Es ist zu erwarten, dass zukünftige Technologien auf der Integration der Infrastrukturen für IT (Information Technology, Informationstechnologie) und OT (Operational Technology, Betriebstechnologie) aufgebaut werden, da immer mehr industrielle Automatisierungsunternehmen die Vorteile einer konvergierten Netzwerkinfrastruktur erkennen. Bis es jedoch eine einheitliche Technologie gibt, welche die einfache Integration über vertikale und horizontale Kommunikation unterstützt, muss die Überbrückung bestehender IT-/ OT-Systeme sichergestellt werden, ohne ihre individuellen Anforderungen zu stören - und mit besonderem Augenmerk auf die Sicherheit. Die Bewegungen von Industrie 4.0 und IIoT sind die Hauptantriebskräfte für die Idee konvergierter Netzwerke.
Was genau können die Besitzer von Produktionslinien tun, um die Produktivität zu steigern oder den Anwendern zu ermöglichen, den Echtzeitstatus der Produktion einzusehen? Um diesen industriellen Geschäftsinitiativen Rechnung tragen zu können, besteht der erste Schritt darin, die Daten aus der Fabrikhalle der Unternehmensebene und der Cloud zur Verfügung zu stellen. Das heißt, die industriellen Netzwerke, die lange Zeit isolierte Systeme waren, müssen jetzt mit dem IT-Netzwerk verbunden und über das Internet erreichbar sein. Dabei wird man auf einige Hindernisse stoßen, beispielsweise die Anwendung der IT-Netzwerkrichtlinien in der industriellen Netzwerkarchitektur. Der zweite wichtige Punkt ist, dass die industrielle Kommunikation mit besonderen Anforderungen an Leistung und Verfügbarkeit verbunden ist. Die M2M-Kommunikation (Machine-to-Machine-Kommunikation) erfordert kurze Reaktionszeiten, weshalb normalerweise mehrere Industrieprotokolle gleichzeitig im OT-Netzwerk implementiert werden. Das IT-Netzwerk kann ein solches Verfügbarkeitsniveau der Netzwerke nicht gewährleisten. Letztendlich machen jegliche Art von Internetzugang oder Fernzugriff auf die Fabrikhalle industrielle Prozesse anfälliger für Cyberangriffe, was zu Produktionsstillständen und enormen finanziellen Verlusten führen kann.
Feldgeräte besser schützen
Einige der größten Rückschläge für sichere OT-Netzwerke sind auf mangelndes Bewusstsein für Cyber-Probleme in Supply-Chain-Organisationen und unzureichende Cybersicherheitspraktiken bei KMU-Anbietern (kleine und mittlere Unternehmen) zurückzuführen. Das Fehlen eines angemessenen Budgets für Cybersecurity-Programme ist ein weiteres häufiges Problem (Quelle: MHI-Jahresbericht 2018-Deloitte).
Diese Rückschläge können vermieden werden, indem ein Standardsatz von Richtlinien vereinbart wird, den die OT für den Aufbau eines sicheren Netzwerks befolgen kann. Wichtiger ist jedoch, dass gemeinsame Richtlinien für Hersteller von industriellen Automatisierungskommunikationssystemen wie zum Beispiel Moxa, Siemens, Schneider Electrics und viele andere gelten. Hersteller müssen in der Lage sein, Endanwender mit Cybersecurity-fähigen Geräten zu unterstützen, die mit normierten Funktionen ausgestattet sind. Einer dieser Standards für industrielle Automatisierungs- und Steuerungssysteme (IACS) ist die IEC 62442 (Abb. 2).
Für Moxa-Geräte bedeutet dies, dass Sicherheitsfunktionen wie Kennwortrichtlinien, Systembenachrichtigung, Protokollverwaltung, Konfigurationsverschlüsselung usw. implementiert wurden, die im Schutzbereich auf Geräteebene definiert sind. Industrielle Netzwerkgeräte umfassen Schaltschrankautomatisierungstechnik-und DIN-Schienen-Switches, ausgewählte Modelle von Geräteservern, Remote I/O, Wireless-Geräte und Protokoll-Gateways. Für den Netzwerkteilnehmer ist der so genannte In Depth-Schutz eine Lösung, indem Netzwerke mit Hilfe von Secure Routern in logische Zonen unterteilt werden. Diese Geräte verfügen normalerweise über integrierte Firewalls, VPN-Funktionen, Deep Packet Inspection und weitere Funktionen. Eines der wertvollsten Werkzeuge zur Vervollständigung einer solchen Infrastruktur ist eine leistungsfähige Netzwerkverwaltungssoftware wie Moxas MXview, die visuelles Management für die Sicherheitsüberprüfung und -überwachung sowie Northbound-Schnittstellen zur Bereitstellung des Netzwerkstatus bietet.
Sichere Datenerfassung
Was früher ein Gerät war, um Daten vor Ort an ein lokales SCADA oder HMI zu liefern, muss heutzutage ein Gateway sein, das Daten vom Netzwerkrand, dem so genannten Edge, bis zur Cloud bereitstellt. Dies ist genau die Definition eines intelligenten Geräts. Um dies tun zu können, müssen Geräte entweder über einen eingebetteten Agenten für eine Anzahl privater und öffentlicher Cloud-Anbieter verfügen, Protokolle wie MQTT oder OPC UA verwenden oder einen Webdienst mit RestfulAPI unterstützen. Diese Geräte sind auch nicht mehr nur einfache Protokollkonverter, sie sind mit Rechenleistung ausgestattet und können Datenvorverarbeitung sowie Edge- und Fog-Computing durchführen. Moxa hat für seine Gateways die ThingsPro Softwaresuite entwickelt, eine Cloud-fähige Gateway-Lösung für einfache und sichere Konnektivität, die einen transparenten Datenaustausch zwischen OT- und IT-Systemen gewährleistet. Aus Sicherheitsgründen sind sie ein Verbindungspunkt zwischen IT- und OT-Netzwerken in Industrie 4.0 und IIoT. Die Gateways dienen als Zugangspunkt zum Edge-Netzwerk, isolieren die Edge-Geräte von der Außenwelt und nutzen gleichzeitig Technologien wie VPN für Fernzugriff und MQTT für sichere Datenkommunikation.
Sicherer Fernzugriff
Der On-Demand-Wartungsservice ist ein großer Teil der Industrieautomation, der sowohl seitens des Endanwenders als auch des Maschinenherstellers/Anbieters von Industrielösungen viele zusätzliche Kosten verursachen kann. Wenn wir uns die Tatsache ansehen, dass der größte Wartungs- und Fehlerbehebungsbedarf auf Software-Updates oder auf die Wartung und Diagnose von Software zurückzuführen ist, ist es sinnvoll, in Fernzugriffsmöglichkeiten zu investieren, anstatt einen Techniker jedes Mal vor Ort zu schicken, wenn beispielsweise eine Software aktualisiert werden muss. Um Feldgeräte, Ingenieure und industrielle Anwendungsserver über das Internet miteinander zu verbinden, hat Moxa die Moxa Remote Connect (MRC)-Kommunikations-Administrationsplattform entwickelt. Sie umfasst ein sicheres Gateway im Feldnetzwerk und eine Client-Software, die über einen sicheren Tunnel mit dem Gateway verbunden ist, kombiniert. Das ermöglicht es Ingenieuren, ihre industriellen Softwaretools aus der Ferne einzusetzen. Um den Zugriff von Clients auf die Gateways sowie den Zugriff zwischen Gateways zu verwalten, bietet Moxa MRC Server als Kommunikationsverwaltungsplattform an.
Wie bereits erwähnt unterscheiden sich die Anforderungen an industrielle und IT-Netzwerke. Daher ist es nicht nur wichtig, eine End-to-End-Verschlüsselung für die Gateway-zu-Client-Kommunikation über das Internet anzubieten, sondern auch die Filterung nach Industriestandards, wie Modbus TCP und PROFINET IO, um sicherzustellen, dass nur der wirklich erforderliche Datenverkehr durch einen Kommunikationstunnel zugelassen wird. Aus diesem Grund ist die Funktion einer einfach zu konfigurierenden Whitelist-Firewall, die Industrieprotokollen unterstützt, von großem Nutzen für Ingenieure und die Überbrückung der Lücken zwischen IT und OT.
Es gibt keinen 100%-igen Schutz vor Cyberangriffen. Stellen Sie jedoch sicher, dass Ihre OT-Teilnehmer sich des Risikos bewusst sind, und stellen Sie ihnen Richtlinien, Tools und Geräte zur Verfügung, die ihnen helfen, dieses Risiko zu senken. Und vermitteln Sie den IT-Teilnehmern die Wichtigkeit und die Anforderungen industrieller Netzwerke. An dieser Herausforderung muss jeder Hersteller industrieller Infrastrukturlösungen arbeiten.