Umfassendes Portfolio aus Security-Produkten, -Lösungen und -Dienstleistungen

Mehr Zugriffssicherheit und Performance

Die Vernetzung der Fertigung erfolgte im ersten Schritt durch den Übergang von physisch separierten proprietären Feldbussen zu Ethernet-basierten Übertragungslösungen. Bereits zu diesem Zeitpunkt mussten die Betreiber feststellen, dass diese Technologie nicht nur vielfältige Vorteile bietet, sondern ebenfalls einige Nachteile mit sich bringt. Die Herausforderung der jüngsten Zeit liegt in vermehrten Cyberangriffen auf Produktionsnetze.
 Mit dem Portfolio der Produktfamilie 
mGuard erhalten die Anwender nicht nur 
zuverlässige und intelligente Hardware, 
sondern auch smarte Secure Cloud Services 
für einen einfach konfigurierbaren und 
gesicherten Fernzugriff.
Mit dem Portfolio der Produktfamilie mGuard erhalten die Anwender nicht nur zuverlässige und intelligente Hardware, sondern auch smarte Secure Cloud Services für einen einfach konfigurierbaren und gesicherten Fernzugriff. – Bild: ©sdecoret/shutterstock.com

Nach dem Einzug von Ethernet in die Fertigungshallen zeigte sich, dass die ersten Geräte mit entsprechender Schnittstelle noch nicht gänzlich robust gegen den vermehrt auftretenden Broadcast Traffic waren. Um dieses Problem zu lösen, gestalteten die Gerätehersteller die Firmware widerstandsfähiger. Zudem wurden in den Produktionsumgebungen bestimmte Switch-Funktionen eingesetzt, etwa Broadcast Limiter. Derzeit befindet sich die industrielle Kommunikation in einer weiteren Evolution. Die klassische Automatisierungspyramide wird durch immer stärker vermaschte Netzwerkstrukturen abgelöst, die nur schwer zu überblicken und noch schwerer zu warten sind. Verschiedene Geräte benötigen einen Zugriff auf IT-Infrastrukturkomponenten oder Cloud-Dienste, damit sie Datenbanken oder Services erreichen können. Das ist in den vorhandenen, meist flachen Netzwerkstrukturen oftmals mit geringem Konfigurationsaufwand möglich, aber mit ständig mehr Freigaben in den IT-Firewalls verbunden. Auf diese Weise erhöht sich auch die Gefahr, dass Kriminelle die „offenen Türen“ zur Durchführung eines Cyberangriffs verwenden.

 Mit den umfassenden gemäß IEC 62443-2-4 zertifizierten Services erhalten die Betreiber eine Gefahrenanalyse sowie die Konzept-Erstellungen, Umsetzung und Schulungen aus einer Hand.
Mit den umfassenden gemäß IEC 62443-2-4 zertifizierten Services erhalten die Betreiber eine Gefahrenanalyse sowie die Konzept-Erstellungen, Umsetzung und Schulungen aus einer Hand.Bild: Phoenix Contact Deutschland GmbH

Hosting von KI-Lösungen in der IT-Infrastruktur oder Cloud

Die beschriebene Situation trifft aktuell auf zahlreiche klein- und mittelständische Betriebe zu. Die Effizienz in der Fertigung zu steigern und Energie einzusparen: Das sind die Ziele der jeweiligen Geschäftsführung, die von den Mitarbeitenden umgesetzt werden müssen. Zur Realisierung dieser Anforderungen ist die derzeitige Situation zu analysieren, sind die zu Produktionsverzögerungen führenden Abweichungen und Anomalien zu erkennen und sollte bestenfalls eine automatisiere Lösung gefunden werden. Darüber hinaus müssen die Mitarbeitenden ungenutzte Potenziale identifizieren, durch die sich der Energieverbrauch reduzieren lässt. Ab wann lohnt es sich z.B. bei thermischen Prozessen, dass die Maschine in einer fertigungsfreien Zeit teilweise oder komplett abgeschaltet wird? Da diese komplexen Zusammenhänge nicht mehr durch eine einzelne Person nachvollzogen werden können, stellen immer mehr Unternehmen auf Systeme mit neuronalen Netzen um, die eine künstliche Intelligenz abbilden. Diese Systeme laufen dann häufig in der IT-Infrastruktur oder werden in einer Cloud gehostet. Auf Basis der kontinuierlichen Belieferung mit Echtzeitdaten aus der Produktion werten die Systeme den aktuellen Istzustand aus, um Voraussagen über eine OEE-Erhöhung (Overall Equipment Efficiency) oder CO2-Reduktionsmöglichkeiten zu treffen.

An dieser Stelle bietet sich Phoenix Contact als kompetenter Partner an, der die Sicherheit und Stabilität der Netzwerke an die Anforderungen der Betreiber sowie die momentanen gesetzlichen Bestimmungen anpasst oder entsprechend auslegt. Die Netzwerk- und Security-Spezialistinnen und -Spezialisten beraten dabei, wie das Netzwerk aufzubauen ist sowie die individuellen Sicherheitsrisiken der jeweiligen Anlage minimiert werden können. Auf Wunsch wird ein gemäß IEC62443-2-4 zertifiziertes Security-Konzept erstellt. Außerdem gibt das Security-Team sein Wissen im Rahmen von Schulungen weiter, sodass die Mitarbeitenden des Netzwerkbetreibers selbst eine Gefahrenanalyse durchführen, Security-Konzepte erarbeiten sowie geeignete Maßnahmen umsetzen können.

 Die Data Security Box bietet eine Firewall, Zoning, gesicherte VPN-Verbindungen, priorisiertes Traffic Handling sowie die optische Kontrolle des Cyber-Security-Zustands der jeweiligen Produktion.
Die Data Security Box bietet eine Firewall, Zoning, gesicherte VPN-Verbindungen, priorisiertes Traffic Handling sowie die optische Kontrolle des Cyber-Security-Zustands der jeweiligen Produktion. Bild: Phoenix Contact Deutschland GmbH

Absicherung durch Netzwerksegmentierung und redundante -verbindungen

Die Segmentierung oder das Zoning der Netzwerke stellt einen Teil des Security-Konzepts dar. Mit dieser Maßnahme lassen sich die flachen Netzwerkstrukturen, bei denen sich alle Teilnehmer in einem großen gemeinsamen Subnetz befinden, sukzessive in kleine zusammengehörende Netzwerke unterteilen. Der Vorteil dieser kleinen Netzwerke liegt darin, dass sie nicht mehr von der Kommunikation des übrigen Netzwerks beeinflusst werden. Eine Firewall reglementiert den ein- und ausgehenden Datenverkehr, weshalb lediglich die Informationen ausgetauscht werden, die für die Fertigung in dieser Zone relevant sind. VPN-Tunnel (Virtual Private Network) schaffen gesicherte Übertragungswege zu anderen Systemen oder Orten, wenn die installierten Komponenten keine Verschlüsselung ihrer Daten ermöglichen. Gleiches gilt für den Verbindungsaufbau zu Service-Partnern, die bei der Wartung oder beim Troubleshooting unterstützen.

Anlagenteile, die eine hochverfügbare Netzwerkverbindung erfordern, damit Daten aus einer Datenbank gelesen oder in sie geschrieben werden können, lassen sich über redundante Netzwerkverbindungen an die überlagerte Infrastruktur anschließen. Dazu werden die Netzwerkteilnehmer in einer Ringstruktur verbunden, sodass ein einzelnes defektes Netzwerkkabel keinen Einfluss auf die Verfügbarkeit der ganzen Anlage mehr hat. Für eine noch höhere Verfügbarkeit bietet sich die Realisierung weiter vermaschter Topologien an, bei denen selbst ein Ausfall von mehreren Netzwerkverbindungen nicht zu einer Verringerung der Verfügbarkeit führt.

 Gemeinsam mit den Anwendern entwerfen die Security-Spezialistinnen und -Spezialisten von Phoenix Contact ein sicheres und performantes Netzwerkkonzept, das sich vom OT-Personal einfach konfigurieren und warten lässt.
Gemeinsam mit den Anwendern entwerfen die Security-Spezialistinnen und -Spezialisten von Phoenix Contact ein sicheres und performantes Netzwerkkonzept, das sich vom OT-Personal einfach konfigurieren und warten lässt.Bild: Phoenix Contact Deutschland GmbH

Software zur einfachen Fehlersuche sowie für schnelle Firmware-Updates

Im Bereich der Zugriffssicherheit erweist sich das Device- und Patchmanagement als zusätzlicher wichtiger Aspekt. Mit dem Tool FL Network Manager stellt Phoenix Contact nicht nur eine Software zur Verfügung, mit der die Geräte in Betrieb genommen werden können. Vielmehr lassen sich ebenfalls sämtliche Betriebsparameter einstellen. Die integrierte Topologie-Darstellung hilft bei der Fehlersuche, denn sie zeigt Unterbrechungen in der Ring- oder RSTP-Struktur (Rapid Spanning Tree Protocol) visuell an. Die Option des Versendens von Firmware-Updates über das Netzwerk rundet den Funktionsumfang der Software ab. So lassen sich Security-Patches einspielen oder neue Features in der aktuellen Firmware nutzen. Für das Management der Firewalls aus der Produktfamilie mGuard ist es ferner wichtig, die Firewall-Regeln bei größeren Anlagen global verwalten zu können. Diese Aufgabe übernimmt der mGuard Device Manager. Auf diese Weise passt der Anwender die Firewall-Regeln innerhalb weniger Minuten an und überträgt sie auf die Geräte.

Fazit

Phoenix Contact steht den Anwendern zur Seite, die sich in der beschriebenen Ausgangslage wiederfinden und ihr Netzwerk prüfen, umbauen oder upgraden möchten, um dort mehr Cyber Security und Performance zu erlangen. Zu diesem Zweck umfasst das Portfolio des Blomberger Unternehmens entsprechende Produkte und Services. Gemeinsam mit den Betreibern wird das vorhandene Produktionsnetzwerk analysiert, und die zukünftigen technischen und gesetzlichen Anforderungen werden abgestimmt. Auf dieser Grundlage erarbeiten die Security-Expertinnen und -Experten ein Konzept, das sukzessive umgesetzt und von den geschulten OT-Mitarbeitenden (Operational Technology) des Anwenders gemanagt und gewartet werden kann.

Neuerungen aus der EU-Direktive NIS 2.0

„IT-Security geht mich nichts an. Es wird schon nichts passieren.“ Die jüngste Vergangenheit hat gezeigt, dass jedes Unternehmen Ziel eines Angriffs sein kann. Die Vielzahl der täglich zugesendeten Phishing-Mails, die versuchen Informationen auszuspähen oder Systeme durch Anhänge zu infizieren, unterstreicht dies deutlich. Der Entwurf der Erweiterung der EU-Direktive für Sicherheit in Netzwerk- und Informationssystemen (NIS 2.0) vom Dezember 2020 formuliert daher mehr Geltungsbedingungen, Pflichten und Aufsicht für acht weitere Sektoren, die als kritisch und wichtig eingeordnet werden.

Zu den wesentlichen Sektoren gehören dann auch folgende Bereiche: Medizingeräte, Computer, Elektrik, Maschinenbau, Automobile und Transport.

Die Zulieferer in den Lieferketten sind ebenfalls betroffen. Die in diesem Umfeld angesiedelten Betreiber müssen Mindeststandards umsetzen, um die IT und Netzwerke ihrer kritischen Dienstleistungen zu schützen. Einige Vorgaben aus dem Entwurf NIS 2.0 wurden bereits im deutschen IT-Sicherheitsgesetz 2.0 realisiert, das am 28. Mai 2021 in Kraft getreten ist. Andere Vorschriften werden folgen. Jeder Betreiber sollte sich der stetig wachsenden Gefahr eines Angriffs bewusst sein und eine mehrschichtige Strategie entwickeln, damit sich diese Gefahr auf ein Minimum reduziert.

Phoenix Contact Deutschland GmbH

Das könnte Sie auch Interessieren

Bild: Hekatron Vertriebs GmbH
Bild: Hekatron Vertriebs GmbH
Fernüberwachung von Brandmeldeanlagen wird leichter

Fernüberwachung von Brandmeldeanlagen wird leichter

Aufgrund rechtlicher Bedenken blickte manch ein Errichter oder Betreiber bisher skeptisch auf Lösungen wie die Fernüberwachung und -instandhaltung von Brandmeldeanlagen. Die neue Dienstleistungsnorm DIN EN 50710 ‚Anforderungen an die Bereitstellung von sicheren Ferndiensten für Brandsicherheitsanlagen und Sicherheitsanlagen‘ nimmt diese Sorge nun und lädt dazu ein, die Möglichkeiten des Fernzugriffs voll auszuschöpfen.