Industrial Ethernet Netzwerke und PROFINET – wirkungsvolle Schutzmaßnahmen aus der Praxis

Inhaltsverzeichnis

    Die Übertragung von Daten zwischen Geräten in einem Netzwerk erfolgt entweder über Funk, wie z.B. WLAN oder Bluetooth oder kabelgebunden über Ethernet. Für bestimmte Zwecke ist die Kommunikation via Ethernet einer WLAN-Verbindung vorzuziehen. Das wird jeder bestätigen, der zuhause einen pubertierenden Sohn mit Gaming-Anforderungen hat oder gar selbst ein Betroffener ist! Ethernet-Kommunikation ist sehr performant, liefert jedem einzelnen angeschlossenen Gerät dieselbe Performance und unterliegt nicht der Störanfälligkeit eines Funknetzes. Wichtige Faktoren – nicht nur für Gamer!

    Ethernet-Netzwerke in Industrieunternehmen sind das Rückgrat der vernetzten Infrastruktur. Wer sich unbefugt Zutritt zur IT-Infrastruktur verschaffen kann, wird über ein ungeschütztes Ethernet-Netzwerk weit ins Unternehmen eindringen können und Schaden nicht nur lokal verursachen.

    Um die Risiken für ungewollte Zugriffe oder Incidents besser einschätzen und vermeiden zu können, sollten Sie Ihre Maßnahmen an den speziellen Anforderungen für industrielle Ethernet-Netzwerke ausrichten. Dabei hilft es, sich (wieder) mit den Grundlagen und Zusammenhängen vertraut zu machen und die naheliegenden Schutzmaßnahmen zu kennen.

    Grundbegriffe rund um Ethernet und Industrial Ethernet

    Die Ethernet Spezifikation legt Übertragungsraten fest, sowie die Kabeltypen, die im Ethernet verwendet werden können.

    Der Ethernet Standard listet alle verfügbaren Dienste für die Kommunikation zwischen den Geräten, die im Ethernet vernetzt sind. Das applikationsspezifische Protokoll, z.B. PROFINET nutzt die relevanten Dienste aus diesem Standard.

    Die Grundlage für die Kommunikation zwischen den einzelnen im LAN angeschlossenen Feldgeräte sind Ethernet Protokolle, wie z.B. TCP/IP. Dort ist unter anderem festgelegt, welche Art von Daten übertragen wird, wie die Priorisierung erfolgt, etc.

    Vom Industrial Ethernet spricht man, wenn die spezifischen Ethernet-Technologien und Protokolle zur Datenübertragung in industriellen Umgebungen eingesetzt werden.

    PROFIBUS, PROFINET und ihre Bedeutung für die zunehmende Vernetzung

    PROFIBUS ist ein Standard, der die Datenübertragung zwischen Geräten verschiedener Hersteller vereinheitlich und damit den Betrieb für den Endanwender vereinfacht. Der vom Dachverband PI (PROFIBUS & PROFINET International) veröffentlichte PROFIBUS Standard definiert z.B. die Anzahl der im Netzwerk verbundenen Geräte, den Einsatz von Repeatern, etc. Als autarkes System ausgelegt, funktioniert PROFIBUS als in sich geschlossenes System, in dem alle Teilnehmer in einer Reihe elektrisch mit dem Bussystem verbunden sind. PROFIBUS DP (Decentralized Peripherals) ist für die Fabrikautomation ausgelegt. PROFIBUS PA ist die Protokollvariante für die Prozessautomation.

    PROFINET (Process Field Network) wird als Nachfolger von PROFIBUS betrachtet und ermöglicht als offener Standard für Anwendungen in der Automation den Mischbetrieb mit anderen Ethernet basierten Systemen. Die Limitierung von PROFIBUS wird damit überwunden. Im Gegensatz zu PROFIBUS basiert die Funktionalität von PROFINET nicht auf elektrischer Datenübertragung, sondern auf Netzwerktechnik. PROFINET Netzwerke können auch ringförmig oder sternförmig angelegt sein.

    Für die besonderen Anforderungen in Automationsumgebungen bietet PROFINET einen großen Funktionsumfang und nutzt Standard-Funktionalitäten aus der IT-Welt. PROFINET ist sehr performant und ist damit bestens geeignet für große Real-Time-Anwendungen im Kontext von Industrie 4.0 und neuer Digitalisierungstechnologien. Seine Industrietauglichkeit verhilft PROFINET zu einer hohen Akzeptanz bei Herstellern und Zulieferern in Schlüsselindustrien. Nicht nur in der Automobilindustrie ist PROFINET ein sehr weit verbreiteter Standard, der die Vernetzung in Industrieumgebungen wesentlich vorantreibt.

    Anhand des Purdue Modells erklärt Ruben Bay von der VIDEC Data Engineering GmbH, auf welcher Ebene des Unternehmensnetzwerks PROFINET verortet ist. Er erläutert in der Aufzeichnung unseres Live-Interviews vom 05.02.2021 außerdem die technischen Funktionalitäten des PROFINET Standards im Praxisbetrieb.

    Vimeo

    Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
    Mehr erfahren

    Video laden

    Konformitätsklassen für applikationsspezifische Anwendungen

    Die PI definiert in der PROFINET Spezifikation vier Konformitätsklassen (Conformity Classes), in der die Eigenschaften für die Buskomponenten und Feldgeräte entsprechend der Anwendung festgelegt sind. Die Einordnung einer Anlage in eine Konformitätsklasse stellt die Interoperabilität ihrer Komponenten sicher, denn die jeweilige Konformitätsklasse gibt Funktions- und Leistungsumfang der eingesetzten Infrastrukturkomponenten, die Anforderung für deren Zertifizierung und die Richtlinien für die Verkabelung vor.

    Klasse A (CC-A)

    Anwendungsbereiche: Gebäudeautomation, Infrastrukturbauten, Prozess- und Fertigungsautomation

    Klasse CC-A verlangt die Zertifizierung nur für Controller und Devices. Für Netzwerkkomponenten ist ein Hersteller-Zertifikat ausreichend. Es wird die PROFINET Basisfunktionalität abgebildet.

    Klasse B (CC-B)

    Anwendungsbereiche: Fertigungs- und Prozessautomation

    Vorgegeben ist sowohl die Zertifizierung der Controller und Devices als auch die Zertifizierung der Netzwerkkomponenten. CC-B bietet neben der PROFINET Basisfunktionalität weitere Optionen z.B. für Netzwerkdiagnose und Topologie-Informationen.

    Klasse-C (CC-C)

    Anwendungsbereich: Motion Control (bewegungsbasierte Prozesse)

    Die Zertifizierung ist für Controller, Devices und Netzwerkkomponenten vorgegeben. Die Funktionalitäten sind gegenüber der Klasse CC-B um die IRT-Kommunikation (Isochronous Real Time) mit reservierten Bandbreiten und Synchronisation erweitert, wodurch Anforderungen für hochpräzise taktsynchrone Datenübertragung erfüllt werden.

    Klasse D (CC-D)

    Anwendungsbereich: zeitkritische Datenübertragung

    Der Funktionsumfang der Klasse CC-C wird mit TSN-Mechanismen (Time Sensitive Networking) realisiert, die die Arbeitsgruppe IEEE 802.1 der IEEE Standards Association erarbeitet.

    Die Notwendigkeit für Hersteller, ihre Geräte nach der PROFINET Spezifikation zertifizieren zu lassen, ist durch den weit verbreiteten Einsatz von PROFINET gegeben. Wer in den Schlüsselindustrien Marktanteile halten oder ausbauen will, brauch die PROFINET Zertifizierung für seine Produkte.

    Besondere Anforderungen für Industrial Ethernet Netzwerke

    Warum Industrial Ethernet Netzwerke nicht mit Ethernet Netzwerken gleichzusetzen sind, zeigt die folgende Detailbetrachtung:

    Lange Produktlebensdauer ungepatchter Systeme und Komponenten

    Anders als in der klassischen IT sind Industriekomponenten und Systeme auf eine sehr lange Lebensdauer ausgelegt und werden oftmals in ungepatchtem Zustand in den Produktionsanlagen betrieben. So finden sich in Feldumgebungen im Mischbetrieb eine Vielzahl von veralteten Betriebssystemen.

    Es kommt vor, dass Feldgeräte zwar grundsätzlich ethernetfähig sind, dennoch verursachen sie im Betrieb Störungen, weil sie mangels Updates z.B. den aktuellen TCP/IP Stack nicht unterstützen. Oder es fehlen Funktionserweiterungen, die seit dem Verbauen der Komponente ins Netzwerk in das Produkt integriert wurden.

    Echtzeitanforderung im Produktionsprozess und Anlagenverfügbarkeit

    Ein wichtiges Schutzziel für Industrieanlagen ist die Verfügbarkeit. Unterbrechungen bei der Datenkommunikation können zu Störungen bis hin zum Stillstand einer Anlage führen. Komplexe Produktionsprozesse basieren oft auf zeitkritischer Datenübertragung, bei der die Kommunikation zwischen den Feldgeräten in definierten Intervallen erfolgt. Verzögerte Datenübertragung kann in hochpräzisen Produktionsprozessen wie z.B. beim Stanzen die Qualität des Werkstücks massiv beeinträchtigen.

    Anlagenstillstände zu beheben bedeutet meistens Produktionsunterbrechungen und verursacht hohe Kosten. In vernetzten Produktionsanlagen, besonders in unsegmentierten Netzen, können selbst einfache Maßnahmen, wie z.B. einen gezogenen Stecker wieder anschließen, nicht einfach nebenher durchgeführt werden, ohne dass die Auswirkungen auf die gesamte Anlage einzubeziehen sind.

    OT-Anforderungen verlangen eine Anpassung der Standard-IT-Methoden

    Viele Methoden und Maßnahmen aus der klassischen IT werden für den Betrieb und die Absicherung der IT-Infrastrukturen in der OT übernommen. Dabei ist es wichtig, die spezifischen Anforderungen aus der Produktionstechnik zu berücksichtigen. Monitoring-Lösungen aus der IT sind nicht uneingeschränkt für die Anwendung in der OT geeignet, weil die Bandbreite für die Real-Time-Kommunikation dadurch beeinträchtigt werden kann. Und in einem Industrial-Ethernet-Netzwerk verbaute Komponenten müssen auch im Fall eines Austausches der Konformitätsklasse der Anlage entsprechen und können keine Standard-Komponenten wie in der IT sein!

    Einsatzzweck und Umgebung geben Anforderungen vor

    Industrieumgebungen können besondere Umgebungsbedingungen aufweisen, so dass die eingesetzten Geräte z.B. EMV störsicher, gegen bestimmte Materialen wie Schmierstoffe geschützt oder für den Einsatz in extremen Temperaturbereichen ausgelegt sein müssen.

    Safety

    Wie der Schutz von Mensch und Natur vor physischem Schaden in Industrieumgebungen gewährleistet sein muss, ist in zahlreichen Normen festgelegt.

    Außerdem müssen Safety-Installationen in der Regel von einer Prüforganisation abgenommen werden, Änderung an der Anlage machen eine erneute Abnahme erforderlich.

    Security-Maßnahmen für Industrial-Ethernet-Netzwerke – worauf Sie achten sollten

    Awareness

    Awareness ist ein Dauerbrenner! Hier geht es nicht nur ums große Ganze, sondern darum, dass Sie das Bewusstsein für die einzelnen Risiken beim Betriebspersonal schärfen und Gefahren aufzeigen, die unbedachtes Handeln an der Anlage verursacht. Es ist noch immer keine Seltenheit, dass gefundene oder privat genutzte USB-Sticks an produktive Anlagen angeschlossen werden, weil damit Programmierungsvorgänge einfach durchgeführt werden können.

    Pflegen Sie einen offenen Austausch mit Ihrer Betriebsmannschaft, formulieren Sie konkrete Handlungsanweisungen und definieren Sie Prozesse, die von gelebter Sorgfalt geprägt sind.

    Awareness heißt jeden Menschen im Unternehmen einbinden und damit hausgemachte backdoors zu vermeiden!

    Netzwerkplanung und Asset-Management

    Es ist von wesentlicher Bedeutung, dass Sie bei der Absicherung von Industrial-Ethernet-Netzwerken wissen, wer mit wem kommuniziert und dass Sie Regeln dafür definieren!

    Dazu ist notwendig zu wissen, welche Komponenten und Systeme in Ihrem Netzwerk verbaut sind. Ein fundiertes Asset-Management umfasst nicht nur eine Liste aller Netzwerkteilnehmer, sondern auch Prozesse, die definieren, was die einzelnen Komponenten und Systeme tun. Bei einer Asset-Inventarisierung sollten Sie darauf achten, auch diejenigen Komponenten zu erfassen, die nicht sichtbar sind, sondern im Inneren von Anlagen verbaut in Betrieb sind. Man kann bekanntlich nur schützen, was man kennt.

    Und gute Prozesse leben davon, dass ihre Einhaltung sichergestellt und regelmäßig überprüft wird!

    Zuständigkeiten zwischen Hersteller und Betreiber klären

    Definieren Sie klar, wo die Zuständigkeit für die Vernetzung der Anlage liegt!

    Bis auf wenige Ausnahmen ist es sinnvoll, dass der Hersteller bzw. Lieferant die Vernetzung innerhalb der Anlage liefert und der Betreiber sich um die Anbindung der Anlage an das Betreibernetzwerk kümmert. Es ist auch meistens aus wirtschaftlicher Sicht nicht sinnvoll, dass Betreiber die Vernetzung innerhalb der Anlage verantworten, weil dies Auswirkungen auf Verträge, Garantie und Supportbedingungen hätte. Hier sollten Sie idealerweise die Security-Parameter im Rahmen der Beschaffung mit dem Lieferanten klären und entsprechend vereinbaren.

    Defense in Depth

    Auch für Industrial-Ethernet-Netzwerke empfehlen wir Ihnen ein mehrstufig ausgelegtes Schutzkonzept aus unterschiedlichen Maßnahmen. Zu diesen Maßnahmen gehören neben einer sicheren Fernwartungslösung und der Netzsegmentierung eben auch die Vorgabe von Security-Anforderungen an Hersteller bzw. Lieferanten.

    Richtlinien beachten

    Und zu guter Letzt legen wir Ihnen nahe, sich an den einschlägigen Richtlinien, wie z.B. an den Planungs- & Inbetriebnahme Richtlinien der PI zu orientieren, wenn Sie Security-Maßnahmen im Industrial Ethernet planen!

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung