use-Security für die Hersteller von Automatisierungsgeräten ein Wettbewerbsvorteil sein, der vom Maschinenbau und den Anlagenbetreibern angerechnet wird. Denn die Effizienz der Digitalisierungslösungen steht nicht infrage. Sie muss jedoch bis in die Feldebene sicher umgesetzt werden.

* Thierry Bieber, Industry Segment Manager bei HMS Industrial Networks in Karlsruhe

(ID:48624286)