Sichere Automation

Olaf Siemens

Nach einer aktuellen Studie der PA Consulting Group, einer führenden internationalen Management-, System- und Technologieberatung, kamen 49 % der Viren und Würmer, die Automatisierungsanlagen befielen, über das interne Unternehmensnetzwerk. Seit 2001 nehmen jedoch auch von außen geführte Attacken deutlich zu. Nach Ansicht der Berater rückt die Prozessautomatisierung verstärkt in den Blick von Hackern. Bereits 13 % der Sicherheitsvorfälle in diesem Umfeld von 2002 bis 2005 können als Sabotage klassifiziert werden. Der durchschnittliche Schaden der Sicherheitsvorfälle, die die PA Consulting Group untersucht hat, lag bereits bei 1,5 Mio. Euro pro Vorfall. Zahlen wie diese belegen, dass vernetzte Fertigungssysteme vor Schadeinwirkungen von außen und von innerhalb des Netzwerks geschützt werden müssen. Wegen der drohenden Gefahren auf die Möglichkeiten von TCP/IP beziehungsweise des Internets zu verzichten, wäre aber grundfalsch.

Bereits heute ermöglicht die Vernetzung aller Unternehmensbereiche Prozessanwendern den direkten Zugriff auf Produktionsdaten, die Optimierung von Prozessen und ein verbessertes Supply-Chain-Management. Die Ferndiagnose und beispielsweise die Übertragung von Videobildern von wichtigen Prozessschritten in Kontrollzentralen erhöhen die Sicherheit und die Verfügbarkeit der Gesamtsysteme. Eine durchgängige Kommunikation und die zunehmende Vernetzung der Prozess- und Unternehmensleitebene können Prozesse enorm beschleunigen und deren Effizienz steigern. Ein weiterer, nicht zu unterschätzender Vorteil der Einführung offener Standards ist die Möglichkeit einer Fernwartung der Anlagen durch die Hersteller der Automatisierungssysteme. Möglich wird diese neben der Verbreitung von TCP/IP auch durch die zunehmende Nutzung so genannter „Commercial-off-the-shelf-Systeme“ (COTS) wie Microsoft Windows und anderer Produkte aus der klassischen IT.

Bei all diesen neuen Möglichkeiten kommt das Thema Security oft zu kurz. Industrielle Anwender ignorieren oft die Gefahren, die die durchgehende Vernetzung über das Internet oder das Intranet mit sich bringt. Und dies, obwohl die Sicherheitsrisiken größtenteils wohl bekannt und in vielen Fällen offensichtlich sind. Vor allem die Gefahr der Einschleppung von Würmern und Viren beispielsweise über eine Fernwartungsanwendung spielt hier eine wichtige Rolle. Hacker, Viren und Würmer verursachen in chemischen Produktionsanlagen nicht nur Vermögensschäden. Ausfälle von Kontroll-, Steuerungs- oder Fertigungssystemen in der Chemie können auch Mensch und Umwelt gefährden. Bereits heute sind Fälle bekannt, in denen Schadprogramme die Notabschaltung von Kraftwerken blockiert oder die Steuerung von Pipelines beeinflusst haben.

Die Tatsache, dass Windows mittlerweile einen immer größeren Marktanteil im Bereich der Automatisierungstechnik erringt, verschärft die Problematik zusätzlich. Um auf neu entdeckte Verwundbarkeiten von Windows zu reagieren, werden im Bürofeld regelmäßig Sicherheitspatches auf den Systemen installiert. Bei Automatisierungsanwendungen ist diese Art der Fehlerbehebung nicht möglich. Vielfältige Abhängigkeiten zwischen der Version des Betriebssystems und der Automatisierungssoftware – die in vielen Fällen außerdem externen Zertifizierungen und Zulassungen unterliegt – machen regelmäßiges Patchen unpraktikabel. Zertifizierte Software, wie sie im Pharma- oder Chemieumfeld in vielen Fällen verlangt wird, darf nicht verändert werden oder bedarf einer erneuten Abnahme. Gefragt sind Sicherheitslösungen, die speziell für die Anforderungen der Industrie entwickelt wurden.

Mittlerweile gibt es einige industrielle Security Appliances, die den Datenverkehr auch in den geschilderten Situationen absichern. Die Security Appliance mGuard industrial von Innominate zum Beispiel kombiniert erstmalig umfassende Sicherheitstechnologien wie die Trennung von erwünschtem und nicht erwünschtem Datenverkehr (Firewall), die sichere und vertrauliche Kommunikation über Virtual Private Network-Verbindungen (VPN) und Virenschutz mit einer besonderen Tauglichkeit für industrielle Anwendungen. Letztere wird in der Erfüllung relevanter Industriestandards, der Hutschienenmontage und der einfachen Bedienbarkeit deutlich.

mGuards berühren die Software der einzelnen Anlagen nicht. Durch den patentierten Stealth Mode lassen sie sich in ein bestehendes Netzwerk einzufügen, ohne dass die Netzwerkeinstellungen oder die Netzwerktopologie geändert werden müssen. Indem die mGuards vor Maschinen oder Gerätegruppen geschaltet werden und deren IP-Adresse übernehmen, werden sie für die Systeme – aber auch für Angreifer von außen – unsichtbar.

Sind entsprechende Sicherheitsstrukturen installiert, können bedenkenlos einzelne Systeme über DSL direkt an Fernwartungs- und Fernwirkanwendungen angeschlossen, oder Automatisierungsgeräte in einem größeren Netz durch einen sicheren Tunnel über das Intranet erreicht werden. Wartungstechniker können nun über das Internet die Fernwartung eines Systems bei einem Kunden durchführen, ohne dass die Gefahr der Ausspähung, des Angriffs oder des Missbrauchs besteht. Die sichere Datenübertragung kann über die gebräuchlichen Standards IPsec oder über das speziell für die Fernwartung entwickelte Protokoll SSH realisiert werden.

Das GPRS-Modem Tainy von Dr. Neuhaus Telekommunikation kombiniert die Nutzung vom Paketdatenfunk mittels GPRS mit den Security-Funktionen von Innominate in einem industriellen Gerät für die Hutschiene. Damit lassen sich Telematik-Anwendungen über GPRS realisieren, ohne Kompromisse an der Security machen zu müssen. Die gute Netzabdeckung und die günstigen Tarife machen GPRS dabei nicht nur zum Ersatz für Punkt-zu-Punkt-Verbindungen, sondern in vielen Fällen auch zu einer interessanten Alternative zu leitungsgebundener Kommunikation.

Das Internet und das TCP/IP-Protokoll öffnen die ehemaligen IT-Inseln der Fertigung und Automatisierung der unternehmensweiten Kommunikation. Geringere Kosten für Standardkomponenten und für den Datenaustausch werden den Siegeszug der Standards auch in der Automatisierung weiter vorantreiben. Gleichzeitig mit der Einführung der neuen Übertragungstechnologien sollten Unternehmen ihre Sicherheitsstrategien überprüfen und an die neuen Anforderungen anpassen. Nur so lässt sich das Potenzial vernetzter Systeme gefahrlos nutzen.

cav 457

Direkt zu Innominate

Mehr zum GPRS-Modem Tainy