Rhebo_Network-Condition-Monitoring-Einsatz_CMYK

(Bild: Rhebo)

| von Stefan Sebastian
Rhebo_Steuernetzintegration_01

Rhebo Industrial Protector lässt sich rückwirkungsfrei an beliebigen Punkten in das Steuernetz einbinden und liest jeden Vorgang mit. Rhebo

Firmen beschränken sich bei der Visualisierung ihrer Prozesssteuerung oft auf Anlagen- und Prozessparameter. Dabei hängt die Stabilität der Prozesse und Produktqualität von weit mehr ab. Zwar bilden die Versorgungs- und Entsorgungsleitungen sowie die automatisierte Logistik den Blutkreislauf einer Fertigung. Doch was erreicht ein solches System ohne das dazugehörige Nervensystem: dem Steuerungsnetz? Unternehmen, die das Konzept des IIoT realisieren, benötigen auch eine klare Übersicht über die Aktivitäten des Nervensystems, das ihre Produktion antreibt.

Steuerungsnetze haben sich über die letzten zehn Jahre stark verändert – Wo vorher Eins-zu-Eins-Verbindungen innerhalb oft homogener Infrastrukturen vorherrschten, gibt es heute in IIoT-Umgebungen allein in einer einzigen Fertigungszelle weit über 50 Komponenten unterschiedlicher Hersteller. Das bedeutet viele verschiedene Funktionalitäten und Konfigurationen, die nicht selten in Konflikt zueinander stehen und ungehindert miteinander kommunizieren. Diese Komplexität des IIoT, fördert Netzwerkprobleme und Störungen durch Kommunikationsfehler oder Kapazitätsengpässe.

Hinzu kommt die Öffnung der nicht auf Cybersicherheit ausgelegten industriellen Netzwerke, die selten über Absicherungsmechanismen wie Authentifizierung, Validierung oder Verschlüsselung verfügen. Insbesondere beim Anbinden an die Unternehmens-IT entstehen Sicherheitslücken, die durch aktuelle Schwachstellen, beispielsweise Spectre und Meltdown oder Advanced Persistent Threats wie WannaCry, eine nicht kalkulierbare Gefahr für die Kontinuität der Fertigungsprozesse darstellen.

Beide Aspekte ‒ Netzwerkqualität und Cybersicherheit ‒ entscheiden in der Entwicklung zum IIoT über die Stabilität und Produktivität eines Unternehmens. Dabei muss es noch nicht einmal zu einem kompletten Shutdown kommen. In Fertigungen mit Echtzeitprozessen reichen bereits kleinste Verzögerungen, um erheblichen Schaden anzurichten. Im Industriellen Internet der Dinge ist das Steuerungsnetz selbst ein ‚Ding‘ ‒ wenn nicht sogar DAS Ding schlechthin ‒ das es zu steuern gilt. Die Optimierung der Steuerungsnetze muss daher integraler Bestandteil des PDCA-Zyklus (Plan, Do, Check, Act) werden, der seinen Ursprung in der Qualitätssicherung hat. Schließlich bestimmt die Kontinuität der Fertigung über die Produktivität und damit über den Erfolg eines Unternehmens.

Nur 18 % kennen ihre Netzwerke

Wie weit Unternehmen von diesem Punkt entfernt sind, zeigt eine Studie des Analystenhauses Forrester Consulting. In einer Umfrage schätzten nur 18 % der befragten Teilnehmer von 600 Großunternehmen mit jeweils über 2500 Mitarbeitern, dass sie alle Netzwerkteilnehmer identifiziert hätten. Diese Übersicht beschränkt sich vorrangig auf die Geräteebene und schließt weder konkreten Kommunikationsmuster und Protokolltypen noch Paketinhalte ein. Den übrigen 82 % fehlte die Transparenz gänzlich. Einen Hinweis zu den Auswirkungen auf die Kostenstruktur gab der IT-Verband Bitkom, der 2017 bei deutschen Unternehmen von jährlich 55 Milliarden Euro Schaden allein im Bereich der Cybersicherheit spricht. Die aufgrund von operativen Netzwerkstörungen entstanden Schäden sind dort noch nicht einmal eingerechnet.

Diese Blindheit für das eigene Steuernetz offenbart sich auch bei Stabilitäts- und Sicherheitsaudits sowie kontinuierlichen Network-Condition-Monitoring-Projekten, wie Rhebo sie durchführt. So fanden sich bei einem deutschen Automobilhersteller sowohl Risiken für die Cybersicherheit als auch für die Gesamtanlageneffektivität. Im Laufe der Überwachung identifizierte das Sicherheitsunternehmen unbekannte Teilnehmer, die unter einer bereits verwendeten IP-Adresse registriert waren oder Fallback-IP-Adressen verwendeten. Weiterhin gab es fehlerhafte Datenpakete, fehlende zyklische Nachrichten sowie Fehlermeldung und Kommunikationsabbrüche. All diese Punkte wiesen auf versteckte Anlagenfehler und Fehlkonfigurationen hin und waren potenzielle Störquellen für die Prozesskontinuität, Kosteneffizienz und Umsatzsicherung.

Was passiert in Ihrem Steuerungsnetz?

Anhand einer erhöhten SMB-Aktivität (blau) wurde beispieslweise ein Angriff durch die Ransomware Wannacry aufgedeckt.

Anhand einer erhöhten SMB-Aktivität (blau) wurde beispieslweise ein Angriff durch die Ransomware Wannacry aufgedeckt.Rhebo

Bei den Audits und langfristigen Monitoringprojekten kam die industrielle Anomalieerkennung Rhebo Industrial Protector zum Einsatz. Diese Technologie überwacht kontinuierlich und auf Inhaltsebene die gesamte Steuerungsnetzkommunikation. Damit beantwortet das Tool umgehend die wichtigsten Fragen zur Netzwerkqualität:

  • Welche Teilnehmer agieren im Steuerungsnetz?
  • Was kommunizieren sie untereinander und wie oft?
  • Welche Protokolle und Abfragen kommen zum Einsatz?
  • Wie hoch ist die Netzwerkbelastung über die Zeit?
  • Welche Veränderungen treten auf und wie sehen sie im Detail aus?

Die industrielle Anomalieerkennung schafft bei Unternehmen nicht nur eine grundlegende Transparenz der Steuerungsnetze. Sie meldet jegliche verdächtige Anomalie, die auf eine Veränderung des Netzwerkverhaltens und somit eine potenzielle Störung der Kontinuität zurückschließen lässt. Als Anomalien gelten sowohl Datenfehler, Netzwerkprobleme und -verschlechterung sowie Anlagenverschleiß, als auch bekannte und unbekannte Cyberangriffe, Manipulation und Sabotage.

Erkennt das Network-Condition-Monitoring eine Abweichung im Steuerungsnetz, zeigt sie diese in Echtzeit auf einem Dashboard an. Dort können die Anlagenbetreiber alle relevanten Informationen zu den involvierten Komponenten, verwendeten Protokolltypen und zur Funktion des verdächtigen Datenpakets einsehen. Die beim Monitoring verwendete Deep-Packet-Inspection-Technologie liest die Details zur Anomalie aus und speichert sie, inklusive aller Inhaltsdaten, als PCAP (packet capture) – einer freien Programmierschnittstelle, die den Netzwerkverkehr mitschneidet. Somit liegen die Informationen für eine genaue Analyse und fundierte Entscheidung vor, um die Kontinuität der Fertigungsprozesse aufrecht zu erhalten. Da die industrielle Anomalieerkennung rückwirkungsfrei überwacht, bleibt die Entscheidungshoheit der Anlagenbetreiber und Betriebsleiter unberührt.

Warum Anomaliemeldunge automatisch eine Risikobewertung erhalten, erfahren Sie auf Seite 2.

Steuerungsnetze effektiv lenken

Rhebo-Network-Mapping-Cyber-Asset-Management_CMYK

Wer kommuniziert mit wem? Mit einem Cyber Asset Management machen Unternehmen ihr Steuernetz transparent und können so ihre Kommunikation live überwachen und Anomalien detektieren. Rhebo

Damit die Zuständigen schnell über Maßnahmen entscheiden und diese adäquat umsetzen können, erhalten Anomaliemeldungen vom System automatisch eine Risikobewertung. Dieser ‚Risk Score‘ berücksichtigt sowohl das Gefährdungspotential des Vorfalls (event-basiertes Risiko) als auch die Relevanz der involvierten Komponenten für die Kontinuität (asset-basiertes Risiko). Die einzelnen zugrunde liegenden Eingangswerte lassen sich unternehmensspezifisch und selbstständig anpassen. Damit wird berücksichtigt, dass sich die Störungsvektoren für die Kontinuität einer Fertigung von Unternehmen zu Unternehmen unterscheiden.

Die Anomaliemeldungen gibt es auf einer Skala von 0 bis 10. Dadurch können die für die Steuerungsnetze verantwortlichen Mitarbeiter einschätzen, welches Risiko von einer gelisteten Anomalie ausgeht. Zusätzlich ermöglichen individuell definierbare Filter – etwa nach Protokolltyp oder Anlage – eine Vereinfachung der Visualisierung und des Managements der Anomaliemeldungen. Nicht eindeutige oder sehr relevante Anomalien lassen sich unter besondere Beobachtung stellen. Kommt diese Anomalie wiederholt vor, wird sie im Kontext der zuvor gehenden Meldungen angezeigt. Administratoren sind damit in der Lage, Anomalien systematisch zu analysieren und ihre Maßnahmen auf Effektivität zu überprüfen.

Anomaliedaten für die Prozessoptimierung

Ein weiterer Aspekt der operativen Umsetzung ist die Integration der Anomalieerkennung in bestehende Systeme. Diese können sich sowohl im Leitstand (Scada, SPS) als auch in der Unternehmens-IT (Firewall, MES, SAP etc.) befinden. Über ein definierbares Policy Filtering definieren die Unternehmen Regeln, an welche Backendsysteme das Network-Condition-Monitoring bestimmte Anomaliemeldungen senden soll. So ist es beispielsweise sinnvoll, die Anomaliemeldung eines unbekannten Netzwerkteilnehmers zusätzlich an die aktiven IT-Sicherheitssysteme zu übermitteln, um entsprechende Abwehrmaßnahmen einzuleiten. Die Anomaliemeldung zu unbekannten Fehlermeldungen, die auf eine Anlagenstörung hinweisen, lassen sich für die vorausschauende Instandhaltung an das MES senden.

Für die Datenintegration in externe Backendsysteme, Data Lakes und Big-Data-Projekte verfügt die industrielle Anomalieerkennung sowohl über universelle Schnittstellen wie REST-API, als auch über branchenspezifische Schnittstellen wie SNMP, Syslog und IEC-104.

Die industrielle Anomalieerkennung visualisiert damit nicht nur erstmalig durchgängig und lückenlos den inneren Zustand eines Steuerungsnetzes. Die Anomaliemeldungen werden zudem zu einer aussagekräftigen Quelle für Entscheidungen in den Unternehmensbereichen Netzwerksicherheit, Qualitätssicherung, Instandhaltung und Produktionssteuerung

Stefan Sebastian

Produkt & Strategie bei Rhebo

(ml)

Kostenlose Registrierung

*) Pflichtfeld

Sie sind bereits registriert?