Modulares Hard- und Softwaresystem für Cyber-Sicherheit in der Industrie
Projektbezogene Ausgestaltung
Digitalisierte und über das Internet vernetzte Fabriken sowie das Cloud Computing bieten der Industrie vielfältige Vorteile. Dazu zählt unter anderem der Fernzugriff auf Maschinen und Anlagen, um frühzeitig Fehler zu erkennen, eine vorausschauende Wartung durchzuführen und damit ungeplante Stillstandzeiten zu vermeiden. Dieser Zugriff muss jedoch sicher sein und darf nicht zum Einfalltor von Schadsoftware und Angriffen von außen werden. Allerdings stellen industrielle Netzwerke besondere Anforderungen an die Cybersicherheit, die die hier vorgestellte Sicherheitslösung für die Industrie vollumfänglich erfüllt.
 Die se.Mis-KVM-Extender-Serie erlaubt die direkte Einbindung älterer und netzwerkloser Systeme über den Tastatur-, Maus- und Bildschirmanschluss eines Steuerungs-PCs und damit die Fernsteuerung aller Arten von Geräten mit VGA- und PS/2-Schnittstelle.
Die se.Mis-KVM-Extender-Serie erlaubt die direkte Einbindung älterer und netzwerkloser Systeme über den Tastatur-, Maus- und Bildschirmanschluss eines Steuerungs-PCs und damit die Fernsteuerung aller Arten von Geräten mit VGA- und PS/2-Schnittstelle.Bild: Sematicon AG

Dass industrielle Systeme und Anlagen vor Bedrohungen von außen, vor unberechtigten Zugriffen geschützt werden müssen, zeigen diverse Beispiele von Sicherheitsrisiken aus der Vergangenheit, von denen Stuxnet wohl das prominenteste ist. Allerdings ist es nicht einfach möglich, die bestehenden Sicherheitskonzepte und -strategien der IT-Welt, meist VPN-Lösungen, einfach auf industrielle Anlagennetzwerke (OT) zu übertragen. Denn in der IT-Welt sind stets aktuelle Systeme im Einsatz, die mit Updates auf dem neusten Sicherheits-Stand gehalten werden können. Nicht so in der Industrie. Im industriellen Umfeld sind aufgrund der langen Anlagenlaufzeiten von oft mehreren Jahrzehnten immer noch diverse ältere Steuerungen und Protokolle, die inkompatibel mit modernen Varianten sind, sowie nicht netzwerkfähige ältere Anlagen im Einsatz, die zu vernetzen sind. Deshalb benötigt man idealerweise zwei separate Netzwerke: eines für die IT und eines für die OT, die jeweils entsprechend vor Bedrohungen geschützt sind.

Cyber-Sicherheit für Industrieanlagen

Um die besonderen Probleme einer sicheren Vernetzung und damit dem Fernzugriff auf Anlagen und Systeme in der Industrie zu lösen, wurde mit dem modularen Hard- und Softwaresystem se.Mis ein neuartiger Ansatz gewählt. Ziel dieser modularen Lösung ist es, alle industriellen Systeme und Anlagen auf Basis moderner IT-Sicherheitsstandards zu vernetzen und abzusichern, ohne sie durch zusätzliche Software oder Updates zu verändern. Die Basiskonfiguration besteht aus Access-Gateway, dem Manager und einem entsprechendem Connector. Die jeweils vorhandene Infrastruktur beim Anwender gibt vor, welche Konfiguration des Systems eingesetzt wird. Dazu wird es dann projektbezogen ausgestaltet.

Einfache Installation

Da Anlagenbediener in der Industrie häufig wenig Erfahrung mit IT-Systemen haben, wurde bei der Entwicklung besonderer Wert auf eine einfache Bedienung und Integration gelegt. Die Installation kann vor Ort von jedem Nutzer selbst vorgenommen werden. Umfangreiches Fachwissen ist dafür nicht notwendig. Dies wird durch eine intuitive Administrationsschnittstelle und ausgeklügelte Automatismen im Hintergrund ermöglicht.

 Prinzipielle Architektur der Sicherheitslösung für industrielle Netzwerke
Prinzipielle Architektur der Sicherheitslösung für industrielle NetzwerkeBild: Sematicon AG / CyProtect AG

Sicherer Zugriff

Der Zugriff von außen aus dem Internet auf ein sensibles Maschinennetzwerk erfolgt über das Access-Gateway se.Mis, ohne dass aus dem internen Netz heraus die Firewall geöffnet werden muss. Das Gateway ist ein statischer Container ohne Schreibzugriff, in dem man sich anmeldet und dort die Anmeldedaten hinterlegt. Es nimmt nur Login-Daten entgegen, andere Eingaben sind unzulässig. Zentrale Komponente ist der se.Mis-Manager, in dem die Benutzerinteraktion stattfindet. Er fragt das Gateway regelmäßig ab, ob Aufträge abzuholen sind. Diese Verbindung wird aus dem internen Netz (LAN) heraus aufgebaut. Wenn ein Auftrag z.B. für eine Fernwartung im Container liegt, wird dieser abgeholt und geprüft, ob die Zugriffsberechtigung vorliegt und weitere Bedingungen erfüllt sind. Somit hat man keine aktive Verbindung nach außen und ist vor unberechtigten Zugriffen geschützt. Des Weiteren organisiert der Manager alle Verbindungen und kümmert sich um die Einbindung von Maschinen und Konnektoren, aber auch um die Einbindung in das IT-Unternehmensnetzwerk. Zudem verantwortet er die Einhaltung von Sicherheitsrichtlinien und administrativen Vorgaben. Er kann in der Cloud oder vollständig auf einem lokalen System außerhalb des isolierten Maschinen-Netzwerks installiert werden und ist im Idealfall das einzige System mit indirektem Zugriff auf das Maschinennetzwerk. Die Gesamtlösung wird als digitaler Container vorinstalliert und vorkonfiguriert, wobei in der Standardkonfiguration bereits eine interne, zuverlässige Datenverwaltung vordefiniert ist.

Einfache sichere Bedienung

Die Bedienung und Konfiguration erfolgen über ein schlankes, benutzerfreundliches Web Interface. Steht ein Update an, so wird lediglich der Container ausgetauscht, Daten und Konfiguration bleiben davon unberührt. So ist es einfach, die Lösung stets aktuell zu halten und an die jeweiligen Anforderungs- und Bedrohungslagen anzupassen. Der Zugriff auf se.Mis sowie alle Daten sind kryptografisch gegen Manipulation und Fremdzugriff auf Basis modernster IT-Sicherheitsrichtlinien geschützt. Die Verschlüsselung aller Daten und Verbindungen sowie die Anforderungen der IEC62443 sind dabei ebenso gewährleistet wie eine sichere Anmeldung über Einmalpasswort-App (OTP) oder hardwarebasierte Kryptoschlüssel.

Vollständige Dokumentation

Für die vollständige Dokumentation sämtlicher Zugriffe über die grafische Bedienoberfläche dient das zentrale Wartungsbuch mit Multimedia-Unterstützung. In ihm werden alle Änderungen und Zugriffe obligatorisch dokumentiert und archiviert. Damit lassen sie sich immer eindeutig nachvollziehen. Bei einem Fernzugriff auf eine Maschine wird automatisch ein Eintrag angelegt, in dem Personen, Uhrzeiten, Systeme und Metadaten festgehalten sind. Dieser Eintrag kann nach Belieben manuell ergänzt werden. Bei Bedarf können sogar komplette Sitzungen aufgezeichnet werden. Zugriffe sind nur mit Auftrag erlaubt, wobei ein weitreichendes Management der Zugriffe und ein vollständiges Session-Audit gewährleistet sind. Im Audit sind derzeit VNC, RDP, SSH, Siemens SmartServer und Siemens Step7/TIA Portal spezifiziert. Wiederkehrende Aufträge lassen sich ebenfalls definieren, ebenso wie Session-Sharing und Session-Assistance. Das Wartungsbuch, das ein komplettes Rollen- und Rechtesystem für Benutzer, Systeme und Maschinen enthält, wird in der Datenbank des Anwenders hinterlegt.

Ein Planungssystem stellt zudem sicher, dass sämtliche Zugriffe ausschließlich zum vordefinierten Zeitpunkt durchgeführt werden können. Auf dieser Basis erlaubt oder entzieht das System den Zugang automatisch. Zugriffe auf eine Maschine sowie das Wartungsbuch sind frei und unabhängig voneinander konfigurierbar.

 Mit se.Mis ist ein sicherer und nachvollziehbarer Fernzugriff auf industrielle Anlagen möglich, ohne diese durch zusätzliche Software oder Updates zu verändern.
Mit se.Mis ist ein sicherer und nachvollziehbarer Fernzugriff auf industrielle Anlagen möglich, ohne diese durch zusätzliche Software oder Updates zu verändern. Bild: Sematicon AG / CyProtect AG

Wartung kritischer Anlagen

Für den sicheren Fernzugriff zur Wartung von Anlagen und kritischen Systemen ist der se.Mis-Connector die wichtigste Komponente, denn er isoliert das sensible Anlagennetz zuverlässig vom IT-Netzwerk. Der Connector ist eine Software, die zum einen auf der von Sematicon ausgewählten Hardware, aber auch auf vorhandener Hardware beim Kunden laufen kann, und, wenn nicht benötigt, gar nicht laufen muss. Dies hängt vom jeweiligen Anwendungsfall ab. Damit wird zusätzliche Hardware nicht unbedingt benötigt, man ist somit für alle Szenarien vorbereitet. Ein weiterer Vorteil der ausgewählten Hardwarekomponenten ist, sie bereits alle Stempel und Zertifizierungen haben, die normalerweise in der Industrie gebraucht werden. Aufgrund der kompakten Maße von 150×52,3x105mm und der Form ist die ausgewählte Hardware besonders für die Montage im Schaltschrank oder an der Maschine geeignet. Dafür stehen diverse Montagerahmen für die horizontale oder vertikale Montage an der Maschine oder eine DIN-Schiene für den Einbau auf einer Hutschiene direkt an der Maschine zur Verfügung. Der maximale Betriebstemperaturbereich von – 25 bis +60°C und die Feuchteresistenz von 10 bis 95 Prozent nicht kondensierend eignen ihn auch für raue Industrieumgebungen.

Der se.Mis-Connector lässt sich mit drei Modulen erweitern. Das IO-Modul erlaubt die direkte Steuerung der Maschine durch elektrische Signale und verträgt an den jeweils vier Ein- und Ausgängen Spannungen von 5 bis 48V, wie sie in der Industrie vorkommen. Das Display-Port-Modul erweitert den HDMI-Anschluss um einen zweiten Monitorausgang. Damit lassen sich weitere Bildschirme oder Anzeigetafeln anbinden. Das LAN-Modul ermöglicht den Anschluss optionaler se.Mis-KVM-Extender-Module, über die zusätzlich die Einbindung weiterer Maschinen oder Maschinennetzwerke möglich ist.

Ältere Anlagen ins Netzwerk einbinden

Ein großes Problem für die Vernetzung und den Fernzugriff ist die heterogene Struktur von Industrieanlagen, in der häufig noch nicht netzwerkfähige Maschinensteuerungen eingesetzt sind. Da in se.Mis alle gängigen neuen und auch alte Betriebssysteme unterstützt werden, können sie in die Lösung mit eingebunden werden – sogar in Systeme, die nicht netzwerkfähig sind. Dies erfolgt über die KVM-Extender. Mit den KVM-Analog-Extendern können sie direkt über den Tastatur-, Maus- und Bildschirmanschluss eines Steuerungs-PCs eingebunden werden. Egal ob MS-DOS, Windows-CE oder ein beliebiges anderes System, mit diesen Extendern lassen sich alle Arten von Geräten mit VGA- und PS/2-Schnittstelle fernsteuern. Die KVM-Analog-Duo-Erweiterung bietet gegenüber der Analogvariante zusätzlich den Vorteil, dass noch ein weiterer lokaler Bildschirm oder ein lokales HMI-Panel eingebunden werden können. Der Steuerungs-PC wird dazu mit dem Eingang verbunden und der lokale Bildschirm mit dem Ausgang. Bei beiden Modulen können Auflösungen bis zu 1.600×1.200 Pixel digitalisiert und übertragen werden. Die Stromversorgung erfolgt wahlweise über den PS/2-Anschluss oder über ein optionales 5-VDC-Netzteil und ist somit unabhängig von anderen Stromquellen.

Die KVM-Digital-Erweiterung kann mit digitalen Systemen über DVI bzw. HDMI verbunden werden. Beim Anschluss über einen USB-Anschluss verhält sich der Extender wie eine USB-Tastatur bzw. eine USB-Maus. Mit einer Lizenz lässt sich auch eine USB-Virtual-Media-Unterstützung nachrüsten. Hier sind Auflösungen bis zu 1.920×1.200 Pixel möglich, die Stromversorgung erfolgt über den USB-2.0-Typ-B-Anschluss.

Das könnte Sie auch Interessieren

Anzeige

Anzeige

Bild: Bildschoen - Boris Trenkel
Bild: Bildschoen - Boris Trenkel
Digitale Plattform für die TGA im Hochhaus

Digitale Plattform für die TGA im Hochhaus

Gemeinsam mit dem Immobilienunternehmen Heimstaden hat Metr ein 19-stöckiges Hochhaus mit 150 Wohneinheiten grundlegend digitalisiert. Heizungsanlage, Trinkwasserinstallation, Aufzüge und auch die Schließanlage werden nun in einem zentralen Dashboard fernüberwacht. Das Projekt zeigt: Die Lösung des Berliner Technologieunternehmen lässt sich umfangreich und schnell erweitern – auch in großen Gebäudekomplexen.

Bild: Endian SRL
Bild: Endian SRL
10-Punkte-Plan

10-Punkte-Plan

Die Zahl der Cyberattacken ist in 2021 rasant gestiegen. Mit der wachsenden Vernetzung sowie der Integration von Software rückt auch die Operational Technologie (OT) zunehmend in den Fokus der Angreifer. Endian, Anbieter im Bereich Industrial IoT und Security, empfiehlt zehn Schutzmaßnahmen für die OT.

Bild: ProSoft Software Vertriebs GmbH
Bild: ProSoft Software Vertriebs GmbH
Erst mal durch 
die Datenschleuse

Erst mal durch die Datenschleuse

Der Grad der Vernetzung und Digitalisierung in der Produktion hat in Deutschland gerade bei KMUs noch viel Potenzial. 2018 lag die Digitalisierungsquote erst bei 30 Prozent, respektive 20 Prozent bei kleineren Unternehmen. Durch die konsequente Digitalisierung kann laut der Unternehmensberatung McKinsey der Wirtschaftsstandort Deutschland bis 2025 insgesamt 126 Milliarden Euro zusätzlich an Wertschöpfung erreichen und Standortnachteile abfedern. Immerhin 25 Prozent der Wertschöpfung entfallen in Deutschland auf das produzierende Gewerbe.

Anzeige

Anzeige

Anzeige