Fernzugriff auf die Automatisierungstechnik

Zero Trust stärkt Zellenschutz

Homeoffice und Fernzugriff - was viele Hersteller IT-seitig bereits umsetzen, weckt auf Werks- und Konstruktionsebene noch oft Begehrlichkeiten. Doch auch hier können Aufgaben extern erledigt werden. Für solche Projekte kooperieren Siemens und Zscaler Inc., um einen duchgängigen Zero Trust-Sicherheitsansatz für OT/IT zu ermöglichen.
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen.
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen. Bild: Siemens AG

Es war eine Frage der Zeit, bis das aus der Bürowelt kommende mobile Arbeiten – aus dem Homeoffice oder der Ferne allgemein – auch auf die Welt der Operational Technology (OT) abstrahlen würde. Zumal sich beide Spähren ohnehin mehr und mehr verzahnen. Die Pandemie hat den Wunsch vieler Prozess- und Anlagenbetreiber nach Zugriffsmöglichkeiten von außen, über die Fernwartung hinaus, weiter verstärkt. Diese Marktanforderung bewogen die beiden Unternehmen Siemens und Zscaler Inc, einen durchgängigen Zero-Trust-Sicherheitsansatz für OT/IT zu erarbeiten.

OT ist nicht IT!

Heterogene, oft über Jahre gewachsene industrielle Kommunikationsnetzwerke stellen in mehrfacher Hinsicht andere Anforderungen als reine IT-Lösungen. Daten in der Produktion müssen vielfach deterministisch in Echtzeit kommuniziert werden. Zudem sind oft Safety-Funktionen, Verfügbarkeit und Knowhow-Schutz sicherzustellen. Hinzu kommt, dass ältere Komponenten mitunter gänzlich offen und unverschlüsselt kommunizieren. Um Cyberangriffe abwehren zu können, wurden auf die Industrie abgestimmte Schutzkonzepte entwickelt, wie das Defense-in-Depth-Konzept, die tiefengestaffelte Verteidigung nach IEC62443. Die Netzwerksicherheit fußt dabei auf einer individuellen Risikobewertung und segmentierten Netzwerken mit separat über eigene Firewalls geschützten Produktionszellen. Der Austausch mit dem Büronetzwerk oder Internet läuft in einem solchen perimeterbasierten Netzwerk über eine sogenannte demilitarisierte Zone (DMZ) oder spezielle Rendezvous Server und Jump Hosts. In Büronetzwerken mit ihren vielen meist neueren Devices und ständigen Veränderungen hat sich dagegen häufig ein Schutzkonzept etabliert, bei dem keinem Teilnehmer per se vertraut wird (never trust, always verify). Dieser Zero-Trust-Ansatz setzt voraus, dass alle Netzwerkteilnehmer – Benutzer wie Geräte – erst ihre Identität und Integrität nachweisen, bevor die Kommunikation mit der Zielressource aufgebaut wird. Weil viele Automatisierungskomponenten und Netzwerkinfrastrukturen damit überfordert wären, lässt sich dieses zentral verwaltete Konzept nicht ohne Anpassungen vollständig auf industrielle Netzwerke übertragen.

Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen.
Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen.Bild: Siemens AG

Konvergente Lösungen

Um OT und IT dennoch zu integrieren, haben Siemens und Zscaler ihre Systemkompetenzen so gebündelt, dass ein Zero-Trust-Sicherheitsansatz für OT/IT-Umgebungen möglich wird. Als rubuste Hardware an oder in den Fertigungszellen dient die lokale Verarbeitungsplattform Scalance LPE (Local Processing Engine) von Siemens. Deren Kernaufgabe ist das Sammeln von Daten und deren Vorverarbeitung nahe am Prozess. Dazu wird das Gerät via Ethernet in ein Zellennetzwerk eingebunden. Das Edge-Device mit einem Betriebssystem auf Linux-Basis führt den App Connector des cloud-basierten Remote Access-Service Zscaler Private Access (ZPA) aus, der sich als Docker-Container installieren lässt. Über den App Connector können die Edge-Devices von Siemens in der Zero-Trust-Exchange-Cloud-Plattform aufgenommen und konfiguriert werden. Anschließend fungiert sie als Zero-Trust-Gateway für ihre Zelle, die in sich als vertrauenswürdig betrachtet wird. Die Plattform überwacht die für den Zugriff notwendigen Regelsätze und stellt die Schnittstellen für Identity Provider bereit. Sie lässt nur identifizierte und autorisierte Teilnehmer auf die für diese freigegebenen Ressourcen zugreifen. So können unternehmensweit administrierte Anwender aus der Ferne und abgesichert auf lokale Produktions- oder Entwicklungssysteme zugreifen. Spezifische Berechtigungskonzepte unterstützen die Anforderungen von Echtzeit- oder Safety-Anwendungen wie der Verfügbarkeit und des Knowhow-Schutzes. Dabei soll das zentrale Management in der Plattform ermöglichen, zusätzliche Verbindungen für das Zusammenspiel von OT und IT einzurichten und gleichzeitig die Firewall-Regelsätze restriktiver zu konfigurieren.

Administratoren können in der Cloud-Plattform Zugriffsregeln definieren.
Administratoren können in der Cloud-Plattform Zugriffsregeln definieren.Bild: Siemens AG

Anwender mit Zscaler- und Siemens-Infrastruktur gesucht

Nachdem Siemens das Konzept in den eigenen Netzwerken mit hunderttausend Zscaler-Teilnehmern getestet hat, will man nun weitere geeignete Anwendungen im Produktions- und Entwicklungsumfeld definieren und Lösungen dafür umzusetzen. Im Fokus stehen zunächst Unternehmen, die IT-seitig bereits auf die Zscaler-Plattform und in der Produktion auf Netzwerktechnik von Siemens setzen. Diese können den neuen Ansatz ohne großen Aufwand und grundlegende Veränderungen an der Netzwerkinfrastruktur implementieren.

Lösungen weiter nutzbar

Bestehende Defense-in-Depth-Konzepte bleiben beim Griff zum neuen Angebot weiterhin bestehen und werden lediglich um Zero-Trust-Funktionalitäten erweitert. Auch klassische VPN-basierte Fernzugriffe sowie die dazugehörige Management-Plattform sollen weiterentwickelt werden. Je nach Branche, Anwendungsfall und Unternehmensrichtlinie bieten beide Konzepte Vorteile. Doch langfristig gesehen könnten Zero-Trust-Konzepte nicht nur Betriebskosten senken, sondern auch zu einer höheren Cybersicherheit im Produktionsumfeld beitragen.

www.siemens.de

Das könnte Sie auch Interessieren

Bild: Geze GmbH
Bild: Geze GmbH
Überwachung von 
Rettungsweg und Fluchttüren

Überwachung von Rettungsweg und Fluchttüren

Die Integration von Rettungsweg- und Fluchttürüberwachung in das Gebäudeautomationsmanagement bietet vielfältige Vorteile. Es gibt bei Flucht- und Automatiktüren aber auch viel zu beachten, sowohl auf rechtlicher, als auch auf funktioneller Ebene. Die Unternehmen Iconag-Leittechnik und Geze arbeiten hierbei mit ihren Lösungen eng zusammen.

Bild: Phoenix Contact Deutschland GmbH
Bild: Phoenix Contact Deutschland GmbH
Höhere Verfügbarkeit bei 
geringeren Wartungskosten

Höhere Verfügbarkeit bei geringeren Wartungskosten

Die Krah-Gruppe stellt unter anderem Leistungswiderstände für die Automobilindustrie her. Zur Profinet-basierten Weiterleitung der Sensordaten wurden in der Vergangenheit Steckverbinder-Lösungen genutzt. Da diese in beweglichen Anwendungen wie den Laserschweißautomaten des Herstellers störanfällig sind und schnell verschleißen, kommt nun die kontaktlose und damit verschleißfreie Energie- und Ethernet-Übertragungslösung NearFi zum Einsatz.

Bild: TXOne Networks
Bild: TXOne Networks
CPS Cybersecurity

CPS Cybersecurity

Die Konvergenz von digitaler und physischer Welt hat im Zuge des rasanten technologischen Fortschritts zu einem neuen Bereich geführt, der als cyber-physische Systeme (CPS) bezeichnet wird. Diese Systeme verbinden computergestützte Algorithmen nahtlos mit physischen Prozessen und fördern so eine symbiotische Beziehung zwischen dem Virtuellen und dem Materiellen. Von autonomen Fahrzeugen und Smart Cities bis hin zur Industrieautomatisierung und der Kontrolle kritischer Infrastrukturen haben CPS die Art und Weise, wie wir mit unserer Umwelt interagieren und sie verwalten, revolutioniert.

Bild: Eurogard GmbH
Bild: Eurogard GmbH
Mehrwerte für Fernwartung, Monitoring und Analyse

Mehrwerte für Fernwartung, Monitoring und Analyse

Browser öffnen und einloggen: Schon sind alle verteilten Maschinen sichtbar. Eine integrierte Online-Plattform ermöglicht es Anwendern, Fernwartungsnetze, Maschinen-Monitoring und Datenanalyse vereint an einem Ort zu nutzen. Übersichtlichkeit, ein ausgefeiltes Rechtemanagement, vielfältige Analyse- und Service- Applikationen sollen dabei schnell und unkompliziert für spürbaren Nutzen bei Maschinenbauern und deren Kunden sorgen.

Bild: Engel Austria GmbH/©Fotostudio Eder
Bild: Engel Austria GmbH/©Fotostudio Eder
Smarte Lösung zur Ersatzteilidentifikation von Engel

Smarte Lösung zur Ersatzteilidentifikation von Engel

Mit der smarten Anwendung zur Ersatzteilidentifikation, dem part finder, zeigt das Unternehmen Engel, wie effektive Unterstützung für Kunststoffverarbeiter im Betriebsalltag funktioniert: eine einfache, zeitsparende Lösung, um die Maschinenverfügbarkeit zu verbessern und die Produktionseffizienz zu steigern. Ein Smartphone ist alles, was man dazu braucht.