Schiffssysteme stärker vor unbefugten Zugriffen abzusichern ist nötig, weil die aus Office-Netzwerken bekannten Viren auch hier auftreten können. Denn meist ist im Schiff ein Ethernet-Backbone vorhanden, über den die üblichen Bürotätigkeiten wie Telefon, Fax und E-Mail laufen. Darüber hinaus nutzt die Schiffsbesatzung Dienste wie FTP (File Transfer Protocol) und andere Ethernet-Services, die oft Ziel von Hacker-Aktivitäten sind. Das Alarming und Monitoring der Schiffsanlagen läuft häufig ebenfalls über den Ethernet-Backbone in das Netzwerk. Es muss daher besonders vor Schadhandlungen geschützt werden. Um die Gefahr möglicher Störungen oder Ausfälle durch fehlerhafte oder unbefugte Zugriffe sowie Schad-Software zu verringern, müssen Schiffseigner zusätzliche Sicherheitsmaßnahmen ergreifen.
Dezentrale Sicherheitsarchitektur mit Firewalls
Eine passende Sicherheitsarchitektur muss die Schiffsanlagen sowohl gegen unerwünschte interne und externe Zugriffe absichern als auch verhindern, dass eingedrungene Schädlinge sich weiter ausbreiten. Hier bietet sich eine Trennung des Office- und Anlagennetzwerks durch eine umfangreiche Firewall sowie eine tief gestaffelte Sicherheitsarchitektur (Defense in Depth) an, mit der sich auch Einzelsysteme schützen lassen. Dabei kommt der Filterung und Kontrolle des Netzwerkverkehrs durch Firewalls eine entscheidende Bedeutung zu.
Für eine solche dezentrale Architektur mit Firewalls sprechen die besser zu organisierende verteilte Absicherung, die größere Flexibilität bei einem industrietypischen Netzwerk-Design sowie geringere Investitions- und Betriebskosten. Eine Segmentierung des Netzwerks durch Vlan-fähige Switches in unabhängige logische Teileinheiten eignet sich jedoch nur bedingt, weil Virtual Local Area Networks (Vlan) aus Sicherheitssicht schlecht zu kontrollieren sind. Der Schutz des Alarming- und Monitoring-Systems spielt bei der Sicherheitsarchitektur eine besondere Rolle. Denn die Lösung wird auf allen Schiffstypen installiert und deckt den gesamten Bereich von Basis-Alarmsystemen für unbemannte Maschineneinheiten bis zu voll integrierten Automatisierungssystemen für Maschinen, Antriebe und die Frachtabfertigung ab.
Hohe Sicherheit durch Paketfilter und Verschlüsselung
Mit dem FL MGuard GT/GT VPN stellt Phoenix Contact eine Hardware-basierte Sicherheitsanwendung zur Verfügung, um Automatisierungssysteme zu schützen. Die Sicherheitslösung unterstützt Gigabit-Übertragung sowohl für die Kupfer- als auch für Lichtwellenleiter-Verkabelung und ermöglicht es, das interne sichere Prozessnetzwerk performant und flexibel an das überlagerte unsichere Schiffsnetzwerk anzubinden. Die eingebaute Firewall schützt das Automatisierungssystem vor nicht autorisierten Zugriffen von außen. Dazu untersucht der dynamische Paketfilter die Datenpakete anhand der Ursprungs- und Zieladresse. Unerwünschter Datenverkehr wird blockiert. Außerdem protokolliert die Sicherheitsanwendung jeden Zugriff über die Firewall im Arbeitsspeicher oder auf einem Log-File-Server. So lassen sich die Zugriffe auch zu einem späteren Zeitpunkt analysieren.
Ein Konfigurationsspeicher senkt den Installations- und Konfigurationsaufwand. Im Fall einer Neukonfiguration liefert der Speicher während des Neustarts automatisch die benötigten Daten. Der für den Einsatz in rauer Industrieumgebung konzipierte FL MGuard GT/GT VPN schafft zudem einen Datendurchsatz von bis zu 200 MBit/s. Der VPN-Router ermöglicht eine sichere Datenübertragung. Um das Abhören sensibler Informationen durch unbefugte Dritte auf dem Übertragungsweg zu unterbinden, werden die Daten nach dem IPsec-Standard in Hardware mit DES (56 Bit), 3DES (168 Bit) oder AES (128/192/256 Bit) verschlüsselt.
(mf)