Zukunftssicher automatisieren

Funktionale Sicherheit – Safety – dient dem Schutz von Menschen und der Umwelt vor Unfallgefahren, die von Maschinen ausgehen können. Daten- und Kommunikationssicherheit – Security – steht für die Überwachung von OT-Strukturen und IT-Netzwerken sowie von möglichen Einfallstoren, um die Gefahren durch Manipulation oder Diebstahl von Daten zuverlässig zu eliminieren. Da die funktionale Sicherheit zunehmend digitaler wird, können Safety-Lösungen ohne die Berücksichtigung von Security-Risiken der Gefahr von Veränderungen von außen ausgesetzt sein – Veränderungen, die ihre Schutzfunktion beeinträchtigen oder sogar aufheben können.

Security: Neuer Stellenwert in der Gesetzgebung

Der kommunikative Bruch zwischen TCP/IP- und Feldebene im Gateway sorgt dafür, dass ASi der IT ein hohes Maß an verfügbaren Zusatzinformationen wie zum Beispiel Diagnosedaten zur Verfügung stellen kann und gleichzeitig bestmöglich vor Cyberattacken geschützt ist. © Bihl+Wiedemann

Zwei Integrationsansätze

Grundsätzlich kann in einem Netzwerk jedes Gerät mit einer Verbindung per TCP/IP in die IT-Welt zum Vehikel für Angriffe auf andere Geräte werden – und so Produktionsstabilität und Prozesssicherheit gefährden.

Bihl+Wiedemann verfügt über ein umfangreiches Portfolio an ASi-5 Safety-Gateways. © Bihl+Wiedemann

Ein möglicher Lösungsansatz – wie früher üblich und teilweise auch heute noch anzutreffen – wäre also, eine sicherheitstechnische Lösung ohne Bindeglied zwischen der äußeren Feldbus- und IT-Welt und der datentechnischen Netzwerkstruktur einer Maschine umzusetzen. Neben der Tatsache, dass eine solche Entkopplung beispielsweise keine automatisierte Diagnose der Sicherheitstechnik mehr ermöglicht, steht sie auch aktuellen Technologie- und Zukunftstrends in der Automatisierung – also der Digitalisierung und Umsetzung von Industrie 4.0 – entgegen. Zudem ist eine separate Verdrahtung von Standard- und Safety-Komponenten – nicht zuletzt wegen des damit verbundenen Aufwands – nicht mehr Stand der Technik. Ausgehend davon, dass ohne zusätzliche Diagnose- und Sekundärdaten auch aus dem Bereich der Sicherheitstechnik wohl kaum noch innovative Maschinenkonzepte im Sinne von Industrie 4.0 und darauf basierender Geschäftsmodelle umgesetzt werden können, würde sich alternativ die Nutzung Ethernet-basierter Safety-Technologie im Feld anbieten. Standardisierte und zertifizierte Kommunikationsprotokolle wie Profisafe, FSoE oder CIP Safety ermöglichen die Übertragung sicherheitsrelevanter Daten in Automatisierungsanwendungen mit funktionaler Sicherheit. Dafür muss aber jede dieser Netzwerkkomponenten einen eigenen Ethernet-Anschluss und eine eigene IP-Adresse haben, die im Hinblick auf Cybersecurity jeweils individuell gesichert werden müssen. Ein hoher Aufwand und ein hohes Risiko – gerade dann, wenn offene Ethernet Ports im Feld frei zugänglich sind. Erschwerend kommt hinzu, dass die für Industrie 4.0 gesammelten Daten häufig nicht über eine gesonderte IT-Schnittstelle, sondern ebenfalls über die OT-Schnittstelle zum Beispiel in eine Cloud transportiert werden. Damit gibt es keine Barriere mehr zwischen OT- und IT-Welt und damit oft einhergehender Internetverbindungen.

Die Alternative: ASi-5 Safety

Bihl+Wiedemann verfügt über ein umfangreiches Portfolio an ASi-5 Safety-Modulen. © Bihl+Wiedemann

Keine Stecker, ein Kabel für Standard- und Sicherheitstechnik verschiedener Generationen, Verbindung von jeder Stelle im Netzwerk – AS-Interface als das etablierte Verdrahtungssystem der untersten Feldebene bietet die Möglichkeit, Maschinen-sicherheit einfach, kostengünstig und maßgeschneidert zu realisieren. Im Gegensatz zu einer sicheren Ethernet-basierten Kommunikation, bei der jede Komponente ihre eigene IP-Adresse benötigt, bietet ASi-5 Safety eine weit höhere E/A-Dichte pro IP-Adresse. Verteilt über bis zu 2 × 200 m Leitungslänge kann beispielsweise ein Gateway mit ASi-5/ASi-3 Sicherheitsmonitor von Bihl+Wiedemann unter einer einzigen IP-Adresse in zwei ASi Kreisen und mit E/A-Modulen wie dem ‚BWU4277‘ mit 14  sicheren Eingängen und zwei elektronisch sicheren Ausgängen ohne Weiteres weit über 100 sichere E/As verwalten. Diese wiederum lassen sich in der Konfigurationssoftware ‚Asimon360‘ einfach anlegen und überwachen. Die sicheren Signale werden – bei Bedarf ergänzt um Standard-signale – ausschließlich über das gelbe ASi Profilkabel, also nur eine einzige Leitung, eingesammelt. Im übertragenen Sinn fungiert dieses als zentrales Nervensystem im OT-Netzwerk einer Maschine oder Anlage und als Zubringerbus für sichere Signale zum ASi-5 Safety-Gateway. Der integrierte Sicherheitsmonitor kann als Sicherheitssteuerung konfiguriert werden und liefert so die Möglichkeit, eine Safety-Applikation als Stand-Alone-Lösung zu realisieren. Da die Gateways immer über eine integrierte Feldbusschnittstelle wie Profinet, Ethernet/IP, Ethercat oder Powerlink verfügen, können der übergeordneten Steuerung umfangreiche Diagnoseinformationen zu den Sicherheitsfunktionen zur Verfügung gestellt werden. Kommt ein Gateway mit einem sicheren Feldbusprotokoll wie Profisafe, CIP Safety oder Safety over Ethercat (FSoE) zum Einsatz, können nicht nur die Diagnosedaten, sondern auch die sicheren Daten selbst an eine sichere Steuerung übertragen werden. Dabei dient das Gateway nicht nur als Türöffner in die Welt der intelligenten Verdrahtungstechnologie ASi mit seinem breiten Portfolio an Safety- und Standard-E/A-Modulen fürs Feld, sondern trägt zur Reduktion der Ethernet-Schnittstellen und damit zu einem erheblich geringeren Security-Risiko innerhalb einer Anlage bei.

Mit ASi-5 Safety können dank der Kombination von sicheren Signalen und Standardsignalen in einem Modul nahezu alle industrierelevanten Integrations- und Einsatzszenarien abgedeckt werden. © Bihl+Wiedemann

Um die zusätzlichen Daten auch sinnvoll nutzbar zu machen, verfügen alle Gateways mit ASi-5 Safety zudem über eine separate Diagnoseschnittstelle, die für die IT-Welt optimiert ist. Diese unterstützt aktuelle IT-Kommunikationsstandards wie OPC UA, REST API und zukünftig auch MQTT. Dank der Möglichkeit, zertifikatsbasierte, sichere Firmware-Updates im Feld durchzuführen, können neue Standards und Anforderungen an die Security – auch im Feld – nachgerüstet und erfüllt werden. Um einen hochverfügbaren Betrieb und minimale Downtime im Austauschfall zu gewährleisten, werden die Hardware- und die Safety-Konfiguration sowie die Parameterdaten der angeschlossenen Geräte auf einer SD-Karte gespeichert und beim Einsetzen in ein neues, typengleiches Gateway auf dieses komplett übertragen.

Security an Bord und im Blick

Selbst wenn das ASi Gateway mit seiner Verbindung zu TCP/IP das Bindeglied zwischen der äußeren Feldbus- und IT-Welt und der datentechnischen Netzwerkstruktur einer Maschine ist, kann es nicht zum Einfallstor oder zur Angriffsplattform für Cyber-Attacken werden, denn es entkoppelt physisch die TCP/IP- und die Feldebene mit ASi und ASi Safety. Dieser kommunikative Bruch zwischen ASi und TCP/IP isoliert die ASi Netzwerkteilnehmer nach außen und lässt so einen direkten TCP/IP-Durchgriff auf die Feldebene gar nicht erst zu.

Durch das ASi-5/ASi-3 Feldbus Gateway von Bihl+Wiedemann erfolgt eine physische Entkopplung zwischen TCP/IP und ASi-5 sowie ASi-5 Safety, sprich der Feldbus- und der Feldebene. © Bihl+Wiedemann

Während also an die Module und Teilnehmer im ASi Netzwerk weitaus geringere Security-Anforderungen gestellt werden müssen, da sie nicht in TCP/IP-Netzen kommunizieren können, ist das Gateway im Prinzip die einzige, maßgeblich Cybersecurity-relevante Komponente. Um ASi Gateways zu schützen, erfolgen bereits in der Entwicklung und auch bei der Inbetriebnahme von Bihl+Wiedemann umfangreiche Tests mit einer breiten Palette an Werkzeugen aus dem Bereich der Cybersecurity. Beispielsweise werden die Ethernet-Feldbusschnittstelle und die Ethernet-Diagnoseschnittstelle der Gateways durch die Testsoftware ‚Achilles Robustness Test‘ von GE Digital strengen Belastbarkeitstests unterzogen, um die Unempfindlichkeit gegen Cyber-Angriffe sicherzustellen.

Umfassend und zukunftssicher

Durch die lange Einsatzdauer von ASi Produkten muss es zudem möglich sein, erkannte Schwachstellen in der Gerätesoftware noch lange nach der Inbetriebnahme von Geräten zu beheben. Zudem können von Hackern und Cyber-Kriminellen jederzeit neue Gefahren ausgehen, mit denen bisherige Sicherheitsmaßnahmen umgangen werden sollen. Bihl+Wiedemann bietet daher die Möglichkeit, im laufenden Anlagenbetrieb sichere Teile von Gateways durch In-System-Updates von Firmware und durch signierte, vom Gerät zuvor zu authentifizierende Sicherheitssoftware im Rahmen einer zertifikatsbasierten Ende-zu-Ende-Verschlüsselung zu aktualisieren. Dadurch ist es möglich, die ASi-5 Module des Unternehmens immer mit den neuesten Security-Standards auszustatten.

Thomas Rönitzsch ist verantwortlich für die Unternehmenskommunikation bei Bihl+Wiedemann in Mannheim. © Bihl+Wiedemann

Weitere Gründe, weshalb ASi-5 und ASi-5 Safety ein Höchstmaß an Cybersecurity bieten, sind zum einen der Einsatz kryptografischer und authentisierter Verschlüsselungs- und Prüfalgorithmen wie AES-256 mit SHA oder RSA bei den OPC UA-fähigen Produkten sowie die Unterstützung kundenspezifischer Zertifikate wie TLS. Zum anderen erfolgt bei ASi-5 die Übertragung der Daten per Orthogonalem Frequenzmultiplexverfahren (OFDM, Orthogonal Frequency-Division Multiplexing). Durch diese dynamische Frequenzzuweisung ist das Mitschneiden der ausgetauschten Nachrichten sehr aufwendig und nur möglich, wenn der gesamte Kontext des Verbindungsaufbaus inklusive der Frequenzwechsel zwischen ASi Master und ASi Teilnehmer bekannt ist.