:quality(80)/p7i.vogel.de/wcms/e4/eb/e4eb57a1c46d5239503ffe7d9de39a8d/0112008391.jpeg "Die „Automatisierungs-Potenzialanalyse“ (APA) ist für Montageprozesse und nun auch für Schweißprozesse verfügbar. (Bild: Fraunhofer IPA/Rainer Bez)")
:quality(80)/p7i.vogel.de/wcms/86/b8/86b86f5d74f5b7b5821e98c371f1f713/0111743832.jpeg "Industrieroboter sind in der Automobilindustrie nicht mehr wegzudenken. (Bild: Duerr)")
:quality(80)/p7i.vogel.de/wcms/03/ee/03ee0e5da89e63692f23a8d9f2000569/0111571927.jpeg "Wirtschaftsminister Robert Habeck (Grüne) besichtigte im Juli 2020 eine BSAF-Testanlage für CO2-freies Verfahren zur Wasserstoffproduktion. (Bild: BASF SE)")
:quality(80)/p7i.vogel.de/wcms/9c/b3/9cb373d583f480146e9e6ffdc1861871/0111790045.jpeg "Digitale Services als Applikationen analysieren Sensordaten, bewerten Energieverbräuche und optimieren die Parameter der Maschine selbstständig. Mit den Auswertungen sollen die Effizienz sowie die Ausfallzeiten der Maschinen verbessert werden. (Bild: Phoenix Contact)")
:quality(80)/p7i.vogel.de/wcms/21/bd/21bd5fcbd42668e1891d8c88096e9ac0/0111290588.jpeg "Das innovative Data-Science-Tool MELSOFT MaiLab (Mitsubishi Electric AI Laboratory) unterstützt Unternehmen bei der Digitalisierung Ihrer Fertigung und unterstützt so deren Produktivitätssteigerung. (Bild: Mitsubishi Electric Corporation, Japan)")
:quality(80)/p7i.vogel.de/wcms/52/6b/526b9eb3f0cae3dad6224b32db064471/0111261174.jpeg "Hydraulikfunktionen lassen sich durch die Software-Plattform H4U flexibel gestalten und direkt in bestehende Automationsumgebungen einbinden – so auch in CTRLX Automation. (Bild: Bosch Rexroth AG)")
:quality(80)/p7i.vogel.de/wcms/c4/c9/c4c9cc386720481bf03f466105812c99/0111960731.jpeg "Die Schraubtec Nord entwickelt sich: 360 Teilnehmer und 48 Aussteller sind eine deutliche Steigerung gegenüber der Erstveranstaltung in 2022. (Bild: D.Quitter - VCG)")
:quality(80)/p7i.vogel.de/wcms/1f/13/1f13b0770e7af32758a67a63231e3255/0111675466.jpeg "Das Projektkonsortium während des Kick-Off-Treffens am 3. März an der Universität Bayreuth. (Bild: Universität Bayreuth)")
:quality(80)/p7i.vogel.de/wcms/30/6c/306ca7a973f4470d05dfc6a757b9e17a/0111598890.jpeg "Universalgehäuse von Metz Connect sollen elektrische Verbindungen in Außenanwendungen dauerhaft gegen Umwelteinflüsse schützen. (Bild: Metz Connect )")
:quality(80)/p7i.vogel.de/wcms/55/51/55517a64e442d568e2f0f5c232c297d9/0112005842.jpeg "Der AMA- Innovationspreis geht 2023 an die Quantum Technologies GmbH. vl: Prof. Andreas Schütze (Juryvorsitzender), Dr. Lutz Langguth, Romy Müller, Dominik Rajspp, Dr. Robert Staacke (alle Quantum Technologies GmbH), Peter Krause (AMA Vorstandsvorsitzender)
(Bild: AMA Verband/ Bischof und Broel)")
:quality(80)/p7i.vogel.de/wcms/b7/fa/b7fa67e9bd9b92d3756bb95ead60f3c5/0111960075.jpeg "Die Doktoranden Paul Herrmann (l.) und Sebastian Klimmer experimentieren mit monokristallinen 2D-Materialien und Laserlicht. Sie haben die bekannte physikalische Methode der Frequenzverdopplung von Licht mit einer besonderen Materialeigenschaft, der Valleypolarisation, kombiniert und dabei erstaunliche Ergebnisse erzielt. (Bild: Jens Meyer - Uni Jena)")
:quality(80)/p7i.vogel.de/wcms/88/0f/880f66cdb917a5d8cc8f782a3b6f1963/0111345761.jpeg "Netzwerke müssen gut geplant, mit den passenden Komponenten realisiert und proaktiv instandgehalten werden. Auch Cybersecurity wird immer wichtiger. (Bild: Gorodenkoff - shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/af/e3/afe3b42b8215d127ef662180c781a2a8/0111298077.jpeg "Dagmar Dübbelde ist bei Deprag Produktmanagerin für den Bereich Druckluftmotoren. (Bild: Deprag)")
:quality(80)/p7i.vogel.de/wcms/f2/33/f233dd288e8ad25ace06ce18c57becac/0111375640.jpeg "Das Roboloon-Team vor dem Luftschiff-Prototypen. Das Tüftler-Team wird unter anderem beraten und unterstützt von Prof. Dr. Walter Fichter (dritter von links) vom Institut für Flugmechanik und Flugregelung (IFR) der Universität Stuttgart. (Bild: Roboloon / DPS Software)")
:quality(80)/p7i.vogel.de/wcms/89/ed/89edb45a2ad856f45a9e758a2515df54/0111297575.jpeg "Mit Sinamics Drivesim Advanced hat Siemens eine Simulationssoftware für Antriebskonstellationen erweitert, mit der sowohl das
Engineering als auch die Inbetriebnahme auf Basis eines digitalen Zwillings erfolgen kann. (Bild: Siemens, © fad82 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/cf/e2cf17c96ab404e24583a4123449b258/0109808022.jpeg "Als industrieller Cobot schließt Swifti CRB 1300 von ABB die Lücke zwischen kollaborativen und Industrierobotern. (Bild: ABB)")
:quality(80)/p7i.vogel.de/wcms/bd/97/bd971bb04b858b27a557e47d8b00144d/95584822.jpeg "Die Expertenempfehlung VDI-EE 4020 ermöglicht den Einstieg in das Thema „funktionale Sicherheit“ auf der Grundlage der internationalen Sicherheitsnormenreihe IEC 61508. (Bild: Kuka Group)")
:quality(80)/p7i.vogel.de/wcms/02/e9/02e9504cadb3b89071280c788ffb44fb/0109482363.jpeg "Beim Sortieren von Produkten muss der Roboter nicht nur die Ware erkennen, sondern auch greifen können. (Bild: Ocado Group)")
:quality(80)/p7i.vogel.de/wcms/06/6c/066c502a9d35630376e9baab4fbe2c20/0109264317.jpeg "Der Ernteroboter Berry kann bis zu 20 Kilo Erdbeeren zwischenlagern, während er sich autonom durch das Gewächshaus bewegt. (Bild: Organifarms)")
:quality(80)/p7i.vogel.de/wcms/77/d2/77d2d739d013f065416bbedb035affa7/0111999281.jpeg "Im Labor "Industrielle Sicherheit" des Instituts für innovative Sicherheit (HSA_innos) können Studierende des Zertifikatsstudiengangs Safety und Security in verschiedenen realistischen Szenarien erproben und einüben. (Bild: HSA_innos)")
:quality(80)/p7i.vogel.de/wcms/ca/af/caaf4dd4f794f91062d2ff9edb7d461b/0111538660.jpeg "Weil eine digitale Transformation ein langwieriger Prozess ist, sollten Entscheider bei der Umsetzung flexibel bleiben. Eventuell müssen sie bereits festgelegte Schritte an Veränderungen, die sich während des Prozesses ergeben, anpassen. (Bild: © festfotodesign – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/0f/500fd0405dc40ae536d12126bc008284/0111565792.jpeg "Die Vizepräsidentin der Bremischen Bürgerschaft Antje Grotheer (links), die Senatorin für Kinder und Bildung der Freien Hansestadt Bremen und Vertreterin der Kultusministerkonferenz Sascha Karolin Aulepp, die Bundesministerin für Bildung und Forschung Bettina Stark-Watzinger, Bundessiegerin im Fachgebiet Physik Anne Marie Bobes (16) aus Sachsen-Anhalt, der Bürgermeister und Präsident des Senats der Freien Hansestadt Bremen Andreas Bovenschulte sowie der Präsident der Unternehmensverbände im Lande Bremen e. V. Lutz Oelsner. (Bild: Stiftung Jugend forscht e. V. / Max Lautenschläger)")
:quality(80)/p7i.vogel.de/wcms/1a/d4/1ad402996064c6ab4ab19ac7f8a77c09/0111465446.jpeg "Nur wenige Arbeitnehmer wollen auf das Homeoffice verzichten und wieder ins Büro zurückkehren. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1651700/1651739/original.jpg "Apps helfen nicht nur im Alltag – auch auf der Arbeit können sie vieles erleichtern. (©mast3r/stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1649900/1649964/original.jpg "Der Automation App Award geht jedes Jahr an die besten Apps für die Automatisierung. (K.Juschkat/elektrotechnik)")
:quality(80)/images.vogel.de/vogelonline/bdb/1633100/1633135/original.jpg "Für die Inbetriebnahme von Geräten auf einem hohen Tank muss der Mitarbeiter auf den Tank klettern. Mit der App kann er das Gerät vom Boden aus initialisieren. (Endress+Hauser)")
Vernetzung und Fernzugriff Warum echte Safety nur mit Security zu haben ist
Mit steigender Vernetzung von Automatisierungsbaugruppen werden diese auch zunehmend „safety-critical". Einige nachfolgende Beispiele sollen zeigen, wie wichtig es ist, dem Thema Security bei der Vernetzung und dem Fernzugriff von Anlagen eine erhöhte Aufmerksamkeit zu schenken.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/05/6205371fbd768/pflitsch-logo-rgb.png "pflitsch-logo-rgb (PFLITSCH)"){kind=logo}
Echte Safety – hierzulande etwas sperrig als „Funktionale Sicherheit“ bezeichnet – kann es allerdings nur geben, wenn parallel angemessene Security-Maßnahmen ergriffen und implementiert werden, um rundum sichere Systeme zu realisieren. So darf beispielsweise ein Lackierroboter keinesfalls zu einer Gefahr für Leib und Leben werden, nur weil sich etwa ein Servicetechniker bei Wartungsarbeiten versehentlich auf die falsche Steuerung eingeloggt hat oder ein externer Zugriff das System so stark belastet, dass zeitkritische Prozesse beeinträchtigt werden. Bei der oft anzutreffenden Abschottung der produktionsnahen IT beschränken sich die Sicherheitsaktivitäten meist ausschließlich auf den Safety-Bereich, das heißt auf die Vermeidung von Gefahren für den Maschinenführer, bzw. die Abwendung kostspieliger Beschädigungen von Maschinen oder Material. Die Verbindungen zum Fabrik-LAN oder lediglich temporär genutzte Wartungszugänge stehen eher selten im Fokus. Insbesondere dann, wenn man sich aus den großen Fabriken heraus in eher kleinere Anlagen begibt.
:quality(80)/images.vogel.de/vogelonline/bdb/696300/696373/original.jpg "Bild 2: MSR-Baugruppen mit LAN-Schnittstellen und integrierten Webservern besitzen eine funktionsbedingte Schwachstelle. Durch eine Internetverbindung mit Portweiterleitung, dynamischen DNS oder fixer IP-Adresse sind sie für externe Angreifer ohne größeren Aufwand per Internet erreichbar und somit manipulierbar. Eine Authentifizierung durch Benutzername und Passwort ist häufig kein Hindernis.")
:quality(80)/images.vogel.de/vogelonline/bdb/696300/696374/original.jpg "Bild 3: Manche Lösungen nutzen auch den integrierten IPSec-Server eines Routers. In diesem Fall existiert keine Ende-zu-Ende-Verschlüsselung, da IPSec im Router endet und innerhalb des LANs – also zwischen Router und Anlage – unverschlüsselt übertragen wird. Da in solchen Fernzugriffslösungen mit Pre-shared Keys gearbeitet wird, ist der VPN-Zugang für jeden Key-Besitzer möglich.")
:quality(80)/images.vogel.de/vogelonline/bdb/696300/696375/original.jpg "Wenn die IPSec-basierte VPN-Infrastruktur von einem Mobilfunkprovider zur Verfügung gestellt wird, ist nicht nur die fehlende Ende-zu-Ende-Verschlüsselung das Problem. Es gibt auch keine nachprüfbaren Aussagen zum Grad der Sicherheit innerhalb des Virtual Private Networks. Für Automatisierungsanwendungen, in denen funktionale Sicherheit gefordert ist, kommt eine solche Lösung eigentlich nicht in Frage.")
Großbaustelle Internetverbindung
Bereits seit vielen Jahren besitzen unzählige MSR-Baugruppen und Steuerungen ein Ethernet-Interface, Modbus-Schnittstellen und eingebettete Webserver als Benutzerinterface. So dienen HMI-Systeme zur Konfiguration und – neben dem Modbus-Zugriff – zum webbasierten Lesen von Eingangssignalen, bzw. zum Schreiben von Ausgabewerten. Sicherheitsaspekte wurden dabei von fast allen Herstellern vernachlässigt. Anfangs war man sogar meist der Meinung, dass eine Benutzerauthentifizierung durch Name und Passwort für den Webzugriff genügt. Zudem war der Einsatzort solcher Baugruppen aus Sicht der Anbieter stets ein völlig sicheres lokales Netz, in dem sich ausschließlich vertrauenswürdige Benutzer mit 100 Prozent von Schadsoftware freien PCs befinden und keinerlei Verbindungen zum Internet existieren. Dass diese Meinung sich in der Praxis inzwischen nicht mehr halten lässt, ist längst durch etliche Negativbeispiele belegt worden.
Die Anwender selbst störten sich in der Vergangenheit allerdings nicht unbedingt an der unzureichenden Sicherheit und nutzen, bzw. nutzten, in ihren Applikationen den integrierten Webserver sogar für Fernzugriffe aus dem Internet. Wie das funktioniert, illustriert die Abbildung 2..
Die LAN-Schnittstelle einer beliebigen MSR-Baugruppe wird kurzerhand mit einem geeigneten Router verbunden. Im Router selbst wird das „Port Forwarding“ (Portweiterleitung) für den TCP-Port 80 eingeschaltet, der Dyn-DNS-Dienst (dynamischer DNS-Service) aktiviert und ein entsprechender Account eingerichtet. Dadurch kann von unterwegs oder einem anderen beliebigen Ort aus über einen leicht zu merkenden Hostnamen auf den Webserver der MSR-Baugruppe zugegriffen werden. Die ständig wechselnde IP-Adresse des Routers im Internet wird so stets dynamisch angepasst. Das schlimme einer solchen Lösung ist nur, dass nun praktisch jeder, der Benutzername und Passwort kennt, per Internet die Daten der Baugruppe lesen bzw. schreiben kann. Da als Name/Passwort-Kombination vielfach die Standardeinstellungen der Hersteller oder sehr einfache Kombinationen (zum Beispiel „admin/admin“) zur Anwendung kommen, ist einem Missbrauch der Verbindung im wahrsten Sinne des Wortes Tür und Tor geöffnet.
Noch brisanter als die Nutzung eines dynamischen DNS-Dienstes ist die Verwendung einer fixen IP-Adresse für den Internetzugang des Routers. In diesem Fall ist die entsprechende Baugruppe immer unter der gleichen IP-Adresse per Internet erreichbar. Spezial-Suchmaschinen wie Shodan, die das gesamte Internet nach erreichbaren Geräten bzw. Anlagen indizieren und die Ergebnisse als Webseiten mit Hyperlinks für jeden frei zugänglich anbieten, werden früher oder später auch den Webserver der MSR-Baugruppe finden und den entsprechenden Link veröffentlichen. Der erste Hackerangriff ist dann nur noch eine Frage der Zeit und kann nahezu überall passieren.
Niemand hat die Absicht, eine Firewall zu errichten
Dass unautorisierte Fernzugriffe über solche Schwachstellen in der Praxis auch tatsächlich vorkommen, musste Anfang 2013 ein führender deutscher Hersteller von Hightech-Heizungen erfahren, der in seinen Anlagen Steuerungen eines bekannten Schweizer Anbieters auf die in der Abbildung 2 dargestellte Art und Weise einsetzt. Da ein „unzuverlässiger“ Nutzer oder interner Angreifer den Klartext-LAN-Verkehr auf der Kabelverbindung zwischen Steuerung und Router in seiner Anlage abgehört hat und dadurch sogar in den Besitz der Name/Passwort-Eingaben für Servicetechniker kam, konnte er auch Heizungen anderer Betreiber nach Belieben per Internet ein- und ausschalten. Da die betreffenden Hightech-Heizungen auch als Mikrokraftwerke elektrischen Strom in das öffentliche Netz einspeisen und somit die öffentliche Infrastruktur betroffen war, wurde in diesem Fall sogar das BSI (Bundesamt für Sicherheit in der Informationstechnik) eingeschaltet. Presse, Funk und Fernsehen berichteten ausgiebig über den Vorfall. Die betroffenen Hersteller mussten in der Folge Kunden und Öffentlichkeit die Ursachen erklären und darlegen, wie man gedenkt, derartige Probleme in Zukunft abzustellen.
Unsicher trotz Virtual Private Network (VPN)
Ähnlich fahrlässig ist es, für den Internet-basierten Anlagenfernzugriff die integrierte VPN-Funktion einiger weit verbreiteter Standard-Router auszunutzen. Bei dieser VPN-Eigenschaft handelt es sich in der Regel fast immer um einen eingebetteten IPSec-Server, der über sogenannte Pre-shared Keys (fest vereinbarte Schlüssel) von einem Client genutzt werden kann. Um den Router jederzeit per Internet erreichen zu können, wird auch hier wieder Dyn-DNS verwendet. Auf allen Rechnersystemen, die aus der Ferne auf die Anlage oder eine einzelne MSR-Baugruppe zugreifen sollen, wird ein IPSec-Client installiert und mit dem entsprechenden Pre-shared Key konfiguriert (Abbildung 3).
Ein Knackpunkt einer solchen Lösung ist, dass die IPSec-Verschlüsselung im Router endet – also in der Regel ziemlich weit weg von der Anlage. Innerhalb des lokalen Netzwerks hinter dem Router gibt es allerdings keinen VPN-Schutz. Darüber hinaus kann ein IPSec-Client natürlich nicht nur auf die Anlage, sondern auch auf alle anderen Rechner im LAN zugreifen. Das weitaus größte Problem ist aber die Verwendung von Pre-shared Keys für Internet-Fernzugriffe auf Baugruppen und Steuerungen. Jeder, der im Besitz eines solchen Keys ist, hat uneingeschränkten Fernzugriff. Es können weder benutzer- noch rollenabhängige Rechte vergeben werden, noch lässt sich ein einzelner Benutzer sperren, weil etwa ein Fernwartungs-Notebook abhanden gekommen ist.
Risiko Mobilfunkbetreiber
Das Risiko lässt sich aber noch weiter steigern. Bei der zuvor beschriebenen Vorgehensweise hat der Betreiber des Routers immerhin noch die Möglichkeit der Fernzugriffskontrolle. Man findet im Bereich der M2M-Anwendungen und der Fernwirktechnik allerdings sogar IPSec-VPN-Anwendungen, in denen das gesamte Virtual Private Network durch einen Mobilfunkprovider verwaltet und kontrolliert wird. Der Nutzer kann in solchen Lösungen dem Provider nur blind vertrauen.
Dass die Sicherheitsmechanismen der Mobilfunkprovider nicht besonders zuverlässig sind, zeigte sich im September des vergangenen Jahres. Seinerzeit musste Vodafone einräumen, dass ein Hacker rund zwei Millionen Kundendaten gestohlen hat. Die Automatisierer unter diesen Provider-Kunden können in solch einem Fall nur hoffen, dass die Daten ihrer Prozessanlagen-Wartungszugänge oder Ihrer Signaltechnik nicht dazu gehören. Seitdem die Mehrzahl an Anlagen mit dem Internet und/oder anderen Systemen kommunizieren, gibt es ganz neue Einfallstore für eventuelle Manipulationen.
Sobald durch gewollte oder ungewollte Manipulationen Schäden vorkommen, sicherheitsrelevante Systeme ausfallen (oder deren Reaktion verzögert wird), wird klar, dass Safety ohne Security nicht machbar ist. Selbst wenn dabei niemand zu Schaden kommt, kann der Image-Verlust riesig sein – und Image-Verlust bei einem OEM heißt fast zwangsläufig „heftige Umsatzeinbußen“.
Herausforderungen und Hausaufgaben
Die Beispiele zeigen, dass dem Thema Security bei der Vernetzung und dem Fernzugriff von Anlagen eine erhöhte Aufmerksamkeit geschenkt werden muss, der Security-Plattformen wie sie beispielsweise das hannoversche Unternehmen SSV Software Systems anbietet, gerecht werden. Längst ist nicht mehr nur die Safety relevante Baugruppe oder das einzelne System, sondern die gesamte Infrastruktur zu betrachten. Dazu müssen die Anlagen rundum sicher aufgebaut werden – zum einen in punkto Safety, zum anderen aber auch und besonders in Bezug auf die Security. Hierzu müssen beide Aspekte zusammen schon beim Aufbau einer Anlage bedacht und analog zu den im Safetybereich verankerten ISO-Normen als Prozess angesehen werden, der mit den jeweiligen – über die Zeit steigenden und sich verändernden - Anforderungen „mitwächst“.
Quellenangaben:
[1] http://www.heise.de/ct/artikel/Fuenf-nach-zwoelf-1897198.html.
* Dipl.-Red. (FH) Jörg Neumann, Vertrieb & Marketing, SSV Software Systems
(ID:42536257)
:quality(80)/images.vogel.de/vogelonline/bdb/1922900/1922901/original.jpg "Durch die Verknüpfung der beiden Lösungen Endian Secure Digital Platform und Atvise lassen sich ein sicherer Fernzugriff und Datenvisualisierung im Nu kombinieren. (Endian/Bachmann Visutec)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933200/1933266/original.jpg "Endian bietet eine hochsichere Plattform zur Vernetzung von Maschinen und Anlagen. (Endian SRL)")