Chih-Hong Lin, Moxa: "Cyber Security ist keine Option, sondern ein Muss."Moxa
Es existieren zwei typische Möglichkeiten Cyber Security innerhalb der Industrieautomatisierung umzusetzen: Secure Remote Access (SRA) und Critical Device Protection (CDP). Beim SRA handelt es sich um den sicheren Fernzugriff auf industrielle Anlagen. Beim Einsatz von Ethernet, insbesondere bei bestehenden Intranet/Internet-Netzwerken, ist es daher wichtig, dass die Datenübertragung verschlüsselt erfolgt, um kriminelle Angreifer davon abzuhalten, Datenpakete abzufangen. Ansonsten können Hacker solche Pakete dazu nutzen, die Netzwerktopologie und Befehlsstruktur zu interpretieren, um das Netzwerk dann nach ihren Wünschen zu steuern. Um einen ungewünschten Zugriff zu verhindern, können Anwender bidirektionale VPNs zwischen den Feldstationen und der Leitstelle einrichten. Diese müssen Verschlüsselungsstandards unterstützen, die nur schwer gehackt werden können, zum Beispiel DES (Data Encryption Standard) und AES (Advanced Encryption Standard) mit extremen Schlüsselgrößen. Es gibt zwar auch Möglichkeiten diese zu attackieren, jedoch erfordert das unpraktikabel viel Aufwand.
Industrielle Automatisierungsnetzwerke, die Ethernet nutzen, sind typischerweise störungsempfindlich für Verzögerungen. Jedoch können die eingesetzten Sicherheitsmaßnahmen nicht ganz ohne diese auskommen. Denn Funktionen wie VPN- oder Firewall-Dienste senken die Übertragungsgeschwindigkeit zwangsläufig, während sie Pakete überprüfen oder verschlüsseln und sie für die VPN-Übertragung einkapseln. Deshalb muss das gewählte System ausreichend Leistung erbringen, um die Sicherheitsfunktionen ohne merklichen Verlust von Netzwerkleistung ausführen zu können.
Alle Datenpakete belauschen
Ziel von CDP ist es, sensible, betriebskritische SPSen und Geräte vor unerwünschtem und zu hohem Datenverkehr zu schützen, da ihre Zuverlässigkeit dadurch bis hin zum Ausfall beeinträchtigt werden könnte. Ein Netzwerkplaner muss deshalb eine sogenannte Stateful-Inspection-Firewall zwischen den Netzwerk-Steuergeräten und der externen Anbindung einsetzen. Eine solche belauscht alle ein- und ausgehenden Datenpakete und lässt sie passieren – oder wirft sie raus. Die Firewall muss ferner in der Lage sein, bösartige Attacken abzuwehren, ohne die Netzwerkleistung zu mindern. Um dieses Leistungsniveau zu erreichen, muss der Planer Geräte für den Netzwerkzugriff einsetzen, die am Netzwerkrand sitzen und über eine Hardware-/Softwarekombination verfügen, die ausreichend Schnittstellenleistung bietet, um das Netzwerk bei geringer Latenz zu schützen. Da Automationsnetzwerke üblicherweise verschiedene Feldbusprotokolle einsetzen, muss die eingesetzte Firewall in der Lage sein, die Kommunikation jeweils auf die betreffende Schnittstelle zu beschränken.
Auf der SPS: Halle 9, Stand 221
(dl)
