Sicherheit in drahtlosen Netzwerken

Das industrielle Internet of Things (IIoT) hat einen großen Bedarf an drahtlosen Sensoren und Steuerknoten für die vielen Applikationen in Fabriken, Industrieprozessen, in der Gebäudeenergieeffizienz bis hin zum intelligenten Parken und zur kommerziellen Landwirtschaft. In allen diesen Applikationen wird ein jahrelanger Betrieb der drahtlosen industriellen IoT-Lösungen erwartet, oft in Umgebungen mit starken HF-Einstrahlungen und unter extremen Wetterbedingungen. Anders als bei Consumer-Applikationen, wo Kosten im Vordergrund stehen, spielen in den Industrie-Applikationen Zuverlässigkeit und Sicherheit die erste Geige.

Anbieter von industriellen IoT-Lösungen sehen in der richtigen Auswahl einer Plattform für drahtlosen Sensornetzwerke (WSN) eine Schlüsselrolle für den geschäftlichen Erfolg. In diesem Artikel geht es um Datenzuverlässigkeit und Netzwerksicherheit in industriellen IoT-Applikationen. Dabei werden Real-Life-Fallstudien begutachtet und Schlüsselkriterien bei der Auswahl von drahtlosen industriellen IoT-Lösungen diskutiert.

Datenverluste vermeiden

In industriellen Anlagen und Fabriken steht die Zuverlässigkeit an erster Stelle, da der Verlust von Daten zur Abschaltung oder zu Sicherheitsproblemen führen kann. In vielen Industrie-Applikationen kann zwar ein kurzfristiger Datenverlust toleriert werden, längere Ausfallperioden in der Kommunikation sind jedoch nicht akzeptabel. Eine Fehlerrate von 1 % ist bereits zu hoch, würde sie doch zu einem Ausfall von 3,65 Tagen im Jahr führen. Anbieter von industriellen IoT-Lösungen gehen davon aus, dass schon ein Kommunikationsausfall von einem halben Tag, Kunden irritiert und zu zusätzlichen Kosten zur Ursachenbeseitigung führt. Im Wiederholungsfall kann man sogar den Kunden verlieren. Deshalb wird in industriellen Lösungen eine Datenzuverlässigkeit von mehr als 99,999 % gefordert.

Ein grundlegendes Prinzip beim Design eines zuverlässigen Netzwerks ist Redundanz. Ausfallsichere Mechanismen müssen es den Systemen ermöglichen, Probleme ohne Datenverlust zu lösen. In einem drahtlosen Sensornetzwerk gibt es zwei grundlegende Möglichkeiten, die Redundanz zu nutzen. Erste ist die räumliche Redundanz, bei der jeder drahtlose Knoten immer mit mindestens zwei weiteren Knoten kommunizieren kann. Ein Routingschema ermöglicht den Daten den Zugang zu einem dieser Knoten und stellt sicher, dass das ursprünglich angesteuerte Ziel erreicht wird. Ein sorgfältig aufgebautes Maschennetzwerk – eines bei dem jeder Knoten mit zwei oder mehr benachbarten Knoten kommunizieren kann – bietet höhere Zuverlässigkeit als ein Punkt-zu-Punkt-Netzwerk, da es Daten über einen alternativen Pfad senden kann, wenn der ursprüngliche nicht verfügbar ist.

Eine zweite Redundanz erreicht man durch die Nutzung mehrerer HF-Kanäle. Beim Kanalsprungverfahren können bei der Verbindung zwischen zwei Knoten die Kanäle gewechselt werden, so kann man sich auf die raue HF-Umgebung, wie sie typisch ist für die industrielle Umgebung, einstellen. Nach dem IEEE 802.15.4 2,4-GHz-Standard gibt es 15 Kanäle, die für das Kanalsprungverfahren zur Verfügung stehen. Es ist somit belastbarer als ein Einkanalsystem ohne Kanalsprungverfahren. Das Time Slotted Channel Hopping (TSCH) mit dem IEC62591-Standard (WirelessHART) und dem aufkommenden IETF 6TiSCH-Standard ermöglicht den weltweiten Einsatz von Funkgeräten im lizenzfreien 2,4-GHz-Spektrum. Diese Standards haben sich entwickelt durch Aktivitäten der Dust-Networks-Gruppe von Linear Technology, die ab 2002 erstmals das TSCH-Protokoll in Ressourcen-begrenzten Geräten mit SmartMesh-Produkten eingesetzt haben.

Da es sich bei TSCH um einen essenziellen Baustein für die Datenzuverlässigkeit in rauer HF-Umgebung handelt, ist dessen Verwendung ein Schlüsselelement in Maschennetzwerken für einen kontinuierlichen, problemlosen Einsatz über viele Jahre. Ein industrielles drahtloses Netzwerk muss oft über viele Jahre funktionieren, und in dieser Zeitspanne wird es Veränderungen in der HF-Umgebung und bei der Datenübertragung geben. Für einen mit einem Kabelnetzwerk vergleichbar sicheren Betrieb ist daher eine intelligente Netzwerk-Managementsoftware erforderlich, welche die Netzwerktopologie dynamisch optimiert und kontinuierlich die Linkqualität für einen maximalen Durchsatz überwacht – unabhängig von Interferenzen oder Änderungen in der HF-Umgebung.

TSCH-Netzwerke in der Praxis

Linear hat ein TSCH-basiertes SmartMesh-IP-Netzwerk in der eigenen Halbleiterfabrik im Silicon Valley eingerichtet, um den Druck von hunderten Spezialgaszylindern zu überwachen, die in den verschiedenen Halbleiterprozessen beim Ätzen und Reinigen zum Einsatz kommen. Früher wurde jeder Zylinderdruck dreimal am Tag geprüft, was vier Stunden manuelle Arbeitszeit beanspruchte.  Zur Automatisierung der Messung und Übertragung der Daten an eine Steuerzentrale wurde ein SmartMesh-IP-Netzwerk installiert.

Im Gasbunker wurden 32 drahtlose Knoten installiert, wobei jeder Knoten jeweils ein Zylinderpaar auf Tankdruck und Druckregelung überwacht. Das Netzwerk überträgt jede Sekunde drei Kilobits an Sensordaten. Die HF-Bedingungen in der Fabrik sind typisch für eine Industrieumgebung mit drahtlosen Knoten umgeben von Metall, Stahlbeton und mit Personen und Geräten, die sich den ganzen Tag in dieser Umgebung bewegen. Das Netzwerk hat über 83 Tage kontinuierlich gearbeitet und dabei über 18,8 Gigabit an Daten übertragen und eine Zuverlässigkeit von mehr als 99,99999 % erzielt.

Bild 1: Sogar in Anwesenheit von über 50 WLAN-Netzen lieferte ein SmartMesh-IP-Netzwerk auf der Electronica 2016 über 75,5 Mbit an Daten mit 100 % Datenzuverlässigkeit. Linear

Messehallen sind generell mit HF-Störungen belastet und so eine gute Prüfung für die Zuverlässigkeit von WSNs. Auf der Electronica 2016, der weltgrößten Elektronikmesse, stellte die belgische Firma Versasense  ihr SmartMesh-IP-basiertes drahtloses System vor. Die HF-Umgebung war mit 52 aktiven WLAN-Netzwerken stark belegt, zusätzlich zu den tausenden Handys und Bluetooth-Geräten der Besucher. Während der vier Messetage hat das Versasense-System über 75,5 Mbit an Daten mit 100 % Datenzuverlässigkeit in dieser anspruchsvollen HF-Umgebung übertragen (Bild 1).

Primäre Sicherheitsziele

Sicherheit ist ein kritisches Attribut eines drahtlosen Sensornetzwerks (Bild 2). Die primären Ziele bei der Sicherheit in WSNs sind:

• Vertraulichkeit: Der Datentransport im Netzwerk soll nicht von jedem mitgelesen werden, nur vom eigentlichen Empfänger.
• Integrität: Jede empfangene Nachricht muss mit der gesendeten übereinstimmen, ohne Zusätze, Kürzung oder Manipulation des Inhalts.
• Authentizität: Die Quelle der Nachricht muss bekannt sein.

Bild 2: Die Sicherheit in industriellen WSN umfasst Vertraulichkeit, Integrität und Authentizität der industriellen Daten. Linear

Vertraulichkeit ist nicht nur in sicherheitskritischen Applikationen wichtig, sondern auch in anderen Bereichen. Sensorinformationen etwa über den Produktionsstatus oder über den Zustand der Maschinen sind für den Mitbewerb von Interesse. Beispielsweise veröffentlicht die National Security Agency (NSA) nicht den Stromverbrauch ihres Datencenters, da diese Daten Rückschlüsse auf die Computerleistung zuließen. Sensordaten sollten verschlüsselt sein, damit sie nur der vorgesehene Empfänger nutzen kann. Dabei müssen Mess- und Steuerinformation unbeschädigt ankommen. Meldet ein Sensor beispielsweise „Tankpegel ist 72 cm” oder der Controller fordert „Ventil um 90 Grad drehen”, kann es dramatische Konsequenzen haben, wenn solche Zahlenwerte gehackt und verfälscht werden.

Ein WSN muss deshalb über starke Sicherheitsmechanismen verfügen. Dazu gehört unter anderem eine starke Verschlüsselung (zum Beispiel AES128) mit einem robusten Schlüssel und gutem Schlüsselmanagement mit einem Zufallsnummerngenerator hoher Kryptoqualität, um Replay-Angriffe abzuwehren. Hinzu kommen Message-Integritäts-Checks (MIC) in jeder Nachricht und Zugriffskontrolllisten (ACL), um Zugriffe auf spezifische Knoten zu verweigern oder zuzulassen. Diese State-of-the-Art-Sicherheitstechnologien sind zwar in vielen Geräten heutiger WSNs integriert, aber längst noch nicht in allen. Verbindet man etwa ein sicheres WSN mit einem unsicheren Gateway, entsteht eine Schwachstelle.

Schwerwiegende Konsequenzen

In der industriellen Prozessautomation sind die Konsequenzen eines Hackangriffs oft schwerwiegender als nur der mögliche Verlust von Kunden. Ein Hacker kann großen Schaden anrichten, wenn falsche Prozessdaten an die Steuerzentrale gelangen. Meldet zum Beispiel ein Sensor eine zu niedrige Motordrehzahl oder einen zu niedrigen Tankinhalt, kann sich das katastrophal auswirken, vergleichbar mit der Stuxnet-Attacke auf die Uranzentrifugen im Iran. Selbst eine fehlgeschlagene Attacke oder die Enthüllung einer potenziellen Schwäche kann zu Verlusten im Verkauf führen, zu zusätzlichem technischen Aufwand und zu einer schlechten Presse.

Hohe Zuverlässigkeit und Netzwerksicherheit sind kritische Anforderungen nicht nur für sicherheitsrelevante Applikationen und in der Prozessteuerung, sondern für alle industrielle IoT-Applikationen. Zum Glück gibt es felderprobte WSN-Lösungen, welche die Anbieter von industriellen IoT-Lösungen in die Lage versetzen, Systeme zu liefern, die in herausfordernden Umgebungen reibungslos und zuverlässig über viele Jahre arbeiten.

(ku)