Der Firmenausweis erhält unter Security Aspekten eine neue Bedeutung im Umgang mit industriellen Anlagen.

Der Firmenausweis erhält unter Security Aspekten eine neue Bedeutung im Umgang mit industriellen Anlagen. (Bild: Siemens)

Auf die Schnelle

Das Wesentliche in 20 Sekunden:

● Erhöhte Security-Anforderungen in allen Bereichen der Automatisierung steigen zunehmend.

● Die industrielle Cybersecurity wird nach der Normenreihe IEC 62443 in drei Gruppen unterteilt: Anlagensicherheit, Netzwerksicherheit und Systemintegrität.

● Ein RFID-basierter Firmenausweis gibt jedem Mitarbeiter alle Legitimationen innerhalb eines Unternehmens.

● Ein Access Control System ermöglicht einen einfachen Einstieg in die komplexen Mechanismen von Security und Authentifizierung.

Den Schutz einer industriellen Anlage mit einem Zaun auf der Grundstücksgrenze gibt es schon seit Industrie 1.0. Zu jener Zeit gab es an jedem Eingangstor einen Pförtner zur Kontrolle der Mitarbeiter und einen Vorarbeiter zur Überprüfung von Arbeitsleistung und Qualität. Das hat sich in Zeiten von Industrie 4.0 geändert. Die pförtnerbesetzten Eingangstore wurden durch automatische Drehtüren ersetzt und für die Arbeitsleistung und Qualität sind automatische und komplexe Maschinen zuständig, die an IP-basierte Netzwerke angeschlossen sind.

Die Anforderungen an die Art und Weise, wie industrielle Anlagen geschützt werden müssen, hat sich also gewandelt. Hierzu wurde die Normenreihe IEC 62443 erstellt, welche die industrielle Cybersecurity in drei Gruppen unterteilt: Anlagensicherheit, Netzwerksicherheit und Systemintegrität. Das Access-Control-System Simatic RF1000 kann hierbei gewinnbringend in diesem komplexen Umfeld eingesetzt werden.

 

Was machen wir im privaten Umfeld mit Security?

Die Eingabe einer PIN (persönliche Identifikationsnummer) ist bereits Alltag für uns, ob SIM-Karte, Online-Kundenkonto oder der Zugang zum WLAN-Netz. Die Vielzahl der zu vergebenden Passwörter macht es uns dabei immer schwieriger sich diese zu merken, weil diese nach immer komplizierter werdenden Regeln erstellt werden müssen. Auch die sogenannte Two-Factor-Authentication (2FA) ist in sicherheitsrelevanten Bereichen Alltag. Das Anpassen an noch strengere Security-Regeln wird dort regelmäßig vorgegeben und zwingt zum Handeln. So wird von Banken das bisher sichere HBCI-Verfahren (Homebanking Computer Interface) durch ein noch sichereres chipTAN Verfahren ersetzt. Das zeigt, dass jedermann im persönlichen Umfeld dem Thema Cybersecurity mit immer neuen Methoden begegnet.

Gemäß IEC 62443 wird die Security in Anlagen in drei gleichberechtigte Ebenen aufgeteilt.
Gemäß IEC 62443 wird die Security in Anlagen in drei gleichberechtigte Ebenen aufgeteilt. (Bild: Siemens)

Benutzerfreundlichkeit und Sicherheit ist möglich

Mit dem RFID-basierten Firmenausweis verfügt jeder Mitarbeiter bereits über die notwendige Grundlage für alle Legitimationen innerhalb des Unternehmens. Damit hinterlegt dieser bei allen Tätigkeiten seine Signatur, indem er den Mitarbeiterausweis vor ein Lesegerät hält. Der Firmenausweis erhält unter Security Aspekten somit eine neue Bedeutung im Umgang mit industriellen Anlagen. Jede Tätigkeit kann sofort und eindeutig einer bestimmten Person zugeordnet werden. Besonders wichtig ist dies in der Prozesstechnik sowie im Bereich Nahrungs- und Genussmittel und der Pharma-Industrie, denn hier muss jeder Prozessschritt dokumentiert werden. Nur so können Fehler, die innerhalb der Produktionskette oder einer Charge ihren Ursprung haben, eindeutig und schnell zurückverfolgt werden, um potenzielle Schäden zu begrenzen.

Das Access Control System ermöglicht einen einfachen Einstieg in die komplexen Mechanismen von Security und Authentifizierung. So kann ein Maschinenhersteller, der nur seine Maschine kennt, eine Security Implementierung in seine Maschinensteuerung starten, selbst wenn die Security-Vorgaben beim Endkunden noch nicht genau bekannt sind. Zu Beginn eines neuen Projektes ist nur wichtig zu wissen, dass jeder Mitarbeiter mit seinem RFID-basierten Ausweis eine öffentliche Nummer besitzt, die sogenannte UID (Unique Identifier). Sie wird bei der Herstellung der RFID-Chips fest einprogrammiert und ist unveränderbar. Die Steuerungsprogrammierer können nun für bestimmte UID-Nummern entsprechende Bedienmöglichkeiten definieren und diese auf der Steuerung hinterlegen.

Noch einfacher geht es, wenn nur aufgezeichnet werden soll, wer welchen Arbeits- oder Bedienvorgang vorgenommen hat. In diesem Fall werden die auf der Karte gespeicherten UIDs zusammen mit einem Datumsstempel in eine fortlaufende Liste oder Tabelle geschrieben und gespeichert. Die Liste kann immer dann gelöscht werden, wenn die Aufbewahrungsfrist abgelaufen ist. Personenbezogenen Daten sind dort nicht enthalten, sodass die Erfassung der UIDs normalerweise kein Problem darstellt.

Typische Anlage mit einem Zugriffschutz.
Typische Anlage mit einem Zugriffschutz. (Bild: Siemens)

Die UID als Erkennungskriterium

Die UID wird vom Chiphersteller unveränderbar programmiert und kann daher als einzigartig und sicher in Bezug auf die verwendete Karte gelten. Allerdings lässt sich mit allgemein zugänglichen Methoden eine UID emulieren. So könnte jemand, mit einem Mobile-Phone und dem entsprechenden Wissen, eine UID klonen und sich damit einen unberechtigten Zugang verschaffen. Das Risiko einer Absicherung von Anlagenbereichen und Maschinen per UID muss deshalb vorher betrachtet werden. Eine sichere Methode gegen solche Fälschungen ist die Hinterlegung der Daten auf dem Transponder mit einem Zugriffsschlüssel. Transponder auf der Basis von Mifare Desfire RFID-Chips bieten hierzu State-of-the-Art Mechanismen. Die Mitarbeiterausweise vieler Firmen unterliegen bereits diesem Standard.

Hat ein Anlagenbauer bereits die Nutzung der UID als Zugangsmerkmal implementiert und möchte die Anlage unter Nutzung verschlüsselter IDs (Personalnummer) sicher machen, geht das ganz einfach mit dem Access Control System von Siemens. Die Reader des Systems benötigen nur eine neue Konfiguration, die mit Hilfe einer Konfigurationskarte aufgebracht wird. Fortan liefert der Reader anstelle der UID, die vorher auf der Karte verschlüsselt gespeicherte ID als Credential. Die Software der Anlage muss dafür nicht verändert werden. Alle sicherheitsrelevanten Merkmale des Transponders sind ausschließlich im Reader implementiert und werden dort abgearbeitet. Bis zu diesem Sicherheitslevel wird in einer Maschine keine Verbindung zu einem Netzwerk benötigt. Diese Sicherheitsmerkmale können somit einfach auch in bestehenden Anlagen und Maschinen nachgerüstet werden.

Verschiedene Stufen von Security durch Verwendung eines Access Control Systems.
Verschiedene Stufen von Security durch Verwendung eines Access Control Systems. (Bild: Siemens)

Zentrales Zugriffsmanagement notwendig

In modernen Anlagen sieht das jedoch anders aus. So bringen diese bereits eine Anbindung an ein Netzwerk mit. Neben Fehlbedienung der Maschine muss diese nun auch gegen Cyber-Angriffe von außen geschützt werden. Ein mögliches Einfallstor für solche Angriffe ist das Web-Based-Management (WBM), das mittlerweile in nahezu allen in einem Netzwerk betriebenen Steuerungen und Geräten eingebaut ist.

Das WBM wird üblicherweise mit einem Passwort geschützt. Dieses ist entweder einfach gehalten, um es sich leicht zu merken, bietet dann aber gegen Cyber-Angriffe nahezu keinen Schutz. Oder aber, das Passwort ist lang, kompliziert und hängt deshalb beispielsweise auf einem Post-it notiert an Monitor oder Steuerung. Hinzu kommt, dass die fehlerfreie Eingabe solcher Passwörter höchste Konzentration erfordert und äußerst unbequem in der Handhabung ist.

In solchen Anlagen wird man stets eine integrierte Cybersecurity-Lösung anstreben, die firmenweit angewendet werden kann. Die sichere Identifizierung von Personen wird dabei wichtiger denn je. Hier wird das zentrale Management aller Personen einer Entität vorausgesetzt. Es existiert ein Active Directory (AD), in welchem alle personenbezogenen Daten und deren Rechte hinterlegt sind. Nur mit einem zentralen AD können neue Mitarbeiter sofort alle Zugänge zu Maschinen und Anlagen erhalten, die für sie wichtig sind. Genauso werden zentral sofort alle Zugänge bzw. Berechtigungen gesperrt, wenn ein Mitarbeiter ein Unternehmen verlässt. Alle Anlagen, Maschinen und Geräte benötigen somit einen direkten Zugang zum AD, damit ein personenbezogener Vorgang verifiziert und freigeschaltet werden kann. Das tangiert den Anlagenbauer aber fast nicht, da es verschiedene Programme gibt, mit welchen eine Anlage an die Sicherheitsbedürfnisse des Kunden mit kalkulierbaren Mitteln angepasst werden kann.

Siemens bietet hier für die Automatisierungstechnik diverse Tools, wie PM-Logon, Simatic Logon oder UMC (User Management Component), welche den Dialog mit dem AD abwickeln. Für den Anlagenprogrammierer bleibt deshalb auch in diesem Umfeld die Aufgabe überschaubar. Via RFID Reader wird der vorgegebene Berechtigungsnachweis (Credential) vom Ausweis ausgelesen und an PM-Logon weitergegeben. PM-Logon liefert dann die Berechtigungsstufe an die Applikation zurück. Da PM-Logon in einer maschinennahen Umgebung aufgesetzt ist, geschieht die Freigabe innerhalb kurzer Zeit, was in einer Automatisierungsumgebung stets wichtig ist.

Was ist, wenn verschiedene Typen von RFID Ausweisen für einen Zugang verwendet werden sollen? Das ist der Fall, wenn zusätzlich zum Bedienpersonal auch noch Servicetechniker der Herstellerfirma Zugang zur Maschine benötigen. Oder wenn ein Konzern die Mitarbeiterausweise auf eine andere Technologie umstellt. Das ist oftmals bei Konzernen anzutreffen, die schon früh RFID-basierte Ausweise mit 125 kHz oder Legic Prime Technologie eingeführt hatten und nun den Sicherheitsstandard des Mitarbeiterausweises anpassen. Hier muss ein RFID-Reader imstande sein, parallel unterschiedliche Kartentypen zu lesen. Mit einem Reader der Simatic RF1000-Familie werden deshalb parallel viele Kartentypen und Protokolle unterstützt (ISO 15693, ISO 14443, Mifare, Legic, Hitag, EM4xxx). Der Anlagenhersteller muss davon keine Kenntnis haben, denn das managt der Reader selbst.

 

Industrial Security in angepassten Schritten

Mit dem Access Control System Simatic RF1000 kann ein Hersteller von Maschinen und Anlagen in kleinen und einfachen Schritten mit der Implementierung von Industrial Security beginnen. Entscheidet sich der Kunde dann zu einem späteren Zeitpunkt für mehr Sicherheit in seiner Anlage, so ist keine Anpassung mehr an der Hardware nötig. Im einfachsten Fall erhält nur der Reader eine andere Konfigurierung. Aber auch die Erweiterung mit einer Anbindung an ein zentrales System mit AD ist möglich, denn die Reader lassen sich auf die Credentials von nahezu allen Firmenausweisen einstellen.

Autor

Heinrich Meyer, Produktmanager für SIMATIC Ident bei der Siemens DI PA (Digital Industries Process Automation)

Sie möchten gerne weiterlesen?