Ohne Datenkommunikation ist unser modernes Leben kaum noch denkbar. Das betrifft nicht nur viele private Bereiche. Dass Informationen richtig und sicher von A nach B transportiert werden, ist in Industrieumgebungen mit Echtzeitanforderungen und vielen Abhängigkeiten von grundlegender Bedeutung. Wirksame Schutzmaßnahmen für Industrial-Ethernet-Netzwerke tragen wesentlich dazu bei, die Verfügbarkeit Ihrer Anlagen zu gewährleisten.
Industrial-Ethernet-Netzwerke: Nutzen und Risiko
Die Übertragung von Daten zwischen Geräten in einem Netzwerk erfolgt entweder über Funk, wie zum Beispiel WLAN oder Bluetooth, oder kabelgebunden über Ethernet. Für bestimmte Zwecke ist die Kommunikation via Ethernet einer WLAN-Verbindung vorzuziehen. Das wird jeder bestätigen, der zuhause einen pubertierenden Sohn mit Gaming-Anforderungen hat oder gar selbst ein Betroffener ist! Ethernet-Kommunikation ist sehr leistungsstark und liefert jedem einzelnen angeschlossenen Gerät dieselbe Performance. Dabei unterliegt sie nicht der Störanfälligkeit eines Funknetzes. Das sind wichtige Faktoren – nicht nur für Gamer!
Die Risiken liegen auf der Hand. Wer sich unbefugt Zutritt zur IT-Infrastruktur verschaffen kann, wird über ein ungeschütztes Ethernet-Netzwerk weit ins Unternehmen eindringen können und Schaden nicht nur lokal verursachen.
Um die Risiken für ungewollte Zugriffe oder Incidents besser einschätzen und vermeiden zu können, sollten Sie Ihre Maßnahmen an den speziellen Anforderungen für industrielle Ethernet-Netzwerke ausrichten. Dabei hilft es, sich (wieder) mit den Grundlagen und Zusammenhängen vertraut zu machen und die naheliegenden Schutzmaßnahmen zu kennen.
Grundbegriffe rund um Ethernet und Industrial Ethernet
Die Ethernet Spezifikation legt Übertragungsraten fest sowie die Kabeltypen, die im Ethernet verwendet werden können.
Der Ethernet Standard listet alle verfügbaren Dienste für die Kommunikation zwischen den Geräten, die im Ethernet vernetzt sind. Das applikationsspezifische Protokoll, zum Beispiel PROFINET, nutzt die relevanten Dienste aus diesem Standard.
Die Grundlage für die Kommunikation zwischen den einzelnen im LAN angeschlossenen Feldgeräten sind Ethernet Protokolle, wie beispielsweise TCP/IP. Diese legen unter anderem fest, welche Art von Daten übertragen wird und wie die Priorisierung erfolgt.
Vom Industrial Ethernet spricht man, wenn die spezifischen Ethernet-Technologien und Protokolle zur Datenübertragung in industriellen Umgebungen eingesetzt werden.
PROFIBUS, PROFINET und die zunehmende Vernetzung
PROFIBUS ist ein Standard, der die Datenübertragung zwischen Geräten verschiedener Hersteller vereinheitlicht und damit den Betrieb für den Endanwender vereinfacht. Der vom Dachverband PI (PROFIBUS & PROFINET International) veröffentlichte PROFIBUS Standard definiert zum Beispiel die Anzahl der im Netzwerk verbundenen Geräte, den Einsatz von Repeatern, etc. Als autarkes System funktioniert PROFIBUS als in sich geschlossenes System, in dem alle Teilnehmer in einer Reihe elektrisch mit dem Bussystem verbunden sind. PROFIBUS DP (Decentralized Peripherals) ist für die Fabrikautomation ausgelegt. PROFIBUS PA ist die Protokollvariante für die Prozessautomation.
PROFINET (Process Field Network) wird als Nachfolger von PROFIBUS betrachtet und ermöglicht als offener Standard für Anwendungen in der Automation den Mischbetrieb mit anderen ethernetbasierten Systemen. Die Limitierung von PROFIBUS wird damit überwunden. Im Gegensatz zu PROFIBUS basiert die Funktionalität von PROFINET nicht auf elektrischer Datenübertragung, sondern auf Netzwerktechnik. PROFINET-Netzwerke können auch ringförmig oder sternförmig angelegt sein.
Für die besonderen Anforderungen in Automationsumgebungen bietet PROFINET einen großen Funktionsumfang und nutzt Standard-Funktionalitäten aus der IT-Welt. PROFINET ist sehr performant und ist damit bestens geeignet für große Echtzeit-Anwendungen im Kontext von Industrie 4.0 und neuer Digitalisierungstechnologien. Seine Industrietauglichkeit verhilft PROFINET zu einer hohen Akzeptanz bei Herstellern und Zulieferern in Schlüsselindustrien. Nicht nur in der Automobilindustrie ist PROFINET ein sehr weit verbreiteter Standard, der die Vernetzung in Industrieumgebungen wesentlich vorantreibt.
Anhand des Purdue Modells erklärt Ruben Bay von der VIDEC Data Engineering GmbH, auf welcher Ebene des Unternehmensnetzwerks PROFINET verortet ist. Er erläutert in der Aufzeichnung unseres Live-Interviews vom 05.02.2021 außerdem die technischen Funktionalitäten des PROFINET Standards im Praxisbetrieb.
Konformitätsklassen für applikationsspezifische Anwendungen
Die PI definiert in der PROFINET Spezifikation vier Konformitätsklassen (Conformity Classes), in der die Eigenschaften für die Buskomponenten und Feldgeräte entsprechend der Anwendung festgelegt sind. Die Einordnung einer Anlage in eine Konformitätsklasse stellt die Interoperabilität ihrer Komponenten sicher. Die jeweilige Konformitätsklasse gibt Funktions- und Leistungsumfang der eingesetzten Infrastrukturkomponenten, die Anforderung für deren Zertifizierung und die Richtlinien für die Verkabelung vor.
Klasse A (CC-A)
Anwendungsbereiche: Gebäudeautomation, Infrastrukturbauten, Prozess- und Fertigungsautomation
Klasse CC-A verlangt die Zertifizierung nur für Controller und Devices. Für Netzwerkkomponenten ist ein Hersteller-Zertifikat ausreichend. Es wird die PROFINET Basisfunktionalität abgebildet.
Klasse B (CC-B)
Anwendungsbereiche: Fertigungs- und Prozessautomation
Vorgegeben ist sowohl die Zertifizierung der Controller und Devices als auch die Zertifizierung der Netzwerkkomponenten. CC-B bietet neben der PROFINET Basisfunktionalität weitere Optionen, zum Beispiel für Netzwerkdiagnose und Topologie-Informationen.
Klasse-C (CC-C)
Anwendungsbereich: Motion Control (bewegungsbasierte Prozesse)
Die Zertifizierung ist für Controller, Devices und Netzwerkkomponenten vorgegeben. Die Funktionalitäten sind gegenüber der Klasse CC-B um die IRT-Kommunikation (Isochronous Real Time) erweitert. Mit reservierten Bandbreiten und Synchronisation werden die Anforderungen für hochpräzise taktsynchrone Datenübertragung erfüllt.
Klasse D (CC-D)
Anwendungsbereich: zeitkritische Datenübertragung
Der Funktionsumfang der Klasse CC-C wird mit TSN-Mechanismen (Time Sensitive Networking) realisiert, die die Arbeitsgruppe IEEE 802.1 der IEEE Standards Association erarbeitet.
Die Notwendigkeit für Hersteller, ihre Geräte nach der PROFINET Spezifikation zertifizieren zu lassen, ist im weit verbreiteten Einsatz von PROFINET begründet. Wer in den Schlüsselindustrien Marktanteile halten oder ausbauen will, brauch die PROFINET Zertifizierung für seine Produkte.
Anforderungen für Industrial-Ethernet-Netzwerke
Warum Industrial-Ethernet-Netzwerke nicht mit Ethernet-Netzwerken gleichzusetzen sind, zeigt die folgende Detailbetrachtung:
Lange Produktlebensdauer, ungepatchte Systeme
Anders als in der klassischen IT sind Industriekomponenten und Systeme auf eine sehr lange Lebensdauer ausgelegt und werden oftmals in ungepatchtem Zustand in den Produktionsanlagen betrieben. So finden sich in Feldumgebungen eine Vielzahl von veralteten Betriebssystemen im Mischbetrieb.
Es kommt vor, dass Feldgeräte zwar grundsätzlich ethernetfähig sind, dennoch verursachen sie im Betrieb Störungen, weil sie mangels Updates beispielsweise den aktuellen TCP/IP Stack nicht unterstützen. Oder es fehlen Funktionserweiterungen, die nach dem Zeitpunkt, an dem die Komponente ins Netzwerk verbaut wurde, in das Produkt integriert wurden.
Echtzeitanforderung und Verfügbarkeit im Produktionsprozess
Ein wichtiges Schutzziel für Industrieanlagen ist die Verfügbarkeit. Unterbrechungen bei der Datenkommunikation können zu Störungen bis hin zum Stillstand einer Anlage führen. Komplexe Produktionsprozesse basieren oft auf zeitkritischer Datenübertragung, bei der die Kommunikation zwischen den Feldgeräten in definierten Intervallen erfolgt. Verzögerte Datenübertragung kann in hochpräzisen Produktionsprozessen wie etwa beim Stanzen die Qualität des Werkstücks massiv beeinträchtigen.
Anlagenstillstände zu beheben, bedeutet meistens Produktionsunterbrechungen und verursacht hohe Kosten. In vernetzten Produktionsanlagen können selbst einfache Maßnahmen, wie beispielsweise einen gezogenen Stecker wieder anschließen, nicht einfach nebenher durchgeführt werden. Die Auswirkungen auf die gesamte Anlage sind jeweils mit einzubeziehen. Diese können in unsegmentierten Netzen erheblich sein.
Anpassung der Standard-IT-Methoden an OT-Anforderungen
Viele Methoden und Maßnahmen aus der klassischen IT werden für den Betrieb und die Absicherung der IT-Infrastrukturen in der OT übernommen. Dabei ist es wichtig, die spezifischen Anforderungen aus der Produktionstechnik zu berücksichtigen.
Monitoring-Lösungen aus der IT sind nicht uneingeschränkt für die Anwendung in der OT geeignet, weil die Bandbreite für die Echtzeit-Kommunikation dadurch beeinträchtigt werden kann. Auch bei einem notwendigen Austausch von Komponenten, die im Industrial-Ethernet-Netzwerk verbaut sind, gelten besondere Anforderungen. Ersatzkomponenten müssen der Konformitätsklasse der Anlage entsprechen, es können keine Standard-Komponenten wie sie etwa in der klassischen IT verwendet werden, verbaut werden.
Einsatzzweck und Umgebung geben Anforderungen vor
Industrieumgebungen können besondere Umgebungsbedingungen aufweisen, so dass die eingesetzten Geräte zum Beispiel EMV störsicher, gegen bestimmte Materialen wie Schmierstoffe geschützt oder für den Einsatz in extremen Temperaturbereichen ausgelegt sein müssen.
Safety
Wie der Schutz von Mensch und Natur vor physischem Schaden in Industrieumgebungen gewährleistet sein muss, ist in zahlreichen Normen festgelegt.
Außerdem müssen Safety-Installationen in der Regel von einer Prüforganisation abgenommen werden, Änderung an der Anlage machen eine erneute Abnahme erforderlich.
Security-Maßnahmen für Industrial-Ethernet-Netzwerke
Awareness
Awareness ist ein Dauerbrenner! Hier geht es nicht nur ums große Ganze, sondern darum, dass Sie das Bewusstsein für die einzelnen Risiken beim Betriebspersonal schärfen. Zeigen Sie Gefahren auf, die unbedachtes Handeln an der Anlage verursacht. Es ist noch immer keine Seltenheit, dass gefundene oder privat genutzte USB-Sticks an produktive Anlagen angeschlossen werden, weil damit Programmierungsvorgänge einfach durchgeführt werden können.
Pflegen Sie einen offenen Austausch mit Ihrer Betriebsmannschaft, formulieren Sie konkrete Handlungsanweisungen und definieren Sie Prozesse, die von gelebter Sorgfalt geprägt sind.
Netzwerkplanung und Asset-Management
Es ist von wesentlicher Bedeutung, dass Sie bei der Absicherung von Industrial-Ethernet-Netzwerken wissen, wer mit wem kommuniziert und dass Sie Regeln dafür definieren!
Dafür müssen wissen, welche Komponenten und Systeme in Ihrem Netzwerk verbaut sind. Ein professionelles Asset-Management umfasst nicht nur eine Liste aller Netzwerkteilnehmer. Dazu gehören auch Prozesse, die definieren, was die einzelnen Komponenten und Systeme tun. Achten Sie darauf, in Ihrem Asset-Inventar auch diejenigen Komponenten zu erfassen, die nicht sichtbar sind, sondern in Anlagen verbaut betrieben werden. Man kann bekanntlich nur schützen, was man kennt.
Und bedenken Sie, dass gute Prozesse davon leben, dass ihre Einhaltung sichergestellt und regelmäßig überprüft wird!
Zuständigkeiten zwischen Hersteller und Betreiber klären
Definieren Sie klar, wo die Zuständigkeit für die Vernetzung der Anlage liegt.
Bis auf wenige Ausnahmen ist es sinnvoll, dass der Hersteller beziehungsweise der Lieferant die Vernetzung innerhalb der Anlage liefert und der Betreiber sich um die Anbindung der Anlage an das Betreibernetzwerk kümmert. Es ist auch meistens aus wirtschaftlicher Sicht nicht sinnvoll, dass Betreiber die Vernetzung innerhalb der Anlage verantworten, weil dies Auswirkungen auf Verträge, Garantie und Supportbedingungen hätte. Vereinbaren Sie mit Ihrem Lieferanten geeignete Security-Parameter, und zwar schon im Beschaffungsprozess.
Defense in Depth
Auch für Industrial-Ethernet-Netzwerke empfehlen wir Ihnen ein mehrstufig ausgelegtes Schutzkonzept aus unterschiedlichen Maßnahmen. Zu diesen Maßnahmen gehören neben einer sicheren Fernwartungslösung und der Netzsegmentierung eben auch die Vorgabe von Security-Anforderungen an Hersteller und Lieferanten.
Richtlinien beachten
Und zu guter Letzt legen wir Ihnen nahe, sich an den einschlägigen Richtlinien wie etwa an den Planungs- & Inbetriebnahme Richtlinien der PI zu orientieren, wenn Sie Security-Maßnahmen im Industrial Ethernet planen!
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
