Plattform für sichere Fernwartung von Industrieanlagen

Vor Gefahren abgeschottet

Dass industrielle Systeme und Anlagen zunehmend vor Cyberbedrohungen geschützt werden müssen, steht außer Frage. Allerdings ist es nicht einfach, bestehende Sicherheitskonzepte und -strategien der IT-Welt in die Industrie (OT) zu übertragen. Abhilfe schafft hier eine neue modulare Hard- und Software-Sicherheitslösung speziell für die Industrie.
Bild: ©greenbutterfly/shutterstock.com

Um die Probleme einer sicheren OT-Vernetzung in der Industrie zu lösen, hat Sematicon mit dem modularen Hard- und Software-System se.MIS einen neuartigen Ansatz gewählt. Es ist speziell auf die Belange der Industrie zugeschnitten und erfüllt die Anforderungen der IEC62443. Die Plattform mit aufeinander abgestimmten Bausteinen ermöglicht es sowohl den internen Mitarbeitern als auch externem Personal, Wartungsarbeiten sowie die kontinuierliche Überwachung von Anlagen aus der Ferne sicher durchzuführen. Der Zugriff auf se.MIS sowie alle Daten sind kryptografisch gegen Manipulation und Fremdzugriff geschützt – auf Basis moderner IT-Sicherheitsrichtlinien, wie den BSI-Zero-Trust-Empfehlungen. Die Verschlüsselung aller Daten und Verbindungen sowie die Anforderungen der IEC62443 sind ebenso gewährleistet wie eine sichere Anmeldung über Einmalpasswort-App oder hardwarebasierter Kryptoschlüssel.

Da Anlagenbediener in der Industrie häufig wenig Erfahrung mit IT-Systemen haben wurde bei der Entwicklung von se.MIS besonderer Wert auf eine einfache Bedienung und Integration gelegt. Die Installation kann vor Ort von jedem Nutzer selbst vorgenommen werden. Umfangreiches Fachwissen ist dafür nicht notwendig. Das wird durch eine intuitive Administrationsschnittstelle und ausgeklügelte Automatismen im Hintergrund ermöglicht. Zudem kann das System durch seine Modularität an die vielfältigen Bedürfnisse der jeweiligen Industrieanlagen maßgeschneidert angepasst werden. Ziel dieser modularen Lösung ist es, die industriellen Systeme und Anlagen auf Basis moderner IT-Sicherheitsstandards zu integrieren und abzusichern, ohne diese durch zusätzliche Software oder Updates zu verändern.

 Dieses Beispiel der HMI einer Produktionsmaschine verwendet ein 
veraltetes Betriebssystem und ist damit leicht angreifbar.
Dieses Beispiel der HMI einer Produktionsmaschine verwendet ein veraltetes Betriebssystem und ist damit leicht angreifbar.Bild: Sematicon AG

Alle Zugriffe dokumentieren

Der se.MIS Manager ist die Kernkomponente der Plattform. Dort konfigurieren die Anwender sämtliche Wartungsbücher für Maschinen und Anlagen sowie die dazu notwendigen Berechtigungen. Das digitale Wartungsbuch, das sämtliche Fernzugriffe auf die angeschlossenen Systeme und Anlagen dokumentiert, agiert als zentrales Element. Dabei ist die Integration und Anbindung an Identity-Provider mit Hilfe von OpenID-Connect, neben LDAP und lokalen Nutzern, wichtig. Es können mehrere externe Datenquellen eingerichtet und kombiniert werden. So kann man nur Benutzer berechtigen die sowohl im internen LDAP als auch in einem externen IDP angelegt wurden. Daher ist se.MIS beim Berechtigungsmanagement sehr flexibel auch an die Bedürfnisse großer Unternehmen anpassbar. Die Zugriffe erfolgen über ein Berechtigungsmodell mit unterschiedlichen Rollen und Benutzergruppen, das exakt definiert, wer wann und wie lange auf ein Zielsystem zugreifen darf. Damit können interne Mitarbeiter auch befristete Wartungssitzungen für externe Techniker freischalten. Auf Wunsch wird dann nicht nur protokolliert, wann und wie lange die Benutzer mit dem Zielsystem verbunden waren, sondern es kann über Videoaufnahme und erstelltem Protokoll der ausgeführten Befehle auch detailliert nachvollzogen werden, welche Aktionen ausgeführt wurden. Wobei dies davon abhängt ob es grafische Sitzungen der IP-Verbindungen sind. Dabei kommt entweder PLC-Guard zum Einsatz oder man kann die Dateien mit Wireshark öffnen, oder anderen Tools die PCAPs verarbeiten können.

 Beispiel für einen Wartungsauftrag im Wartungsbuch
Beispiel für einen Wartungsauftrag im WartungsbuchBild: Sematicon AG

Sicherer Fernzugriff

Der se.MIS-Manager ist wahlweise in einer Public- oder Private-Cloud oder alternativ im internen Netzwerk eines Unternehmens angelegt. Daher lässt sich se.MIS hinter eigenen Layer7-Gateways oder hinter Reverse-Proxy-Systemen betreiben. Es handelt sich technisch um eine klassische Web-Verbindung, wobei alle Komponenten ausschließlich TCP-Port443 verwenden. Falls er nicht in einer Cloud läuft, erfolgt der Zugriff von außen über das Internet auf ein sensibles Netzwerk über das se.MIS-AccessGateway. Läuft der se.MIS-Manager in einer Cloud ohne direkte Verbindung ins Maschinennetz stellt der kostenlose se.MIS-Connector die Verbindung zu den Zielsystemen her. Der Connector kann als Software-Paket, Docker-Container und VM betrieben werden und ist Hardware-agnostisch. Viele Partnerhersteller erlauben die zusätzliche Verbindung des se.MIS-Connectors mit ihrem Router oder Edge-Gateway. Im besten Fall braucht man dann gar kein zusätzliches Produkt im Schaltschrank mehr. Der Connector kann auch eingesetzt werden um das Öffnen von Netzwerken (eingehender Traffic) zu verhindern. Konzepte der Micro-Segmentierung sind daher ohne Ausnahmen in der Firewall administrierbar. Die Verbindung wird von innen nach außen aufgebaut und der Verbindungsaufbau findet nur nach erfolgter und erfolgreicher Autorisierung statt.

Beide Systeme kommunizieren ausschließlich verschlüsselt mit HTTPS über TCP-Port 443 miteinander. Der Connector ersetzt damit herkömmliche VPN-Verbindungen und ist auf Wunsch auch in Hardware realisierbar. Zudem bietet se.MIS hier die Möglichkeit im Cloud-Mandanten des Anwenders zu laufen, was die Handhabung von Betriebsprozessen vereinfacht und bei der Integration viele Möglichkeiten offenlässt. Daher ist se.MIS auch für OEMs sehr interessant. Im Idealfall sind sowohl der Manager als auch der Connector die beiden einzigen Systeme, die einen Zugriff auf die Systeme und Anlagen in isolierten Maschinennetzwerken haben. Diese Isolierung wird mit üblichen Netzwerktechniken erzielt, indem etwa eine Firewall ausschließlich dem se.MIS-Manager Zugriff über das gewünschte Protokoll auf ein Zielsystem gewährt. Es können aber auch SSH und klassische IP-Endpoints (wie SPS-Systeme oder andere IP-Komponenten) eingesetzt werden. SSH ist jedoch potentiell eine Gefahr weil es ein Tunnel-Protokoll ist und eine Port-Weiterleitung erlaubt, was in den meisten Fällen und Implementierungen nicht verhindert wird. Daher wird SSH durch se.MIS komplett isoliert. Eine spezielle Applikation auf dem PC des Technikers ist in den meisten Fällen auch gar nicht notwendig.

Der Manager arbeitet mit dem Remote-Desktop-Protokoll (RDP) von Microsoft und mit VNC-Verbindungen (Virtual Network Computing). Bei RDP ist er rückwärtskompatibel, bis Windows 2000 und akzeptiert alle Varianten von VNC. Für ältere Protokolle und Systeme, die über keine direkte Netzwerkverbindung verfügen, sind unterschiedliche Modelle von KVM-Extendern erhältlich. Mit ihnen können MS-DOS-, Windows-3.11- sowie Windows 95/98- oder eingebettete Systeme unter Windows CE eingebunden werden. Linux-Systeme und Netzwerkkomponenten aber auch IoT-Systeme werden via Secure Shell integriert.

 Beispiel für die Zuteilung verschiedener Wartungsaufgaben im Wartungsbuch
Beispiel für die Zuteilung verschiedener Wartungsaufgaben im WartungsbuchBild: Sematicon AG

Sichere Fernwartung

Für die Wartung von Anlagen und kritischen Systemen ist se.MIS sehr flexibel und ohne zusätzliche Komponenten auf nahezu jeder Virtualisierungs-Plattform oder auf der Hardware von Drittherstellern wie Routern oder Edge-Gateways einzusetzen und isoliert das sensible Anlagennetz zuverlässig vom IT-Netzwerk. Soll oder muss der se.MIS-Connector diese Aufgabe in Hardware-Ausführung übernehmen, ist das Gerät aufgrund seiner kompakten Maße von 150x52x105mm für die Montage im Schaltschrank oder an der Maschine geeignet. Dafür stehen diverse Montagerahmen oder eine DIN-Schiene für den Einbau auf einer Hutschiene zur Verfügung. Der Betriebstemperaturbereich von -25 bis 60°C und die Feuchteresistenz eignen den Connector auch für raue Industrieumgebungen. Darüber hinaus lässt er sich mit verschiedenen Modulen erweitern. Das I/O-Modul erlaubt die direkte Steuerung der Maschine durch elektrische Signale und verträgt an den jeweils vier Ein- und Ausgängen Spannungen von 5 bis 48V, wie sie in der Industrie vorkommen. Das Display-Port-Modul erweitert den HDMI-Anschluss um einen zweiten Monitorausgang, um weitere Bildschirme oder Anzeigetafeln anzubinden. Das LAN-Modul ermöglicht den Anschluss optionaler KVM-Extender-Module, über die zusätzlich die Einbindung älterer Maschinen oder Maschinen-Netzwerke möglich ist.

Seiten: 1 2Auf einer Seite lesen

Das könnte Sie auch Interessieren

Weitere Beiträge

Bild: Di-Soric GmbH & Co. KG
Bild: Di-Soric GmbH & Co. KG
Leuchtstarke 360°-Signalleuchten

Leuchtstarke 360°-Signalleuchten

Die Multisegment-Signalsäule der Serie SBT-RGB eignet sich ebenso wie die kompakte domförmige multifunktionale Signalbeleuchtung der Serie SBP-RGB von Disoric zur Darstellung und Übermittlung unterschiedlichster Anlagenzustände. Ohne einzelne Leuchtsegmente stecken zu müssen, weisen Anwender per Software über die IO-Link Prozessdaten jedem Segment einfach die gewünschte Farbe, Helligkeit sowie das Blinkverhalten zu.

mehr lesen
Bild: SSP Safety System Products GmbH & Co. KG
Bild: SSP Safety System Products GmbH & Co. KG
Roboteranlage mit Wireless Safety ganzheitlich abgesichert

Roboteranlage mit Wireless Safety ganzheitlich abgesichert

Bei Staehle in Schifferstadt werden schon seit 1956 Aerosol-Dosen für Kunden aus unterschiedlichen Branchen hergestellt. Für einen schnellen und sicheren Palettenwechsel haben die Konstrukteure von SSP Safety System Products gemeinsam mit dem Unternehmen eine clevere Schleusenfunktion entwickelt, die mit Hilfe eines Roboters bedient und von einer Sicherheitssteuerung mit Wireless-Schnittstelle ausgewertet wird. Zudem lieferte SSP ein gesamtheitliches Sicherheitspaket.

mehr lesen