Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

Aufrufe
vor 6 Jahren

9-2017

  • Text
  • Stromversorgung
  • Feldbusse
  • Kommunikation
  • Robotik
  • Qualitaetssicherung
  • Bildverarbeitung
  • Automatisierungstechnik
  • Sensorik
  • Messtechnik
  • Visualisieren
  • Regeln
  • Msr
  • Boards
  • Systeme
  • Sbc
  • Ipc
  • Pc
  • Electronic
  • Elektronik
  • Components
Fachzeitschrift für Industrielle Automation, Mess-, Steuer- und Regeltechnik

IoT IT Retrofit –

IoT IT Retrofit – Secure IoT für existierende Maschinen und Anlagen Die Vernetzung von Maschinen und Anlagen, die bereits seit Jahren in Betrieb sind und noch viele weitere Jahre zuverlässig ihren Dienst leisten können, ist eine Voraussetzung für eine erfolgreiche und effiziente Umsetzung von Digitalisierungsstrategien gerade in mittelständischen Unternehmen Produzent Maschinenhersteller B Dieses White Paper entwickelt ein Konzept zur sicheren Anbindung von Maschinen und Anlagen an Unternehmensprozesse. Die Umsetzung des Konzepts wird nachfolgend anhand der von der Janz Tec AG entwickelten Secure Appliance OSIRIS vorgestellt. Secure IoT – Basis für neue Geschäftsmodelle Autoren: Dr. Markus von Detten (li), Leiter Systems Engineering und Dr. Harald Hoffmann (re), Bereichsleiter Industrial Security und Senior Consultant, beide Janz Tec AG Maschinenhersteller A Produzent MES SCADA Fallbeispiel 1: Wertschöpfungsnetzwerk (links) auf Infrastruktur-Netzwerk (rechts) Die Eröffnung von Zukunftsmärkten für den deutschen Maschinen- und Anlagenbau wird durch die Fähigkeit, Geschäfts- und Vertriebsmodelle zu adaptieren, geprägt sein. Die in diesem Zusammenhang diskutierten Ansätze beruhen auf einer qualitativ weitergehenden Einbindung der Hersteller in Service- und Betriebsprozesse. Dabei übernimmt der Hersteller z.B. die komplette Verantwortung für die Verfügbarkeit bzw. Zuverlässigkeit der von ihm gelieferten Maschinen und Anlagen oder stellt diese in Betreibermodellen (Production as a Service) zur Verfügung. Die sich dabei bildenden Wertschöpfungsnetzwerke zwischen Herstellern, Betreibern, Produzenten und ggf. Servicedienstleistern sind „gekennzeichnet … durch komplexe wechselseitige Beziehungen zwischen autonomen, rechtlich selbstständigen Akteuren. Es bildet eine Interessengemeinschaft von potenziellen Wertschöpfungspartnern, die bei Bedarf in gemeinsamen Prozessen interagieren. Die Entstehung von Wertschöpfungsnetzwerken ist auf nachhaltigen ökonomischen Mehrwert ausgerichtet.“[1] Diese sind charakteristisch für die Produktion im Umfeld von Industrie 4.0. Integration Die Umsetzung adaptierter Geschäfts- und Vertriebsmodelle ist dabei wesentlich von der Integration der Maschinen und Anlagen in die digitale Infrastruktur jener Organisationen, die das Wertschöpfungsnetzwerk bilden, abhängig. Das so entstehende Infrastruktur-Netzwerk ist die technische Abbildung des Wertschöpfungsnetzwerkes und überschreitet die jeweiligen Organisationsgrenzen. Die Auslegung des Infrastruktur-Netzwerks muss den Anforderungen und grundlegenden Interessen von autonomen, rechtlich selbstständigen Akteuren hinsichtlich der Sicherheit ihrer privaten Informationen genügen. Fazit M1 M2 M3 IT-Sicherheit und Digitalisierung von Geschäftsmodellen sind untrennbar verbunden. Der Schutz von privaten Informationen, unabhängig davon ob diese auf Personen, Prozesse oder Maschinen bezogen sind, ist Basis für die vernetzte Produktion. IoT – Ansätze und Risiken Im nachfolgenden Fallbeispiel werden eine einfache Umsetzung eines Wertschöpfungsnetzwerkes, das charakteristisch für die Produktion im Industrie-4.0-Umfeld ist, gezeigt und mögliche Risiken hinsichtlich der IT-Sicherheit diskutiert. Wenn Risiken frühzeitig erkannt und entsprechend berücksichtigt werden, eröffnet die Nachrüstung von existierenden Maschinen und Anlagen mit gesicherten IT-Komponenten die Möglichkeit, mit vergleichsweise geringen Investitionen den Schritt in Richtung Industrie 4.0 zu realisieren. Konzepte für die Nachrüstung müssen neben den Anforderungen der IT-Sicherheit auch eine einfache Integration in bestehende Maschinen und Anlagen berücksichtigen. Fazit Die Planung der Umsetzung einer digitalisierten Produktion muss von Beginn an einen Prozess zur Erkennung und Behandlung möglicher Risiken im Bereich der IT-Sicherheit etablieren. Fallbeispiel 1 Wertschöpfungsnetzwerk mit Einbindung von Maschinenherstellern in die Betriebsprozesse Die Abbildung illustriert ein Wertschöpfungsnetzwerk zwischen drei Partnerunternehmen: Der Produzent setzt innerhalb der Produktion Maschinen von Hersteller A und B ein. Beide Maschinenhersteller sind für den Betrieb ihrer Maschinen M1 bis M3 zuständig und benötigen daher dedizierten, sicheren Zugriff auf diese. Das Infrastruktur-Netzwerk zeigt die notwendigen Netzwerkverbindungen. Allerdings kann eine direkte Umsetzung dieser Netzwerktopologie unter Umständen zu gravierenden Problemen führen. Dies sind beispielsweise: • Unautorisierter Zugriff auf Produktionsdaten vom Produzenten durch Maschinenhersteller A und B an den jeweiligen Maschinen M1 bis M3 • Man-in-the-Middle-Angriff auf die Verbindungen der Maschinenhersteller in die Fabrik. Folgen eines gelungenen Angriffs können sein: • Mithören von Daten, Erlangen von Betriebsdaten und Konfigurationen • Einschleusen von Schadcode bzw. manipulierten Betriebsdaten • Einbruch in das MES (Manufactoring Execution System) von M1, M2 und M3 aus. IoT – Integrationskonzept Hilfestellung sowohl bei der Konzeption der Integration als auch bei der Auswahl bzw. dem Design der notwendigen IT-Komponenten gibt die IEC 62443 „Industriellen Kommunikationsnetze – IT-Sicherheit 10 PC & Industrie 9/2017

IoT Ereignis Folge des Ereignisses Schadenspotenzial Abschalten der Maschine per Einschleusen des „Aus“-Signals von außen Manipulation des Programmcodes der Steuerung Einschleusen einer falschen Konfiguration von außen – Angriff auf Verbindung Abhören der übermittelten Konfiguration – Angriff auf Verbindung Manipulation des Programmcodes der Steuerung Tabelle 1: Schadenspotenziale SIL (Safety Integrity Level) Begründung für Schadenspotenzial Abschalten – Ausfall der Maschine gering 1 1h Materialpuffer beim Übergang zum nächsten Produktionsschritt → geringe Auswirkung einer kurzzeitigen Abschaltung Indikation komplizierte Störung, z.B. Überhitzung Drehmomentwandler – Ausfall der Maschine hoch 2 Produktionsausfall, Nichteinhaltung von Lieferzusagen falsche Konfiguration hoch – Qualitätsmängel oder Produktionsausfall, Nichteinhaltung von Lieferzusagen Erlangen der Konfiguration hoch – Abfluss von Firmen Know-how Ausfall des Magnetspannfutters im Betrieb sehr hoch 4 Lebensgefahr für Personal im direkten Umfeld, Beschädigung der Maschine für Netze und Systeme“ [2]. Diese definiert eine Reihe von Standards, welche speziell auf die IT-Sicherheit von Steuerungs- und Automatisierungssystemen (= Industrial Security) abzielen. Bestandsaufnahme und Analyse von Schadenspotenzialen Ausgangspunkt des Integrationskonzepts ist eine Bestandsaufnahme der zu schützenden Bereiche in einer Organisation (Fabrik, Anlage) sowie darauf abbildbarer Bedrohungsszenarien. Es wird eine Einschätzung des Schadenspotenzials, welches bei Ausfall bzw. Störung des jeweiligen Bereiches eintreten kann, vorgenommen. Dabei sind bei der Bestandsaufnahme die Lokalisierung von Equipment, dessen Konnektivität (LAN, WLAN, WWAN) etc., die Funktion im Betriebsprozess und damit einhergehenden Szenarien zu berücksichtigen. Dies führt zu einer Festlegung von Zonen. Hilfestellung bei der Schätzung des Schadenspotenzials geben unter anderem die Betrachtungen zur funktionalen Sicherheit (FMEA – Failure Mode and Effects Analysis, FHA – Functional Hazard Assessment) eines Systems in Zusammenhang mit den Normen IEC 61508 und IEC 62061 [3] [4]. Führt der Ausfall bzw. Fehlfunktion eines Systems z.B. zu einer lebensgefährlichen Situation für den Bediener einer Anlage, ist dies unbedingt zu berücksichtigen. Darüber hinaus sind weitere schützenswerte Güter zu benennen und das relevante Schadenspotenzial zu bestimmen. Ein schützenswertes Gut kann z.B. spezielles Firmen- Know-how sein, welches in Maschinenkonfigurationen, Rezepten oder Designdaten abgelegt ist. Fallbeispiel 2 zeigt eine entsprechende Analyse. Aus dem Schadenspotenzial und den Eintrittswahrscheinlichkeiten werden die IT-Security Level (SL) für den jeweiligen Bereich festgelegt. Dafür stehen unterschiedliche Methoden zur Verfügung. Neben dem Vorgehensmodell der IEC 62443-3-2 seien hier Microsoft STRIDE/DREAD [5] oder OCTAVE [6] genannt. Fazit Die Einschätzung von Risiken erfolgt auf Basis der möglichen Schadenspotentiale und der Eintrittswahrscheinlichkeit. Die Risikoeinschätzung ist Ausgangspunkt für die Etablierung von Strategien für die Gewährleistung der IT-Sicherheit. Die Aufteilung einer Organisation in Zonen annähernd gleichen IT-Risikolevels führt dabei zu einer vereinfachten und besser handhabbaren Struktur. Fallbeispiel 2 Bestandsaufnahme der zu schützenden Bereiche und relevanter Bedrohungsszenarien Die im Fallbeispiel 1 definierte Fabrik wurde in einer ersten Analyse in die Bereiche Management, MES/SCADA, M1, M2 und M3 zerlegt. Die Tabelle 1+2 erfassen die Schadens potenziale für den Bereich M1 und ein abstraktes Bedrohungsszenario. Aus der Betrachtung ergeben sich drei Bedrohungsszenarien, die hinsichtlich Eintrittswahrscheinlichkeit, Schadenspotenzial, Minimierungsmöglichkeiten, damit verbundener Reduktion des Schadenspotenzials und dem Erreichen des Schutzziels zu bewerten sind. Analyse der IoT-Kommunikationsinfrastruktur In einem zweiten Schritt werden die Verbindungen (Conduits), d.h. der Informations- und Datenfluss zwischen den Zonen, betrachtet. Dies führt zu einer Kommunikationsinfrastruktur/Netzwerktopologie. Die Topologie selbst ist zunächst maßgeblich von der Tiefe der horizontalen (Kommunikation auf Maschinen-Ebene) und der vertikalen (Kommunikation Maschine zu übergeordneten bzw. entfernten Instanzen) Integration abhängig. Ansätze für Fernwartung und -konfiguration durch die Bedrohungs szenario Schadenspotenzial Ein tritts wahrschein lichkeit Minimierungs möglichkeiten Ziel SL (IT Secu rity Level nach IEC 62443) Schutzziel Angriff auf Verbindung hoch hoch Einsatz kryptografischer Verfahren bei der Übertragung 2 Vertraulichkeit Integrität/ Authentizität Manipulation des Programmcodes der Steuerung sehr hoch gering Sicherung Programmcode etc. als vertrauliche Daten (BackUp); Vergleich BackUp – Einsatzdaten über Hashes 2 Verfügbarkeit Integrität/ Authentizität Diebstahl/ Erlangen von Konfigurationen/ Rezepten sehr hoch hoch Verschlüsselung von Konfigurationen, Programmcode etc. und Ablage in manipulationssicheren Systemen 3 Verfügbarkeit Integrität/ Authentizität Tabelle 2: Bedrohungsszenarien PC & Industrie 9/2017 11

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel