Firewall-Funktionen und erlauben eine maßgeschneiderte Absicherung von industriellen Netzwerken. –
Bild: Bild: Helmholz GmbH & Co. KG
Mit dem Siegeszug der Ethernet-Vernetzung in der Fertigung muss dort auch die Cybersecurity eine ganz zentrale Rolle spielen. Diese Notwendigkeit schlägt sich auch in der aktuellen Normen- und Richtlinien-Situation nieder. Beispielsweise befasst sich die internationale Normenreihe IEC62443 mit der Cybersicherheit von Industrial Automation and Control Systems (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. Sie betrifft also alle, die an Herstellung und Betrieb von Maschinen beteiligt sind, und definiert entsprechende Verantwortlichkeiten für Maschinenbauer, Zulieferer und Endkunden. Ähnliches gilt für die NIS-2-Richtlinie (Network and Information Security Directive, seit 2023 in Kraft), den Cyber Resilience Act (CRA) sowie unter anderem die, um Securitymaßnahmen erweiterte, Maschinenrichtlinie. Außerdem haben neue technologische Entwicklungen wie künstliche Intelligenz, Autonomie und Vernetzung bei der Anpassung der grundlegenden Sicherheits- und Gesundheitsschutzanforderungen der Richtlinie Berücksichtigung gefunden. Die entsprechende neue Europäische Maschinenverordnung 2023/1230 ist ab dem 20. Januar 2027 für das Inverkehrbringen von Maschinen anzuwenden.
Maschinennetze sicher integrieren
Nicht nur diese aktuellen Vorgaben zeigen: Das Thema Maschinensicherheit geht inzwischen jeden an. Dabei geht es im Kern darum, Maschinennetze sicher in das übergeordnete Produktionsnetzwerk zu integrieren. Das Stichwort ist hier Secure OT – also sichere operative Soft- und Hardware zur Steuerung, Absicherung und Kontrolle von industriellen Steuerungssystemen, Geräten sowie Prozessen.
Angesichts wachsender Datenmengen führt vor diesem Hintergrund kein Weg an der Trennung bzw. Segmentierung von Netzwerken vorbei. Hierfür haben sich Konzepte mit Zonen und sicheren Zonenübergängen als besonders wirksam erwiesen. Deshalb schreibt auch die IEC62443 ein entsprechendes Schutzkonzept vor: Demnach ist es für große oder komplexe Systeme nicht angebracht, für alle Komponenten den gleichen Schutzbedarf zu verwenden, da diese unterschiedliche Bedrohungen und Risiken aufweisen.
Unterschiede lassen sich durch das Konzept der Sicherheitszone darstellen. Eine Sicherheitszone ist eine logische Gruppierung von physikalischen Betrachtungsgegenständen, die den gleichen Schutzbedarf haben. Die Grenze der Sicherheitszone definiert, welche Komponenten innerhalb und welche außerhalb der Zone liegen. Um den benötigten Informationsfluss in eine und aus einer Sicherheitszone zu gewährleisten, werden sogenannte Übergänge (Conduits) definiert. Eine Kommunikation außerhalb von Conduits ist dabei nicht zulässig.
Robuste und kostengünstige Absicherung
Für die Umsetzung solch eines Schutzkonzepts für vernetzte Maschinen gibt es am Markt zahlreiche Highend-Lösungen, die allerdings für die Absicherung eines einzelnen Maschinennetzwerks meist überdimensioniert sind. Das heißt in aller Regel auch: überkomplex und nicht zuletzt unnötig teuer.
Vor allem der mittelständische Maschinenbau und seine Kunden suchen daher nach praktikableren Lösungen, die nicht nur sicher und zuverlässig sein sollen, sondern auch schlank, effizient und ein- fach umsetzbar. Eine solche Lösung ist das NAT-Gateway (Network Adress Translation) Wall IE von Helmholz: Es wird zwischen der Maschine sowie dem Produktionsnetzwerk installiert und arbeitet als robuste und kompakte Ethernet-Komponente mit Bridge- und Firewall-Funktionen.
Konkret schützt sie die Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität, mit der sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken lässt. Zur Einfachheit und Sicherheit der Lösung trägt bei, dass die Wall IE mitsamt dem dahinter liegenden Maschinennetzwerk im Produktionsnetzwerk nur als eine einzige IP-Adresse angezeigt werden kann. Außerdem kann das Gateway sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden, wobei es wie ein Switch agiert. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart die Paketfilterung möglich. Das ermöglicht die Einschränkung des Zugriffs zu einzelnen Bereichen des jeweiligen Netzwerks, ohne dass hierfür unterschiedliche Netzwerke verwendet werden müssen.
Im NAT-Betriebsmodus, den die meisten Anwender nutzen, leitet die Wall IE den Datenverkehr zwischen verschiedenen IPv4-Netzwerken (Layer 3) weiter und nutzt Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetzwerk. Dabei wird die Adressübersetzung mittels NAT unterstützt. Das ermöglicht es darüber hinaus, mehrere gleichartige Automatisierungszellen mit dem gleichen Adressbereich in das Produktionsnetz einzubinden. Im NAT-Betriebsmodus unterstützt Wall IE sowohl Basic NAT (auch 1:1 NAT oder Static NAT genannt) als auch NAPT (Network Address and Port Translation, auch 1:N NAT oder Masquerading genannt).
Mehr Möglichkeiten durch neue Varianten
Wall IE sit seit der Markteinführung im Jahr 2015 schon tausendfach im Einsatz. Der Funktionsumfang ist dabei stetig gewachsen. Trotzdem reicht für die Inbetriebnahme weiterhin Netzwerk-Basiswissen aus. So ist beispielsweise keine Anpassung der Netzkonfiguration im LAN-Netz notwendig. Zudem lassen sich Serienmaschinen mit gleichen IP-Adressen einfach integrieren. Seit 2024 ergänzen nun zwei Varianten die bisherige ‚Standard‘-Version (mit vier Ports und einer Übertragungsrate von 100MBit/s). Die neuen Modelle verfügen über einen schnelleren Prozessor mit Ethernet bis 1GBit/s. Die Compact-Version beschränkt sich dabei auf zwei Ports – einer für das Firmennetzwerk (WAN), einer für das Maschinennetzwerk (LAN). Die Plus-Version bietet hingegen acht frei konfigurierbare Port, die als Switche für LAN oder WAN genutzt werden können. Dadurch lassen sich kleinere Netzwerke ohne zusätzliche Switche bzw. mit einem einzigen Device umsetzen.
