Im IT-Umfeld sind regelmäßige Datensicherungen selbstverständlich. In der Regel sind nach einem Hardwareausfall Anwenderdaten und Datenbankinhalte verlustfrei wiederherstellbar. Bei Steuerungen von Maschinen und Anlagen ist es dagegen häufig so, dass das SPS-Programm nur nach der Inbetriebnahme gesichert wird – jedoch nicht die zahlreichen kleinen Änderungen, die sich im Laufe der Zeit ergeben. Diese sind bei einem plötzlichen Systemausfall ebenso verloren wie die fortlaufenden Anpassungen von Rezepturen oder die Optimierungen der Regelparameter. Ein paar Beispiele aus der Praxis verdeutlichen die Problematik. In Produktionsanlagen von Baustoffen liegen die optimierten Rezepturen nur in der SPS. Wenn nun eine defekte Pufferbatterie und ein Stromausfall zusammentreffen, sind die Rezepturdaten verloren. Bei einem Blockheizkraftwerk steht eine Revision an. Wird dazu nur abgeschaltet, wird man beim Wiederanlauf ein Problem haben: Die über die Jahre optimierten Sollwerte für die Regelprozesse sind nicht mehr verfügbar. Bei langsamen Prozessen, beispielsweise bei der Abwasserbehandlung, sind die Prozessparameter zum Wiederanlauf wichtig. Ein nur kurzer Stromausfall in der Kläranlage kann zu schwerwiegenden Umweltschäden führen, wenn die Steuerung mit den falschen Parametern weiterarbeitet. Ursache für diese Situationen in der täglichen Praxis ist, dass die Datensicherung einer SPS bislang meist manuell gemacht werden muss – und zudem oft aufwändiger ist als die Änderung des Programms selbst.
SPS-Programm und Aktualdaten sichern
Mit mbEagle bietet MB Connect Line eine Sicherungshardware für die verbreiteten S7-300- und S7-400-Steuerungen von Siemens. Das Gerät im kompakten Hutschienengehäuse wird über Ethernet oder MPI-/Profibus mit der Steuerung verbunden. Im ersten Schritt erstellt das Gerät ein sogenanntes Referenzbackup. Dazu werden der komplette Programmspeicher (OB, FC, FB, DB, SFC, SFB, SDB), die Bestellnummer und die Seriennummer aus der SPS ausgelesen und im Speicher abgelegt. Diese Informationen werden dann auf dem angegebenen Speichermedium dauerhaft abgelegt und dienen für spätere Vergleiche als Referenz. Anhand dieser Referenzdaten überwacht das Gerät den statischen Speicherbereich von S7-300- und-S7-400-Steuerungen kontinuierlich. Dazu werden die Programmbausteine in einem von Anwender festgelegten Intervall gelesen und mit dem Referenzbackup verglichen. Bei Änderungen der Programmdaten wird der Verantwortliche je nach Einstellung per E-Mail oder SMS alarmiert oder es wird ein Ausgang gesetzt, der eine Warnleuchte oder Sirene aktiviert. Manipulationen durch Malware und Viren werden ebenso erkannt wie Änderungen am Steuerungsprogramm, die \’mal kurz\‘ in der Nachtschicht gemacht werden. Nach der Alarmierung muss der Anwender entscheiden, ob er die Änderungen als neue Referenzdaten übernehmen oder verwerfen möchte. Für diesen Fall kopiert er die betreffenden Bausteine oder das gesamte SPS-Programm aus den gespeicherten Referenzdaten in die Steuerung zurück. Alle Aktionen sind über die Konfigurationsoberfläche des Geräts per Browser steuerbar. Einzelne Aktionen sind auch über die digitalen Eingänge auslösbar, beispielsweise per Schlüsselschalter. Über die integrierte Web-Oberfläche kann sich der Anwender jederzeit den Baugruppennamen, den Zeitstempel des Referenzbackups und die Seriennummer der Steuerung anzeigen lassen. Weitere Funktionen sind die kontinuierliche Prüfung des SPS-Status Run/Stop und die Sicherung der Aktualdaten. Damit wird sichergestellt, dass die Prozessdaten erhalten bleiben, falls die SPS-Hardware aufgrund eines Defekts einmal ausgetauscht werden muss. Der Anwender kann festlegen, in welchem Intervall die zyklische Sicherung erfolgen soll und welche Bausteine gespeichert werden sollen. Anhand einer blinkenden LED erkannt der Anwender, dass der zyklische Betrieb läuft. Während einer Datensicherung oder Datenüberprüfung leuchtet die LED dauerhaft. Bleibt die LED länger als eine Sekunde dunkel, ist die Kommunikation zur SPS unterbrochen.
Stuxnet und andere Manipulationen erkennen
Stuxnet war der erste bekannt gewordene Trojaner, der speziell dazu entwickelt wurde, Automatisierungssysteme zu manipulieren und die damit gesteuerten Prozesse zu stören. Durch die Ausnutzung mehrerer, damals unerkannter, Schwachstellen in Microsoft Windows und der Verwendung gültiger Zertifikate konnte sich Stuxnet unbemerkt auf den Host-Systemen der PCS7-Installationen einnisten. Das eigentliche Ziel des Wurms waren aber nicht das Windows-System, sondern die S7-300- und S7-400-Steuerungen, welche den physikalischen Prozess steuern. Speicherprogrammierbare Steuerungen wie die Simatic S7-300 und S7-400 von Siemens sind aus kommunikationstechnischer Sicht nicht mit Schutzmechanismen ausgestattet. Jedes Gerät, das direkt oder über Netzwerk Zugang zur Steuerung hat, kann auf deren System- und Arbeitsspeicher einschließlich aller Programm- und Prozessdaten lesend und schreibend zugreifen. Eine Zugriffskontrolle erfolgt nicht, auch keine Klassifizierung oder Identifizierung der Teilnehmer. Alle haben den vollen Zugriff auf das SPS-Programm, die aktuellen Prozesswerte und die hinterlegten Verfahrens- oder Rezepturdaten. Die SPS erkennt in der Kommunikation keinen Unterschied, ob jetzt ein Servicetechniker eine Programmänderung macht, das Bedienpersonal einen neuen Sollwert vorgibt oder ob eine Schadsoftware wahllos Ausgänge setzt. Wer das Protokoll kennt und direkt oder über das Netzwerk Zugang zur Steuerung hat, kann das SPS-Programm und die Prozessdaten beliebig auslesen und ändern, ohne dass die Parameteränderungen erkennbar sind. Je nach Art der Manipulation können sie zur Zerstörung der Anlage führen, beispielsweise durch Übertemperatur oder mechanische Überlastung, oder zur Produktion von Ausschuss. Wenn im Wirkungsbereich der kompromittierten Maschinen Menschen arbeiten, sind diese ebenso gefährdet. Ursprünglich war diese Offenheit auch gar kein Problem. Da kamen nur die Personen an die Steuerung, die dazu berechtigt waren. An eine durchgängige Vernetzung und den Datenaustausch per USB-Stick hat damals noch niemand gedacht. Viele der oben genannten Sicherheitslücken in Windows und Wincc sind zwischenzeitlich geschlossen. Eine Sicherheit auf dem Niveau der klassischen IT würde eine Neuentwicklung von Steuerungen und Engineeringtools mit entsprechenden konstruktiven Maßnahmen voraussetzen. Sobald solche Lösungen verfügbar sind, kann das die Situation bei neuen Anlagen spürbar verbessern.
Entscheidend ist das Gesamtkonzept
Industrielle Sicherheit umfasst nicht nur den sicheren Betrieb von Maschinen und Anlagen im Sinne von gefährdungs- und unfallfrei, sondern auch den Schutz von Know-how und die Sicherstellung der Systemintegrität. Das beginnt mit einer Segmentierung der Netzwerke in einzelne Automatisierungszellen und setzt sich darin fort, die Datenzugriffe nur einem begrenzten Teilnehmerkreis zugänglich zu machen. Die Bedrohung von innen wird häufig unterschätzt. Mitarbeiter können versehentlich Downloads von kompromittierten Internetseiten machen und die Schadsoftware per USB-Stick verteilen. Geht das Servicepersonal mit den entsprechend manipulierten Programmiergeräten an die Anlage, nimmt das Problem seinen Lauf. Im Vergleich dazu bietet die Fernwartung über Internet mit industriellen VPN-Routern in Verbindung mit einer Portallösung ein hohes Sicherheitsniveau. Da solche Lösungen aus Sicht der Anlage nur mit ausgehenden Verbindungen arbeiten, ist die Angriffsfläche wesentlich reduziert. Falls trotz aller Sicherheitsmaßnahmen ein digitaler Eindringling auf der Steuerung ankommt, wird er von mbEagle gemeldet, bevor er Schaden anrichten kann. Manipulationen und Sabotage an Steuerungssysteme sind nicht zu 100% zu verhindern. Letztlich ist aber entscheidend, dass sie wenigstens sicher erkannt werden.
