Bevor das Industrial Internet of Things (Industrial IoT) aufkam, kommunizierten Maschinensteuerungen – wenn überhaupt – untereinander oder mit übergeordneten Systemen im Firmennetzwerk. Eine direkte Verbindung mit dem Internet gab es nur in speziellen Fällen. Das Thema Cybersecurity spielte für Maschinenbauer und Maschinenbetreiber aus diesem Grund keine Rolle.
„Doch das ändert sich gerade“, erklärt Andreas Hager, Produktmanager Control Systems bei B&R. Industrie-PCs und andere Geräte werden im Industrial IoT als Edge-Geräte eingesetzt und sind direkt mit dem Internet verbunden. Damit bieten Sie ein potenzielles Angriffsziel für Hacker.
DDos-Attacken
Kriminelle können zum Beispiel mit Überlastungsangriffen Steuerungen und damit ganze Maschinen lahmlegen. Bei solch einer DDoS-Attacke (Distributed-Denial-of-Service) verteilt ein Hacker seine Programme auf ein sogenanntes Botnetz aus mehreren hundert bis tausend Rechnern, Smartphones und Tablets, die letztendlich zum Angriffswerkzeug werden. Auf Kommando bombardieren diese Bots eine Maschinensteuerung gleichzeitig mit so vielen Anfragen, dass sie unter der Last zusammenbricht und die Maschine stoppt – wie im August 2018 ein Malware-Angriff auf einen Prozessorhersteller gezeigt hat.
Offene Ports
Bevor Steuerungen Daten in die Cloud übertragen können, müssen Anwender erst entsprechende Ports öffnen. „Während der Übertragungskanal zwischen Steuerung und Cloud-Gateway geöffnet ist, bieten diese Ports dann eine Möglichkeit für Hackerangriffe“, erklärt Hager. Zudem ergeben sich weitere Probleme: Geräte, die direkt mit dem Internet verbunden sind, müssen mit Updates ständig aktuell gehalten werden, um neu entdeckte Sicherheitslücken zu schließen.
„Viele Maschinen laufen wochen- oder monatelang ohne Unterbrechung durch“, gibt Hager zu bedenken. Jedoch lässt sich ein Update nur bei gestoppter Maschine einspielen. Zudem benötigt gegebenenfalls die Applikation nach einem Update sogar eine Anpassung. „Das ist zu aufwendig und auf Dauer nicht praktikabel“, so Hager.
B&R SiteManager
Der B&R-SiteManager steht in unterschiedlichen Varianten zur Verfügung: Je nach Version lässt sich das Gerät via LAN, WLAN oder Mobilfunk an das Internet anbinden. Alle Optionen verfügen über eine integrierte Firewall. Um Sicherheitskonflikte mit werksseitigen Firewalls zu vermeiden, läuft die Kommunikation in das Internet über Firewall-verträgliche, verschlüsselte Web-Protokolle.
Neben den Hardwarevarianten steht auch eine Software-Version zur Verfügung. So lassen sich Maschinensteuerung und SiteManager in einem Gerät vereinen. Dazu werden mithilfe des B&R-Hypervisors auf einem Industrie-PC zwei Betriebssysteme installiert: Das Echtzeitbetriebssystem für die Maschinensteuerung und ein Linux-oder Windows-System für den SiteManager. Diese Betriebssysteme sind unabhängig voneinander. Selbst wenn der SiteManager durch einen Angriff blockiert wird oder das allgemeine Betriebssystem abstürzt, ist die Maschinensteuerung davon nicht betroffen.
Die einfache Lösung für dieses Dilemma: Steuerungsfunktion und Kommunikationsfunktion müssen getrennt sein. Somit kann zum Beispiel eine DDoS-Attacke nicht mehr bis zur Maschinensteuerung durchdringen. „Im schlimmsten Fall wird nur die Kommunikation in die Cloud lahmgelegt, die Maschine kann trotzdem weiterlaufen“, bekräftigt Hager.
B&R hat für diesen Zweck den SiteManager im Portfolio. Dieses Gerät hat eine integrierte Firewall und übernimmt Aufgaben, die für die Cybersecurity gefordert sind: zum Beispiel Cloud-Zertifikate auf dem neuesten Stand halten sowie Patches anwenden, um Sicherheitslücken zu schließen.
Cloud-Connectivity
Um Daten in die Cloud zu übertragen, wird die Steuerung via OPC UA mit dem SiteManager verbunden. Der Anwender definiert bei der Konfiguration, welche Daten die SPS übertragen soll. Es ist auch möglich, unterschiedliche Daten an unterschiedliche Cloudanbieter zu senden. Die Konfiguration erfolgt durch Setzen von Häkchen in der Weboberfläche des SiteManagers.
Benötigt ein Cloud-Zertifikat ein Update, muss der Maschinenbetreiber nichts tun, denn der SiteManager lädt Updates automatisch herunter und installiert diese – ohne die Maschinenfunktion zu beeinträchtigen. Dies ermöglicht, dass sich die Sicherheitsrichtlinien der Cloudanbieter stets einhalten und potenzielle Sicherheitslücken schnell schließen lassen.
Sichere Fernwartung
„Bei der Fernwartung ergeben sich ganz ähnliche Sicherheitsanforderungen, wie bei der Übertragung von Daten in die Cloud“, erklärt Hager. Doch auch für diese Anwendung bietet sich der SiteManager an: Das Gerät ermöglicht, dass sich ein Service-Techniker des Maschinenbauers über eine sichere VPN-Verbindung mit der Maschinensteuerung verbindet und auf Fehlersuche gehen kann. Ein Benutzerverwaltungssystem regelt eindeutig und manipulationssicher, welcher Techniker auf welche Steuerungen zugreifen darf. So schützt der SiteManager jeglichen Datentransfer zwischen der Maschine und unterschiedlichen Applikationen außerhalb des Firmennetzwerkes vor unberechtigten Zugriffen wie Cyber-Attacken.
SPS IPC Drives 2018: Halle 7, Stand 114 und 206
Was ist Edge Computing?
Beim Edge Computing werden große Datenmengen möglichst nahe an der Datenquelle erfasst, komprimiert und aggregiert, um dann an übergeordnete Systeme weitergeschickt zu werden. Das dafür benötigte Bindeglied zwischen der echtzeitgetriebenen Maschinen- und Prozessebene (Operational Technology) und der IT heißt Edge-Gerät. B&R bietet drei unterschiedliche Edge-Gerätetypen an, um alle Anwendungsfälle abzudecken: Edge Controller, Edge Embedded und Edge Connect:
- Edge Controller lesen in Form von leistungsstarken Industrie-PCs mit Monitoring-Software Steuerungsdaten von Maschinen und Linien aus. Abgedeckt sind Steuerung, Sicherheitsfunktionen, Datenaggregation und deren zeitlich begrenzte Speicherung im lokalen Datenarchiv sowie Geschäftsanalytik/Business Intelligence und maschinelles Lernen.
- Edge Embedded bietet auf SPS-Ebene neben den Edge-Connect-Funktionen ein Datenarchiv.
- Edge Connect umfasst Buskoppler, die neben einer Steuerungsfunktion auch Sicherheitsfunktionen beinhalten, ans Internet angeschlossen werden und Daten aggregieren.
Carmen Klingler-Deiseroth
(ml)