Dass industrielle Systeme und Anlagen vor Bedrohungen von außen, vor unberechtigten Zugriffen geschützt werden müssen, zeigen diverse Beispiele von Sicherheitsrisiken aus der Vergangenheit, von denen Stuxnet wohl das prominenteste ist. Allerdings ist es nicht einfach möglich, die bestehenden Sicherheitskonzepte und -strategien der IT-Welt, meist VPN-Lösungen, einfach auf industrielle Anlagennetzwerke (OT) zu übertragen. Denn in der IT-Welt sind stets aktuelle Systeme im Einsatz, die mit Updates auf dem neusten Sicherheits-Stand gehalten werden können. Nicht so in der Industrie. Im industriellen Umfeld sind aufgrund der langen Anlagenlaufzeiten von oft mehreren Jahrzehnten immer noch diverse ältere Steuerungen und Protokolle, die inkompatibel mit modernen Varianten sind, sowie nicht netzwerkfähige ältere Anlagen im Einsatz, die zu vernetzen sind. Deshalb benötigt man idealerweise zwei separate Netzwerke: eines für die IT und eines für die OT, die jeweils entsprechend vor Bedrohungen geschützt sind.
Cyber-Sicherheit für Industrieanlagen
Um die besonderen Probleme einer sicheren Vernetzung und damit dem Fernzugriff auf Anlagen und Systeme in der Industrie zu lösen, wurde mit dem modularen Hard- und Softwaresystem se.Mis ein neuartiger Ansatz gewählt. Ziel dieser modularen Lösung ist es, alle industriellen Systeme und Anlagen auf Basis moderner IT-Sicherheitsstandards zu vernetzen und abzusichern, ohne sie durch zusätzliche Software oder Updates zu verändern. Die Basiskonfiguration besteht aus Access-Gateway, dem Manager und einem entsprechendem Connector. Die jeweils vorhandene Infrastruktur beim Anwender gibt vor, welche Konfiguration des Systems eingesetzt wird. Dazu wird es dann projektbezogen ausgestaltet.
Einfache Installation
Da Anlagenbediener in der Industrie häufig wenig Erfahrung mit IT-Systemen haben, wurde bei der Entwicklung besonderer Wert auf eine einfache Bedienung und Integration gelegt. Die Installation kann vor Ort von jedem Nutzer selbst vorgenommen werden. Umfangreiches Fachwissen ist dafür nicht notwendig. Dies wird durch eine intuitive Administrationsschnittstelle und ausgeklügelte Automatismen im Hintergrund ermöglicht.
Sicherer Zugriff
Der Zugriff von außen aus dem Internet auf ein sensibles Maschinennetzwerk erfolgt über das Access-Gateway se.Mis, ohne dass aus dem internen Netz heraus die Firewall geöffnet werden muss. Das Gateway ist ein statischer Container ohne Schreibzugriff, in dem man sich anmeldet und dort die Anmeldedaten hinterlegt. Es nimmt nur Login-Daten entgegen, andere Eingaben sind unzulässig. Zentrale Komponente ist der se.Mis-Manager, in dem die Benutzerinteraktion stattfindet. Er fragt das Gateway regelmäßig ab, ob Aufträge abzuholen sind. Diese Verbindung wird aus dem internen Netz (LAN) heraus aufgebaut. Wenn ein Auftrag z.B. für eine Fernwartung im Container liegt, wird dieser abgeholt und geprüft, ob die Zugriffsberechtigung vorliegt und weitere Bedingungen erfüllt sind. Somit hat man keine aktive Verbindung nach außen und ist vor unberechtigten Zugriffen geschützt. Des Weiteren organisiert der Manager alle Verbindungen und kümmert sich um die Einbindung von Maschinen und Konnektoren, aber auch um die Einbindung in das IT-Unternehmensnetzwerk. Zudem verantwortet er die Einhaltung von Sicherheitsrichtlinien und administrativen Vorgaben. Er kann in der Cloud oder vollständig auf einem lokalen System außerhalb des isolierten Maschinen-Netzwerks installiert werden und ist im Idealfall das einzige System mit indirektem Zugriff auf das Maschinennetzwerk. Die Gesamtlösung wird als digitaler Container vorinstalliert und vorkonfiguriert, wobei in der Standardkonfiguration bereits eine interne, zuverlässige Datenverwaltung vordefiniert ist.
Einfache sichere Bedienung
Die Bedienung und Konfiguration erfolgen über ein schlankes, benutzerfreundliches Web Interface. Steht ein Update an, so wird lediglich der Container ausgetauscht, Daten und Konfiguration bleiben davon unberührt. So ist es einfach, die Lösung stets aktuell zu halten und an die jeweiligen Anforderungs- und Bedrohungslagen anzupassen. Der Zugriff auf se.Mis sowie alle Daten sind kryptografisch gegen Manipulation und Fremdzugriff auf Basis modernster IT-Sicherheitsrichtlinien geschützt. Die Verschlüsselung aller Daten und Verbindungen sowie die Anforderungen der IEC62443 sind dabei ebenso gewährleistet wie eine sichere Anmeldung über Einmalpasswort-App (OTP) oder hardwarebasierte Kryptoschlüssel.
Vollständige Dokumentation
Für die vollständige Dokumentation sämtlicher Zugriffe über die grafische Bedienoberfläche dient das zentrale Wartungsbuch mit Multimedia-Unterstützung. In ihm werden alle Änderungen und Zugriffe obligatorisch dokumentiert und archiviert. Damit lassen sie sich immer eindeutig nachvollziehen. Bei einem Fernzugriff auf eine Maschine wird automatisch ein Eintrag angelegt, in dem Personen, Uhrzeiten, Systeme und Metadaten festgehalten sind. Dieser Eintrag kann nach Belieben manuell ergänzt werden. Bei Bedarf können sogar komplette Sitzungen aufgezeichnet werden. Zugriffe sind nur mit Auftrag erlaubt, wobei ein weitreichendes Management der Zugriffe und ein vollständiges Session-Audit gewährleistet sind. Im Audit sind derzeit VNC, RDP, SSH, Siemens SmartServer und Siemens Step7/TIA Portal spezifiziert. Wiederkehrende Aufträge lassen sich ebenfalls definieren, ebenso wie Session-Sharing und Session-Assistance. Das Wartungsbuch, das ein komplettes Rollen- und Rechtesystem für Benutzer, Systeme und Maschinen enthält, wird in der Datenbank des Anwenders hinterlegt.
Ein Planungssystem stellt zudem sicher, dass sämtliche Zugriffe ausschließlich zum vordefinierten Zeitpunkt durchgeführt werden können. Auf dieser Basis erlaubt oder entzieht das System den Zugang automatisch. Zugriffe auf eine Maschine sowie das Wartungsbuch sind frei und unabhängig voneinander konfigurierbar.
Wartung kritischer Anlagen
Für den sicheren Fernzugriff zur Wartung von Anlagen und kritischen Systemen ist der se.Mis-Connector die wichtigste Komponente, denn er isoliert das sensible Anlagennetz zuverlässig vom IT-Netzwerk. Der Connector ist eine Software, die zum einen auf der von Sematicon ausgewählten Hardware, aber auch auf vorhandener Hardware beim Kunden laufen kann, und, wenn nicht benötigt, gar nicht laufen muss. Dies hängt vom jeweiligen Anwendungsfall ab. Damit wird zusätzliche Hardware nicht unbedingt benötigt, man ist somit für alle Szenarien vorbereitet. Ein weiterer Vorteil der ausgewählten Hardwarekomponenten ist, sie bereits alle Stempel und Zertifizierungen haben, die normalerweise in der Industrie gebraucht werden. Aufgrund der kompakten Maße von 150×52,3x105mm und der Form ist die ausgewählte Hardware besonders für die Montage im Schaltschrank oder an der Maschine geeignet. Dafür stehen diverse Montagerahmen für die horizontale oder vertikale Montage an der Maschine oder eine DIN-Schiene für den Einbau auf einer Hutschiene direkt an der Maschine zur Verfügung. Der maximale Betriebstemperaturbereich von – 25 bis +60°C und die Feuchteresistenz von 10 bis 95 Prozent nicht kondensierend eignen ihn auch für raue Industrieumgebungen.
Der se.Mis-Connector lässt sich mit drei Modulen erweitern. Das IO-Modul erlaubt die direkte Steuerung der Maschine durch elektrische Signale und verträgt an den jeweils vier Ein- und Ausgängen Spannungen von 5 bis 48V, wie sie in der Industrie vorkommen. Das Display-Port-Modul erweitert den HDMI-Anschluss um einen zweiten Monitorausgang. Damit lassen sich weitere Bildschirme oder Anzeigetafeln anbinden. Das LAN-Modul ermöglicht den Anschluss optionaler se.Mis-KVM-Extender-Module, über die zusätzlich die Einbindung weiterer Maschinen oder Maschinennetzwerke möglich ist.
Ältere Anlagen ins Netzwerk einbinden
Ein großes Problem für die Vernetzung und den Fernzugriff ist die heterogene Struktur von Industrieanlagen, in der häufig noch nicht netzwerkfähige Maschinensteuerungen eingesetzt sind. Da in se.Mis alle gängigen neuen und auch alte Betriebssysteme unterstützt werden, können sie in die Lösung mit eingebunden werden – sogar in Systeme, die nicht netzwerkfähig sind. Dies erfolgt über die KVM-Extender. Mit den KVM-Analog-Extendern können sie direkt über den Tastatur-, Maus- und Bildschirmanschluss eines Steuerungs-PCs eingebunden werden. Egal ob MS-DOS, Windows-CE oder ein beliebiges anderes System, mit diesen Extendern lassen sich alle Arten von Geräten mit VGA- und PS/2-Schnittstelle fernsteuern. Die KVM-Analog-Duo-Erweiterung bietet gegenüber der Analogvariante zusätzlich den Vorteil, dass noch ein weiterer lokaler Bildschirm oder ein lokales HMI-Panel eingebunden werden können. Der Steuerungs-PC wird dazu mit dem Eingang verbunden und der lokale Bildschirm mit dem Ausgang. Bei beiden Modulen können Auflösungen bis zu 1.600×1.200 Pixel digitalisiert und übertragen werden. Die Stromversorgung erfolgt wahlweise über den PS/2-Anschluss oder über ein optionales 5-VDC-Netzteil und ist somit unabhängig von anderen Stromquellen.
Die KVM-Digital-Erweiterung kann mit digitalen Systemen über DVI bzw. HDMI verbunden werden. Beim Anschluss über einen USB-Anschluss verhält sich der Extender wie eine USB-Tastatur bzw. eine USB-Maus. Mit einer Lizenz lässt sich auch eine USB-Virtual-Media-Unterstützung nachrüsten. Hier sind Auflösungen bis zu 1.920×1.200 Pixel möglich, die Stromversorgung erfolgt über den USB-2.0-Typ-B-Anschluss.
