Sie sind hier: Home >> Anwendungen >>Fabrikautomatisierung

Trend: Cyber Security in der Industrieautomatisierung

Bereich Fabrikautomatisierung
Ähnliche Produkte
Zusammenfassung Das Thema Cyber Security in der Industrieautomatisierung wurde in der Vergangenheit zwar immer wieder diskutiert, aber bisher in den meisten Anlagen noch nicht umgesetzt. Die Gründe dafür sind fehlende Budgets, Ressourcen und das nötige Wissen. Seit Viren wie Stuxnet oder neuerdings Flame gezielt industrielle Anlagen wie z. B. Atomkraftwerke oder Wasserpumpenstationen angreifen und für Schlagzeilen sorgen, ist sehr deutlich geworden, wie gravierend und erschreckend die Folgen sein können, wenn man die Cyber Security vernachlässigt. Daher ist Cyber Security zum aktuell viel diskutierten, unabdingbaren Thema für die Industrieautomatisierung geworden.
Kontaktieren Sie Moxa

Um betriebskritische industrielle Anlagen vor unbefugten Zugriffen zu schützen, werden in der Regel Firewalls eingesetzt. Allerdings gibt es wesentliche inhaltliche Unterschiede beim Thema Cyber Security im IT Umfeld und in der Automatisierung. Zum Einen kommt die Gefahr für industrielle Anlagen selten direkt aus dem vielbeschworenen, gefährlichen Internet, sondern viel häufiger aus dem Unternehmensinneren. Studien zeigen, dass 83 % aller Angriffe aus einem Intranet kommen, nicht über externe Internetverbindungen. Zum Anderen sind SPSen und Bedienterminals nicht darauf ausgelegt, herkömmliche Schutzmechanismen wie Firewalls und Anti-Virus-Schutzsoftware zu unterstützen, die in IT-Netzwerken zum Einsatz kommen.

Des Weiteren werden die Datenpakete in der Automatisierung nicht wie im IT-Umfeld von großen Datenmengen wie Web-, E-Mail-, Video-, und Datei-Downloads bestimmt, sonder von viel kleineren Frames für die Systemsteuerung und von industriellen Protokollen wie ModbusTCP, EtherNET/IP, oder ProfiNET. Daher soll bei der Auswahl von Firewalls für die Automatisierung nicht auf die handelsüblichen IT-Produkte, sondern auf speziell für industrielle Anwendungen konzipierte Geräte zurückgegriffen werden.

Zwei typische Anwendungsfälle werden oft in der Industrieautomatisierung beobachtet: Secure Remote Access (SRA) und Critical Device Protection (CDP).

Secure Remote Access (SRA)
Beim SRA handelt es sich um den sicheren Fernzugriff auf industrielle Anlagen. Beim Einsatz von Ethernet, insbesondere bei bestehenden Intranet/Internet-Netzwerken, ist es daher wichtig, dass die Datenübertragung verschlüsselt erfolgt, um kriminelle Angreifer davon abzuhalten, Datenpakete abzufangen. Hacker können solche Pakete dazu nutzen, die Netzwerktopologie und Befehlsstruktur zu interpretieren, um das Netzwerk dann nach ihren Wünschen zu steuern. Um einen ungewünschten Zugriff zu verhindern, können bidirektionale VPNs zwischen den Feldstationen und der Leitstelle eingerichtet werden.  Diese müssen Verschlüsselungsstandards unterstützen, die nur sehr schwer gehackt werden können, z.B. DES (Data Encryption Standard) und AES (Advanced Encryption Standard) mit extremen Schlüsselgrößen. Es gibt zwar auch Möglichkeiten diese zu attackieren, jedoch erfordert das unpraktikabel viel Aufwand.
Industrielle Automatisierungsnetzwerke, die Ethernet nutzen, sind typischerweise störungsempfindlich für Verzögerungen. Jedoch können die Sicherheitsmaßnahmen, die im Netzwerk eingesetzt werden, nicht ganz ohne Verzögerungen auskommen. Funktionen wie VPN- oder Firewall-Dienste rufen eine geringe Übergangsverzögerung hervor, während sie Pakete überprüfen oder verschlüsseln und sie für die VPN-Übertragung einkapseln. Deshalb muss das gewählte System ausreichend Leistung erbringen, um die Sicherheitsfunktionen ohne merklichen Verlust von Netzwerkleistung ausführen zu können.

Critical Device Protection (CDP)
Ziel von CDP ist es, sensible, betriebskritische SPSen und Geräte vor unerwünschtem und großem Datenverkehr zu schützen, da ihre Zuverlässigkeit dadurch bis hin zum Ausfall beeinträchtigt werden könnte. Ein Netzwerkplaner muss deshalb eine Stateful-Inspection-Firewall zwischen den Netzwerk-Steuergeräten und der externen Anbindung einsetzen. Eine solche Firewall belauscht alle ein- und ausgehenden Datenpakete und lässt sie passieren - oder wirft sie raus. Die Firewall muss ferner in der Lage sein, bösartige Attacken abzuwehren, ohne die Netzwerkleistung zu mindern. Um dieses Leistungsniveau zu erreichen, muss der Netzwerkplaner Geräte für den Netzwerkzugriff einsetzen, die am Netzwerkrand sitzen und über eine Hardware-/Softwarekombination verfügen, die ausreichend Schnittstellenleistung bietet, um das Netzwerk bei geringer Latenz zu schützen. Da Automationsnetzwerke üblicherweise verschiedene Feldbusprotokolle einsetzen, muss die eingesetzte Firewall in der Lage sein, die Kommunikation mit den Netzwerken jeweils auf die betreffende Schnittstelle zu beschränken. Eine Firewall mit Feldbus-Einstellungen ermöglicht dies auf einfache Art und Weise.

Moxa bietet industrielle Cyber Security Produkte wie die Industrial Secure Router  EDR-G902 und EDR-G903 an, die VPN-, Firewall-  und NAT-Funktionen in einem Gerät besitzen und mit hoher Leistungsfähigkeit die Anforderungen und Herausforderungen in der Industrieautomatisierung bewältigen. EDR-G903 verfügt außerdem über zwei redundante WAN (Wide Area Network)-Verbindungen, die die Wahrscheinlichkeit eines Verbindungsverlusts zwischen dem LAN in der Leitstelle und den LANs der Anlagen verringern können. Durch die richtige Auswahl von Technologien und Geräten können der Aufwand und die Kosten für die Gewährleistung der Sicherheit in der Industrieautomatisierung optimiert werden.y/p>

Cyber Security ist keine Option, sondern ein Muss!


© 2017 Moxa Inc. All rights reserved.