Die steigende Zahl bekannt gewordener Fälle von Hackerangriffen zeigt Wirkung: Das Bewusstsein für IT-Sicherheit ist deutlich gestiegen; die Sicherung von Geräten und Netzen, um Angriffe abzuwehren und sensible Daten zu schützen, ist daher wesentlicher Bestandteil vieler Projekte.
Eine sichere Datenkommunikation in der vernetzten Industrie der Zukunft ist dabei ein wichtiger Baustein. Dieser Aufgabe haben sich die beiden mittelständischen Unternehmen Deutschmann Automation und MB connect line im Rahmen einer strategischen Partnerschaft gestellt.
Deutschmann Automation mit Sitz in Bad Camberg entwickelt und fertigt bereits seit zwei Jahrzehnten Protokollkonverter, Feldbus- und Industrial-Ethernet-Gateways und Embedded-Lösungen sowie passende Entwicklungswerkzeuge. MB connect line ist spezialisiert auf Lösungen zur Fernwartung von Maschinen, Anlagen und Infrastruktur über das Internet. Kernkomponente ist die zentrale Remote-Service-Plattform mbConnect24 als universelle Lösung für Fernwartung, Datenerfassung und M2M-Kommunikation.
Beide Unternehmen haben ihre sich ergänzenden Kompetenzen in einem gemeinsamen Projekt gebündelt, dem Secure Cloud Gateway. Ziel ist, eine sichere und zuverlässige Datenkommunikation von der Feldbus-Ebene in die Welt des Internets im Industrie-4.0-Umfeld zu gewährleisten. Für einen wirksamen, das heißt hundertprozentigen Schutz gegen einen unautorisierten Zugriff von außen auf die sensitiven Bereiche und Daten der Feldebene, sorgt ein zum Patent angemeldetes Konzept.
Ein weiterer Aspekt ist die Integration der Secure Cloud Gateways, sowohl in bestehende Anlagen als auch für neue Installationen. Entsprechend flexibel sind die Geräte in der Busanschaltung (beispielsweise MPI, Profinet, Modbus) und in der Kommunikationstechnologie zum Internet (Mobilfunk, WiFi) ausgelegt.
Anlagen ohne Risiken nachrüsten
In klassischen Fabriken findet man vernetzte, jedoch oft ungeschützte Steuerungssysteme. Diese Systeme wurden ursprünglich nicht für eine hochgradige Vernetzung entwickelt und haben den Fokus auf der operativen Steuerungsfunktion. Die Nachrüstung von Industrie 4.0 in solchen Bestandsanlagen ist problematisch, da die daraus resultierende Verbindung zum Internet ein hohes Sicherheitsrisiko birgt und somit hohe Anforderungen an die IT-Sicherheit stellt. Ebenso dürfen in der Regel an den Anlagen keine Veränderungen vorgenommen werden. Auch diese Gegebenheiten – nachträgliche Integration bei höchstem Sicherheitsniveau – wurden im Konzept berücksichtigt.Daher lassen sich die Secure Cloud Gateways integrieren, ohne dass in die Anlagenkonfiguration eingegriffen werden muss – vorausgesetzt das in den Bestandsanlagen installierte Bussystem unterstützt eine Master/Master-Kommunikation. Typische Vertreter dieser Feldbus-Kategorie sind beispielsweise MPI, Profibus und Modbus-Systeme. Bei Neuinstallationen gibt es diese Einschränkung nicht, da die Master/Slave-Strukturen bereits in der Planungsphase berücksichtigt werden und geeignete Bussysteme zum Einsatz kommen.
Hardware-Schloss nicht zu knacken
Die Secure Cloud Gateways garantieren eine Hardware-basierte IoT-Sicherheit, die im Gegensatz zu Software-Lösungen nicht überlistbar ist. Grundlage dafür bildet eine zum Patent angemeldete Hardware-Daten-Diode. Aktiviert, erlaubt sie ausschließlich die Kommunikation in eine Richtung – von der Datenquelle zur Cloud-Schnittstelle. Eine Kommunikation von der Cloud-Schnittstelle zur Datenquelle ist dagegen Hardware-technisch gesperrt. Die beiden Prozessoren auf der Feldbus- und Cloud-Seite sind über eine einkanalige, serielle Verbindung gekoppelt, die beide Kommunikationskanäle physisch trennt. Diese Einbahnstraße lässt sich nicht per Software überlisten. Unberechtigte Datenzugriffe sowie das Einschleusen von Schad-Software in die Anlage in Form von manipuliertem Programm-Code werden zuverlässig verhindert.
Im Gegensatz zu einer klassischen Firewall sind bei diesem Ansatz auch Sicherheitslücken von außen oder eine fehlerhafte Konfiguration systembedingt ausgeschlossen. Zusätzlich ist der Kommunikationsweg zur Cloud über verschlüsselte Kommunikation mittels TLS (Transport Layer Security) beziehungsweise SSL (Secure Sockets Layer) gesichert. Die Authentifizierung erfolgt über Zertifikate plus Benutzerpasswort. Sie sorgt für Datenvertraulichkeit sowie für die Verschlüsselung für die Datenintegrität. Dies stellt sicher, dass die empfangenen Daten absolut identisch zu den verschickten Daten sind und von außen nicht verändert wurden. Die hohe Sicherheit der Secure Cloud Gateways wird zudem über ein gehärtetes Betriebssystem mit Secure Boot erreicht.
Um die Gateways zu konfigurieren, ist ein Hardware-Schlüssel nötig, mit dem sich das Gerät vor Ort – und nur dort – in den Konfigurationsmodus umstellen lässt. In dieser Betriebsart lässt die Daten-Diode auch eine Kommunikation in umgekehrter Richtung zu. Daneben gibt es den Lese-/Schreibmodus, um einen bewussten Zugriff von außen nach innen zu erlauben. Auch dieser Modus muss per Schlüsselschalter aktiv geschaltet werden.
Vielfältige Kommunikations-Matrix
Die Secure Cloud Gateways lassen sich über verschiedene Optionen wie Ethernet, Mobilfunk (LTE, 3G) oder WiFi mit dem Internet verbinden. Dabei sind die Geräte über eine Cloud beziehungsweise Remote-Service-Plattform konfigurierbar und bauen anschließend eine zuverlässige und sichere VPN-Verbindung auf. Die Busanschaltung ist durch die Vielfalt an vorzertifizierten Embedded-Kommunikationsschnittstellen der Serie Unigate IC von Deutschmann Automation gegeben. Busknoten sind für alle gängigen Feldbus- und Industrial-Ethernet-Standards, Profibus, Profinet, Ethernet/IP, Ethernet/TCP, Ethercat sowie für Devicenet, Modbus RTU/TCP, CANopen und Lonworks erhältlich. Alle für die unterschiedlichen Protokolle ausgelegten Baugruppen sind Pin-kompatibel, können also ohne zusätzlichen Aufwand ausgetauscht werden. Die Kommunikationsmodule umfassen einen Mikrocontroller, Flash, RAM und weitere Komponenten wie Optokoppler und Bustreiber und sind in einem 32-DIL-Gehäuse mit einer Fläche von 45 x 25 mm untergebracht. Die Embedded-Lösung lässt sich über eine UART-Schnittstelle an den Mikrocontroller des Endgeräts anbinden oder auch Stand-alone betreiben. Die ersten Secure-Cloud-Gateway-Familien werden MPI/Profibus, Profinet, Modbus und Ethernet/IP unterstützen.
Wozu der ganze Aufwand?
In der Cloud lassen sich unterschiedlichste Daten speichern, beispielsweise Verbrauchsdaten und Messwerte, Stückzahl- und Effizienzdarstellungen, Alarmsignale bei Schwellwertüberschreitung oder Signale der vorausschauenden Wartung. Für die Integration in die Cloud bieten sich zwei Lösungen an: In einer Public Cloud lassen sich die Daten bequem und sicher archivieren und auswerten. Möchte der Kunde die Cloud in seine Intranet-Lösung einbinden oder einen beliebigen Webservice nutzen, lässt sich ebenso eine Private Cloud installieren. Es besteht kein Zwang, die Public Cloud zu nutzen.
Unabhängig vom Standort kann der Nutzer über eine sichere Verbindung einzelne Maschinen abfragen und auf Daten wie Funktion, Produktivität und Auslastung zugreifen. Über Historiendaten lässt sich die Verfügbarkeit der jeweiligen Maschine im täglichen/wöchentlichen Rhythmus abfragen. Zudem können Störungsanalysen durchgeführt werden, um Maschinen mit hohen Ausfallzeiten zu identifizieren. Die Lösung eignet sich auch für Anwendungen im eigenen Betrieb, um Daten zu sammeln und per Tablet oder Smartphone sicher abzufragen. Die Secure Cloud Gateways wachsen mit den veränderten Anforderungen von Industrie 4.0 zukünftig mit.
Security-Branche profitiert von Industrie 4.0
Durch die stetig zunehmende Digitalisierung und der damit einhergehenden Durchdringung der IT ist es von zentraler Bedeutung, dass Unternehmen in den Schutz ihres Know-hows investieren. Die Studie ‚Der IT-Sicherheitsmarkt in Deutschland‘ des Bundesministeriums für Wirtschaft und Energie, kommt zu dem Ergebnis, dass die IT-Sicherheitswirtschaft eine der leistungsfähigsten Zukunftsbranchen in Deutschland ist. Die IT-Sicherheit verzeichnete, so die Studie, im Zeitraum 2005 bis 2013 ein überproportionales Wachstum von durchschnittlich 7,3 % pro Jahr. Die Importquote von nur etwa 20 % in 2012 macht deutlich, dass die Nachfrage nach IT-Sicherheitsprodukten und -dienstleistungen in Deutschland vorwiegend durch heimische Produktion gedeckt wird und sich die Branche im internationalen Wettbewerb gut behaupten kann. Angesichts der zunehmenden Vernetzung industrieller Leit- und Regelungssysteme im Industrie-4.0-Umfeld wird die IT-Sicherheit auch in Zukunft ein attraktives und wichtiges Geschäftsfeld bleiben.
Einer Studie der deutschen Wirtschaftsprüfungs- und Beratungsgesellschaft PwC zufolge, will die deutsche Industrie bis 2020 jährlich bis zu 40 Milliarden Euro in Industrie-4.0-Projekte investieren. Das Ziel sind Effizienzsteigerungen und Kosteneinsparungen, aber auch qualitative Vorteile wie mehr Flexibilität und die Möglichkeit, auf individuelle Kundenwünsche einzugehen.
Michael M. Reiter
Siegfried Müller
(sk)