Schiffe müssen nicht nur den Unbilden der Natur standhalten, sondern auch den technischen Gefahren der Vernetzung.

Schiffe müssen nicht nur den Unbilden der Natur standhalten, sondern auch den technischen Gefahren der Vernetzung.Lassedesignen – Fotolia.com

Schiffssysteme stärker vor unbefugten Zugriffen abzusichern ist nötig, weil  die aus Office-Netzwerken bekannten Viren auch hier auftreten können. Denn meist ist im Schiff ein Ethernet-Backbone vorhanden, über den die üblichen Bürotätigkeiten wie Telefon, Fax und E-Mail laufen. Darüber hinaus nutzt die Schiffsbesatzung Dienste wie FTP (File Transfer Protocol) und andere Ethernet-Services, die oft Ziel von Hacker-Aktivitäten sind. Das Alarming und Monitoring der Schiffsanlagen läuft häufig ebenfalls über den Ethernet-Backbone in das Netzwerk. Es muss daher besonders vor Schadhandlungen geschützt werden. Um die Gefahr möglicher Störungen oder Ausfälle durch fehlerhafte oder unbefugte Zugriffe sowie Schad-Software zu verringern, müssen Schiffseigner zusätzliche Sicherheitsmaßnahmen ergreifen.

Dezentrale Sicherheitsarchitektur mit Firewalls

Eine passende Sicherheitsarchitektur muss die Schiffsanlagen sowohl gegen unerwünschte interne und externe Zugriffe absichern als auch verhindern, dass eingedrungene Schädlinge sich weiter ausbreiten. Hier bietet sich eine Trennung des Office- und Anlagennetzwerks durch eine umfangreiche Firewall sowie eine tief gestaffelte Sicherheitsarchitektur (Defense in Depth) an, mit der sich auch Einzelsysteme schützen lassen. Dabei kommt der Filterung und Kontrolle des Netzwerkverkehrs durch Firewalls eine entscheidende Bedeutung zu.

Die in den Router integrierte intelligente Firewall schützt das Automatisierungssystem vor nicht autorisierten Zugriffen von außen.

Die in den Router integrierte intelligente Firewall schützt das Automatisierungssystem vor nicht autorisierten Zugriffen von außen.Phoenix Contact

Für eine solche dezentrale Architektur mit Firewalls sprechen die besser zu organisierende verteilte Absicherung, die größere Flexibilität bei einem industrietypischen Netzwerk-Design sowie geringere Investitions- und Betriebskosten. Eine Segmentierung des Netzwerks durch Vlan-fähige Switches in unabhängige logische Teileinheiten eignet sich jedoch nur bedingt, weil Virtual Local Area Networks (Vlan) aus Sicherheitssicht schlecht zu kontrollieren sind. Der Schutz des Alarming- und Monitoring-Systems spielt bei der Sicherheitsarchitektur eine besondere Rolle. Denn die Lösung wird auf allen Schiffstypen installiert und deckt den gesamten Bereich von Basis-Alarmsystemen für unbemannte Maschineneinheiten bis zu voll integrierten Automatisierungssystemen für Maschinen, Antriebe und die Frachtabfertigung ab.

Hohe Sicherheit durch Paketfilter und Verschlüsselung

Mit dem FL MGuard GT/GT VPN stellt Phoenix Contact eine Hardware-basierte Sicherheitsanwendung zur Verfügung, um Automatisierungssysteme zu schützen. Die Sicherheitslösung unterstützt Gigabit-Übertragung sowohl für die Kupfer- als auch für Lichtwellenleiter-Verkabelung und ermöglicht es, das interne sichere Prozessnetzwerk performant und flexibel an das überlagerte unsichere Schiffsnetzwerk anzubinden. Die eingebaute Firewall schützt das Automatisierungssystem vor nicht autorisierten Zugriffen von außen. Dazu untersucht der dynamische Paketfilter die Datenpakete anhand der Ursprungs- und Zieladresse. Unerwünschter Datenverkehr wird blockiert. Außerdem protokolliert die Sicherheitsanwendung jeden Zugriff über die Firewall im Arbeitsspeicher oder auf einem Log-File-Server. So lassen sich die Zugriffe auch zu einem späteren Zeitpunkt analysieren.

 Der Konfigurationsspeicher stellt die unterschiedlichen Konfigurationen bereit.

Der Konfigurationsspeicher stellt die unterschiedlichen Konfigurationen bereit.Phoenix Contact

Ein Konfigurationsspeicher senkt den Installations- und Konfigurationsaufwand. Im Fall einer Neukonfiguration liefert der Speicher während des Neustarts automatisch die benötigten Daten. Der für den Einsatz in rauer Industrieumgebung konzipierte FL MGuard GT/GT VPN schafft zudem einen Datendurchsatz von bis zu 200 MBit/s. Der VPN-Router ermöglicht eine sichere Datenübertragung. Um das Abhören sensibler Informationen durch unbefugte Dritte auf dem Übertragungsweg zu unterbinden, werden die Daten nach dem IPsec-Standard in Hardware mit DES (56 Bit), 3DES (168 Bit) oder AES (128/192/256 Bit) verschlüsselt.