Industrial-Ethernet-Netzwerke und PROFINET – wirkungsvolle Schutzmaßnahmen aus der Praxis

Inhaltsverzeichnis

    Ohne Datenkommunikation ist unser modernes Leben kaum noch denkbar. Das betrifft nicht nur viele private Bereiche, etwa das Online-Banking oder das Chatten mit Freunden. Dass Informationen richtig und sicher von A nach B transportiert werden, ist vor allem in geschäftlichen Belangen und in Industrieumgebungen von grundlegender Bedeutung.

    Die Übertragung von Daten zwischen Geräten in einem Netzwerk erfolgt entweder über Funk, wie zum Beispiel WLAN oder Bluetooth oder kabelgebunden über Ethernet. Für bestimmte Zwecke ist die Kommunikation via Ethernet einer WLAN-Verbindung vorzuziehen. Das wird jeder bestätigen, der zuhause einen pubertierenden Sohn mit Gaming-Anforderungen hat oder gar selbst ein Betroffener ist! Ethernet-Kommunikation ist sehr leistungsstark, liefert jedem einzelnen angeschlossenen Gerät dieselbe Performance und unterliegt nicht der Störanfälligkeit eines Funknetzes. Das sind wichtige Faktoren – nicht nur für Gamer!

    Ethernet-Netzwerke in Industrieunternehmen sind das Rückgrat der vernetzten Infrastruktur. Wer sich unbefugt Zutritt zur IT-Infrastruktur verschaffen kann, wird über ein ungeschütztes Ethernet-Netzwerk weit ins Unternehmen eindringen können und Schaden nicht nur lokal verursachen.

    Um die Risiken für ungewollte Zugriffe oder Incidents besser einschätzen und vermeiden zu können, sollten Sie Ihre Maßnahmen an den speziellen Anforderungen für industrielle Ethernet-Netzwerke ausrichten. Dabei hilft es, sich (wieder) mit den Grundlagen und Zusammenhängen vertraut zu machen und die naheliegenden Schutzmaßnahmen zu kennen.

    Grundbegriffe rund um Ethernet und Industrial Ethernet

    Die Ethernet Spezifikation legt Übertragungsraten fest sowie die Kabeltypen, die im Ethernet verwendet werden können.

    Der Ethernet Standard listet alle verfügbaren Dienste für die Kommunikation zwischen den Geräten, die im Ethernet vernetzt sind. Das applikationsspezifische Protokoll, zum Beispiel PROFINET, nutzt die relevanten Dienste aus diesem Standard.

    Die Grundlage für die Kommunikation zwischen den einzelnen im LAN angeschlossenen Feldgeräten sind Ethernet Protokolle, wie beispielsweise TCP/IP. Diese legen unter anderem fest, welche Art von Daten übertragen wird und wie die Priorisierung erfolgt.

    Vom Industrial Ethernet spricht man, wenn die spezifischen Ethernet-Technologien und Protokolle zur Datenübertragung in industriellen Umgebungen eingesetzt werden.

    PROFIBUS, PROFINET und ihre Bedeutung für die zunehmende Vernetzung

    PROFIBUS ist ein Standard, der die Datenübertragung zwischen Geräten verschiedener Hersteller vereinheitlicht und damit den Betrieb für den Endanwender vereinfacht. Der vom Dachverband PI (PROFIBUS & PROFINET International) veröffentlichte PROFIBUS Standard definiert zum Beispiel die Anzahl der im Netzwerk verbundenen Geräte, den Einsatz von Repeatern, etc. Als autarkes System funktioniert PROFIBUS als in sich geschlossenes System, in dem alle Teilnehmer in einer Reihe elektrisch mit dem Bussystem verbunden sind. PROFIBUS DP (Decentralized Peripherals) ist für die Fabrikautomation ausgelegt. PROFIBUS PA ist die Protokollvariante für die Prozessautomation.

    PROFINET (Process Field Network) wird als Nachfolger von PROFIBUS betrachtet und ermöglicht als offener Standard für Anwendungen in der Automation den Mischbetrieb mit anderen ethernetbasierten Systemen. Die Limitierung von PROFIBUS wird damit überwunden. Im Gegensatz zu PROFIBUS basiert die Funktionalität von PROFINET nicht auf elektrischer Datenübertragung, sondern auf Netzwerktechnik. PROFINET-Netzwerke können auch ringförmig oder sternförmig angelegt sein.

    Für die besonderen Anforderungen in Automationsumgebungen bietet PROFINET einen großen Funktionsumfang und nutzt Standard-Funktionalitäten aus der IT-Welt. PROFINET ist sehr performant und ist damit bestens geeignet für große Echtzeit-Anwendungen im Kontext von Industrie 4.0 und neuer Digitalisierungstechnologien. Seine Industrietauglichkeit verhilft PROFINET zu einer hohen Akzeptanz bei Herstellern und Zulieferern in Schlüsselindustrien. Nicht nur in der Automobilindustrie ist PROFINET ein sehr weit verbreiteter Standard, der die Vernetzung in Industrieumgebungen wesentlich vorantreibt.

    Anhand des Purdue Modells erklärt Ruben Bay von der VIDEC Data Engineering GmbH, auf welcher Ebene des Unternehmensnetzwerks PROFINET verortet ist. Er erläutert in der Aufzeichnung unseres Live-Interviews vom 05.02.2021 außerdem die technischen Funktionalitäten des PROFINET Standards im Praxisbetrieb.

    Vimeo

    Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
    Mehr erfahren

    Video laden

    Konformitätsklassen für applikationsspezifische Anwendungen

    Die PI definiert in der PROFINET Spezifikation vier Konformitätsklassen (Conformity Classes), in der die Eigenschaften für die Buskomponenten und Feldgeräte entsprechend der Anwendung festgelegt sind. Die Einordnung einer Anlage in eine Konformitätsklasse stellt die Interoperabilität ihrer Komponenten sicher. Die jeweilige Konformitätsklasse gibt Funktions- und Leistungsumfang der eingesetzten Infrastrukturkomponenten, die Anforderung für deren Zertifizierung und die Richtlinien für die Verkabelung vor.

    Klasse A (CC-A)

    Anwendungsbereiche: Gebäudeautomation, Infrastrukturbauten, Prozess- und Fertigungsautomation

    Klasse CC-A verlangt die Zertifizierung nur für Controller und Devices. Für Netzwerkkomponenten ist ein Hersteller-Zertifikat ausreichend. Es wird die PROFINET Basisfunktionalität abgebildet.

    Klasse B (CC-B)

    Anwendungsbereiche: Fertigungs- und Prozessautomation

    Vorgegeben ist sowohl die Zertifizierung der Controller und Devices als auch die Zertifizierung der Netzwerkkomponenten. CC-B bietet neben der PROFINET Basisfunktionalität weitere Optionen, zum Beispiel für Netzwerkdiagnose und Topologie-Informationen.

    Klasse-C (CC-C)

    Anwendungsbereich: Motion Control (bewegungsbasierte Prozesse)

    Die Zertifizierung ist für Controller, Devices und Netzwerkkomponenten vorgegeben. Die Funktionalitäten sind gegenüber der Klasse CC-B um die IRT-Kommunikation (Isochronous Real Time) erweitert. Mit reservierten Bandbreiten und Synchronisation werden die Anforderungen für hochpräzise taktsynchrone Datenübertragung erfüllt.

    Klasse D (CC-D)

    Anwendungsbereich: zeitkritische Datenübertragung

    Der Funktionsumfang der Klasse CC-C wird mit TSN-Mechanismen (Time Sensitive Networking) realisiert, die die Arbeitsgruppe IEEE 802.1 der IEEE Standards Association erarbeitet.

    Die Notwendigkeit für Hersteller, ihre Geräte nach der PROFINET Spezifikation zertifizieren zu lassen, ist durch den weit verbreiteten Einsatz von PROFINET gegeben. Wer in den Schlüsselindustrien Marktanteile halten oder ausbauen will, brauch die PROFINET Zertifizierung für seine Produkte.

    Besondere Anforderungen für Industrial-Ethernet-Netzwerke

    Warum Industrial-Ethernet-Netzwerke nicht mit Ethernet-Netzwerken gleichzusetzen sind, zeigt die folgende Detailbetrachtung:

    Lange Produktlebensdauer ungepatchter Systeme und Komponenten

    Anders als in der klassischen IT sind Industriekomponenten und Systeme auf eine sehr lange Lebensdauer ausgelegt und werden oftmals in ungepatchtem Zustand in den Produktionsanlagen betrieben. So finden sich in Feldumgebungen im Mischbetrieb eine Vielzahl von veralteten Betriebssystemen.

    Es kommt vor, dass Feldgeräte zwar grundsätzlich ethernetfähig sind, dennoch verursachen sie im Betrieb Störungen, weil sie mangels Updates beispielsweise den aktuellen TCP/IP Stack nicht unterstützen. Oder es fehlen Funktionserweiterungen, die seit dem Verbauen der Komponente ins Netzwerk in das Produkt integriert wurden.

    Echtzeitanforderung im Produktionsprozess und Anlagenverfügbarkeit

    Ein wichtiges Schutzziel für Industrieanlagen ist die Verfügbarkeit. Unterbrechungen bei der Datenkommunikation können zu Störungen bis hin zum Stillstand einer Anlage führen. Komplexe Produktionsprozesse basieren oft auf zeitkritischer Datenübertragung, bei der die Kommunikation zwischen den Feldgeräten in definierten Intervallen erfolgt. Verzögerte Datenübertragung kann in hochpräzisen Produktionsprozessen wie etwa beim Stanzen die Qualität des Werkstücks massiv beeinträchtigen.

    Anlagenstillstände zu beheben bedeutet meistens Produktionsunterbrechungen und verursacht hohe Kosten. In vernetzten Produktionsanlagen können selbst einfache Maßnahmen, wie beispielsweise einen gezogenen Stecker wieder anschließen, nicht einfach nebenher durchgeführt werden. Die Auswirkungen auf die gesamte Anlage sind jeweils mit einzubeziehen. Diese können unsegmentierten Netzen erheblich sein.

    OT-Anforderungen verlangen eine Anpassung der Standard-IT-Methoden

    Viele Methoden und Maßnahmen aus der klassischen IT werden für den Betrieb und die Absicherung der IT-Infrastrukturen in der OT übernommen. Dabei ist es wichtig, die spezifischen Anforderungen aus der Produktionstechnik zu berücksichtigen. Monitoring-Lösungen aus der IT sind nicht uneingeschränkt für die Anwendung in der OT geeignet, weil die Bandbreite für die Echtzeit-Kommunikation dadurch beeinträchtigt werden kann. Auch können im Falle eines Austausches von Komponenten, die in einem Industrial-Ethernet-Netzwerk verbaut sind, keine Standard-Komponenten wie in der klassischen IT verwendet werden, denn auch die Ersatzkomponenten müssen der Konformitätsklasse der Anlage entsprechen.

    Einsatzzweck und Umgebung geben Anforderungen vor

    Industrieumgebungen können besondere Umgebungsbedingungen aufweisen, so dass die eingesetzten Geräte zum Beispiel EMV störsicher, gegen bestimmte Materialen wie Schmierstoffe geschützt oder für den Einsatz in extremen Temperaturbereichen ausgelegt sein müssen.

    Safety

    Wie der Schutz von Mensch und Natur vor physischem Schaden in Industrieumgebungen gewährleistet sein muss, ist in zahlreichen Normen festgelegt.

    Außerdem müssen Safety-Installationen in der Regel von einer Prüforganisation abgenommen werden, Änderung an der Anlage machen eine erneute Abnahme erforderlich.

    Security-Maßnahmen für Industrial-Ethernet-Netzwerke: worauf Sie achten sollten

    Awareness

    Awareness ist ein Dauerbrenner! Hier geht es nicht nur ums große Ganze, sondern darum, dass Sie das Bewusstsein für die einzelnen Risiken beim Betriebspersonal schärfen und Gefahren aufzeigen, die unbedachtes Handeln an der Anlage verursacht. Es ist noch immer keine Seltenheit, dass gefundene oder privat genutzte USB-Sticks an produktive Anlagen angeschlossen werden, weil damit Programmierungsvorgänge einfach durchgeführt werden können.

    Pflegen Sie einen offenen Austausch mit Ihrer Betriebsmannschaft, formulieren Sie konkrete Handlungsanweisungen und definieren Sie Prozesse, die von gelebter Sorgfalt geprägt sind.

    Awareness heißt jeden Menschen im Unternehmen einbinden und damit hausgemachte backdoors zu vermeiden!

    Netzwerkplanung und Asset-Management

    Es ist von wesentlicher Bedeutung, dass Sie bei der Absicherung von Industrial-Ethernet-Netzwerken wissen, wer mit wem kommuniziert und dass Sie Regeln dafür definieren!

    Dazu ist notwendig zu wissen, welche Komponenten und Systeme in Ihrem Netzwerk verbaut sind. Ein professionelles Asset-Management umfasst nicht nur eine Liste aller Netzwerkteilnehmer, sondern auch Prozesse, die definieren, was die einzelnen Komponenten und Systeme tun. Achten Sie darauf, in Ihrem Asset-Inventar auch diejenigen Komponenten zu erfassen, die nicht sichtbar sind, sondern in Anlagen verbaut betrieben werden. Man kann bekanntlich nur schützen, was man kennt.

    Und gute Prozesse leben davon, dass ihre Einhaltung sichergestellt und regelmäßig überprüft wird!

    Zuständigkeiten zwischen Hersteller und Betreiber klären

    Definieren Sie klar, wo die Zuständigkeit für die Vernetzung der Anlage liegt.

    Bis auf wenige Ausnahmen ist es sinnvoll, dass der Hersteller beziehungsweise der Lieferant die Vernetzung innerhalb der Anlage liefert und der Betreiber sich um die Anbindung der Anlage an das Betreibernetzwerk kümmert. Es ist auch meistens aus wirtschaftlicher Sicht nicht sinnvoll, dass Betreiber die Vernetzung innerhalb der Anlage verantworten, weil dies Auswirkungen auf Verträge, Garantie und Supportbedingungen hätte. Vereinbaren Sie mit Ihrem Lieferanten geeignete Security-Parameter, und zwar schon im Beschaffungsprozess.

    Defense in Depth

    Auch für Industrial-Ethernet-Netzwerke empfehlen wir Ihnen ein mehrstufig ausgelegtes Schutzkonzept aus unterschiedlichen Maßnahmen. Zu diesen Maßnahmen gehören neben einer sicheren Fernwartungslösung und der Netzsegmentierung eben auch die Vorgabe von Security-Anforderungen an Hersteller und Lieferanten.

    Richtlinien beachten

    Und zu guter Letzt legen wir Ihnen nahe, sich an den einschlägigen Richtlinien, wie etwa an den Planungs- & Inbetriebnahme Richtlinien der PI zu orientieren, wenn Sie Security-Maßnahmen im Industrial Ethernet planen!

    Praxistipp

    Achtung: Ethernet ist nicht gleich Industrial Ethernet! Nur weil ein Gerät einen Ethernet-Stecker hat, gelten noch lange nicht die gleichen Regeln 😉

    Möchten Sie mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach!

    Praxistipp

    Avatar-Foto
    Max Weidele
    Sichere Industrie

    Achtung: Ethernet ist nicht gleich Industrial Ethernet! Nur weil ein Gerät einen Ethernet-Stecker hat, gelten noch lange nicht die gleichen Regeln 😉

    Möchten Sie mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach!

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung