Aufgrund der zunehmenden Vernetzung im Fertigungsbereich sollte zuverlässig sichergestellt werden, dass der Maschinenbauer im Rahmen der Fernwartung lediglich seine Maschine erreichen kann und nicht das gesamte Produktionsnetzwerk. Denn in Abhän­gigkeit von der genutzten Lösung ist ein Missbrauch der Fernwartungsverbindung technisch möglich – sei es ab­sichtlich oder nur aus Versehen. Das ­resultiert daraus, weil sich viele der ­Sicherheitsbarrieren, mit denen IT-Abteilungen ihre Netzwerke gegen Angriffe aus dem Internet schützen, von einer Fernwartungsverbindung umgehen lassen.

Bild 1: Funktionsprinzip einer Conditional Firewall: Aktivierung von Firewall-Regelsätzen mittels Schalter.

© Phoenix Contact

Nachfolgend werden verschiedene Lösungen beschrieben, die den Anforderungen der Betreiber hinsichtlich einer umfassenden Absicherung ihrer IT- und Fer-tigungsinfrastruktur gerecht werden und den Maschinenbauern – bis auf den dritten Ansatz – die Beibehaltung ihrer bestehenden Fernwartungslösung erlauben.

Als Ausgangssituation wird angenommen, dass das produzierende Unternehmen (Betreiber) mit zahlreichen Anbietern von Maschinen und Anlagen zusammenarbeitet. Diese nutzen jeweils  unterschiedliche Fernwartungslösungen, deren Security-Parameter vom Betreiber nicht einheitlich administriert werden können. Als einfache und flexibel einsetzbare ­Variante erweist sich an dieser Stelle die Nachrüstung der vorhandenen hardware- oder softwarebasierten Fernwartungslösung des Maschinenherstellers mit einer Industrial Firewall (Security Appliance), welche die Funktion einer zustandsbezogenen Firewall, also einer Conditional Firewall, umfasst (siehe Bild 1). 

Nachrüstung mit einer Conditional ­Firewall

Die Security Appliance wird zwischen der bestehenden Fernwartungslösung des Anbieters und dem Fertigungsnetzwerk installiert und lässt sich von den IT-Experten des Betreibers zentral administrieren. Die Conditional Firewall der Security Appliance kennt zwei Zustände:

• Normalbetrieb/Produktion:
  Alle notwendigen Kommunikationsverbindungen zwischen Maschine und Fertigungsnetz sind erlaubt. Der Verbindungsaufbau der Fernwartungslösung des Anbieters wird durch die Firewall blockiert.
• Fernwartung:
  Die Datenübertragung zwischen Maschine und umgebendem Produktionsnetzwerk ist auf ein Minimum beschränkt und im Extremfall sogar vollständig gekappt. In dem Fall stellt die Maschine/Anlage eine ‚Insel‘ im Fertigungsnetz des Betreibers dar. Der Verbindungsaufbau der Fernwartungslösung des Anbieters, die ihm den Zugriff auf seine Maschine/Anlage ermöglicht, wird gestattet. Die Security Appliance unterbindet einen Zugriff der Fernwartungslösung auf das Produktionsnetzwerk.

Der Bediener vor Ort aktiviert den Fernwartungszustand der von Spezialisten konfigurierten Conditional Firewall über einen Hardware-Schalter. Für diese Tätigkeit benötigt er keine speziellen Security-Kenntnisse und muss auch keine Rücksprache mit den IT-Verantwortlichen des Betreibers nehmen. Nach der Been­digung der Fernwartung stellt der Be­diener den Normalbetrieb wieder her, indem er den Schalter zurückdreht. Auf diese Weise wird die Fernwartungsver­bindung unterbrochen und die Kommu­nikation zwischen der Maschine/Anlage und dem Fertigungsnetz wieder erlaubt. 

Ergänzung um eine VPN-Verbindung

Bild 2: Zweistufige Aktivierung einer Fernwartungsverbindung durch die Conditional Firewall und VPN.

© Phoenix Contact

Wenn neben den oben genannten Anforderungen des Betreibers zusätzlich eine zentrale Komponente zur Aktivierung der Fernwartung gefordert wird, lässt sich das durch eine Kombination der Conditional Firewall der Security Appliance mit VPN-Verbindungen (Virtual Private Network) realisieren (Bild 2). In diesem Fall wird zwischen der vorhandenen Fernwartungslösung des Maschinenherstellers und dem Produktionsnetzwerk des Betreibers eine Security Appliance mit VPN-Funktion installiert. Das Gerät baut bei Bedarf eine interne VPN-Verbindung zu einem VPN-Gateway auf, das in der DMZ (Demilitarized Zone) des Betreibers montiert ist. Alle Fernwartungslösungen der Maschinenhersteller können sich nur mit dem Internet verbinden, nachdem der interne VPN-Tunnel zwischen Security Appliance und VPN-Gateway in der DMZ aufgebaut wurde.

Jetzt ist eine zweistufige Aktivierung der Fernwartung möglich. Nach erfolgreicher Authentisierung kann zum Beispiel der für die Fertigung verantwortliche Mitarbeiter die interne VPN-Verbindung zwischen Security Appliance und dem in der DMZ installierten VPN-Gateway über eine Web-Anwendung einschalten. Eine Fernwartung lässt sich allerdings noch nicht durchführen, weil die Firewall im VPN-Tunnel die Nutzung der Fernwartungslösung des Maschinenherstellers blockiert. Diese wird erst durch den Bediener vor Ort über den bereits beschriebenen Schalter und die Conditional Firewall freigeschaltet. Es müssen also beide Berechtigungen erfüllt sein, damit die Fernwartung starten kann.

Die beiden erläuterten Fernwartungs-varianten setzen so die folgenden Anforderungen um: 

• Der Maschinenhersteller kann weiterhin seine eigene Fernwartungslösung einsetzen.
• Die IT- und Security-Spezialisten des Betreibers können die Verbindungen zentral administrieren.
• Die Aktivierung und Deaktivierung der Fernwartung erfolgt durch die Verantwortlichen/Mitarbeiter in der Produktion ohne nochmalige Rücksprache mit ihrer IT-Abteilung entweder vor Ort mittels Schalter oder vor Ort mittels Schalter in Kombination mit einer vorherigen Freigabe über eine Web-Anwendung.

Fernwartungsportal beim Betreiber

Bild 3: Kontrolle von Fernwartungsverbindungen durch das Portal inklusive Session Recording und Inspektion der Anwendungsdaten.

© Phoenix Contact

Akzeptiert der Betreiber die unterschiedlichen Lösungen der Maschinenhersteller nicht, kann er diesen ein Fernwartungskonzept vorschreiben. Teilweise setzen die IT-Abteilungen der Betreiber dabei auf Ansätze, die sie aus der Office-IT kennen. Mit diesen Ansätzen ist aber keine einfache Aktivierung der Fernwartungsverbindung durch den Bediener möglich. Der Betrieb eines Fernwartungsportals in der DMZ des Betreibers erweist sich hier als praktikable Lösung (Bild 3). Das Fernwartungsportal besteht aus einem Webserver für das Verbindungsmanagement sowie zwei VPN-Gateways, die jeweils die VPN-Verbindungen des Servicetechnikers des entsprechenden Zulieferers sowie der jeweiligen Maschinen als Serviceziel entgegennehmen. Zwischen den beiden VPN-Knoten liegen die Daten unverschlüsselt vor und können aufgezeichnet, gefiltert oder überwacht werden. Jede Maschine wird über eine Security Appliance inklusive VPN-Option mit dem Fertigungsnetz verbunden.

Fordert der Maschinenbediener vor Ort in der Produktion eine Fernwartung an, aktiviert er die VPN-Verbindung von der Maschine zum in der DMZ befindlichen Maschinen-Gateway über einen Schalter. Zusätzlich zu seiner VPN-Verbindung zum Service-Gateway wählt sich der Techniker über einen Browser in die Web-Anwendung des Fernwartungsportals ein. Diese zeigt ihm an, welche Maschinen online sind, und er kann sich per Mausklick mit der Maschine verbinden, welche die Fernwartung benötigt. Zudem legt der Betreiber über ein Berechtigungsmodell fest, welcher Techniker respektive Zulieferer welches Serviceziel, also welche Maschinen, fernwarten darf. 

Auf Wunsch kann der Betreiber die drei beschriebenen Fernwartungslösungen auch kombinieren. Auf diese Weise lassen sich die vielfältigen Anforderungen im Hinblick auf eine sichere und trotzdem praktikable Fernwartung erfüllen und darüber hinaus bestehende unsichere Fernwartungslösun-gen nachrüsten.

Autor:
Frank Merkel ist Business Development ­Manager bei Phoenix Contact.

Neue Zugriffssicherheiten erzielen

Die robusten und industrietauglichen Security Appliances beinhalten Firewall-, Routing- und VPN-Funktionalitäten zum Schutz vor Cyber-Attacken.

© Phoenix Contact

Maschinen- und Anlagenbauer nutzen das Internet seit mehr als 15 Jahren zur Fernwartung. Während sie ihren Kunden in der ersten Zeit meist die von ihnen präferierte Fernwartungslösung vorschreiben konnten, hat sich dies ab 2010 mit dem ersten weltweit bekannt gewordenen Cyber-Angriff auf Industrieanlagen – Stichwort: Stuxnet – geändert. Dazu trägt auch die durch Industrie 4.0 getriebene zunehmende Vernetzung von Maschinen und Anlagen in Produktionsnetzen bei. In den letzten Jahren ist die Tendenz festzustellen, dass die Maschinen- und Anlagenbetreiber eine aus ihrer Sicht einheitliche Fernwartungslösung durchsetzen wollen. Damit entsteht ein Dilemma zwischen dem Maschinenbauer und seinem Kunden, denn einer von beiden muss die Lösung des anderen akzeptieren. 

Die Security Appliances der Produktfamilie FL mGuard von Phoenix Contact ermöglichen als Stand-alone-Lösung oder in Kombination mit den Web-Anwendungen VPNControl respektive MachineSelector der Firma Propius einen Ausweg aus der geschilderten Situation und werden den Anforderungen aller Beteiligten hinsichtlich einer sicheren Fernwartung gerecht.

Bei den Geräten der Produktfamilie FL mGuard handelt es sich um Netzwerk-Komponenten, welche die Funktionen des Routers, der Firewall und des VPN-Geräts in sich vereinen (Bild). Das Ziel einer maximalen Sicherheit und Anlagenverfügbarkeit wird durch folgende Eigenschaften erreicht:

• höchstes Sicherheitsniveau mit IPsec-Protokoll auf dem Layer 3
• bis zu zehn parallele VPN-Tunnel (optional bis 250)
• hoher VPN-Datendurchsatz von bis zu 70 MBit/s
• Unterstützung aktueller Zertifikate wie x509.v3
• Anschluss für VPN-Freigabetaster und VPN-Status-LED
• Nutzung lediglich der ausgehenden User-Datagram-Protocol-Verbindungen des Betreibernetzes (UDP)
• Stateful-Inspection-Firewall zur dynamischen Filterung