Was in der Office-IT schon längst alltäglich ist, findet im Fertigungsumfeld noch selten Anwendung: Der Einsatz eines Security-Leitstandes, der einen aktuellen Überblick über den Stand der Informationssicherheit abbildet. Gerade in der Industrie könnten entsprechend angepasste Lösungen aber einen erheblichen Beitrag für eine sichere Produktion leisten. Genau dieses Ziel verfolgt das Teilprojekt ‚Visueller Security-Leitstand‘ im Rahmen von IUNO. Mit anderen Worten: Es geht darum, Datenströme in der Produktion in Echtzeit zu erfassen und darauf basierend relevante Daten über den aktuellen Stand der Informationssicherheit ganzheitlich und übersichtlich abzubilden. Abweichungen in der Produktion werden damit sofort sichtbar und die Teilnehmer eines Produktionsnetzes sind transparent sowie eindeutig identifizierbar. Unternehmen sind somit in die Lage, zu jedem Zeitpunkt schnell und effizient in den Prozess einzugreifen bevor der Produktionsprozess zum Stehen kommt.

Nach dem heutigen Stand der Technik ist die Erfassung, Analyse und Übermittlung von benötigten sicherheitsrelevanten Daten mit verschiedenen Kommunikationspartnern eines Produktionsnetzes allerdings oft sehr komplex. Um dieser Problematik zu begegnen, entwickeln die IUNO-Partner Werkzeuge, die in der Lage sind, entsprechende Daten zu erheben und etwaige Angriffe zu erkennen. Parallel entsteht eine Visualisierungskomponente, die den ‚Echtzeit‘-Status auf Basis der getesteten Werkzeuge darstellt und bewertet.

Anomalien erkennen

Bild 1: Die Architektur der in IUNO entwickelten Fehler-Erkennung.

© Volkswagen

Eine in IUNO entwickelte Fehlererkennung dient als Werkzeug zur Detektion von Abweichungen auf Protokoll-Ebene. Das Ziel der Methode ist die Identifizierung von Fehlverhalten auf Basis von Daten, die aus dem Netzwerk ausgeleitet und geparst werden. Sogenannte Netzwerk-Taps sind in bestehende Kommunikationsstrecken einzubinden und verhindern rückwirkungsfrei ein Eingreifen in das Netzwerk (Sammlung in Bild 1). Das bedeutet, dass selbst bei einem eventuellen Fehlverhalten der Tools zur Anomalie-Erkennung keine nachteiligen Auswirkungen auf den laufenden Produktionsbetrieb möglich sind.

Die dort ausgeleiteten Daten sind im ersten Schritt der Aufbereitung zu parsen, also in ein zu verarbeitendes Format zu zerlegen. Eine Herausforderung stellt dabei der Umstand dar, dass sich heute in der Industrie zahlreiche verschiedene Protokolltypen etabliert haben. Denn um Informationen verarbeiten zu können, ist protokollspezifisch eine Parsermethode zu entwickeln. Im Projekt wurden im Zuge dieser Anwendung sowohl gängige Protokoll-Arten – wie Ethernet, ARP, IPv4, TCP und UDP – als auch industriespezifische Protokolle, wie Profinet IO/CM, Modbus und OPC UA, implementiert. Darüber hinaus wurden zwei Versuchsanlagen realisiert, die über eine Modbus- und Profinet-Kommunikation verfügen.

Die aus den Protokollen extrahierten Daten enthalten vereinfacht gesehen eine Adresse und einen dazugehörigen Wert. Komplexer zu verarbeiten ist hierbei die Adresse, die sich aus mehreren Bestandteilen zusammensetzt. Bei Modbus etwa besteht der Adressenteil aus der IP-Adresse, dem Port, der Slave-ID und der Nummer des selektierten Registers, der Adressenteil bei Profinet dagegen aus der MAC-Adresse, der Frame-ID, dem Slot und dem Sub-Slot. Bis hierher sind also die Adressen, die sich eindeutig einem Aktor oder Sensor zuordnen lassen, und die jeweiligen Daten oder Werte bekannt.

Bisher unbekannt sind jedoch die dazugehörigen Geräte und deren Funktionen. Diese Informationen sind in der Regel nicht direkt aus dem Netzwerk-Verkehr ableitbar und erfordern weitere Informationsquellen, wie beispielsweise Konfigurationsdateien aus der jeweiligen Steuerungs-Software (Aufbereitung Schritt 2). Die Interpretation von Modbus-Nachrichten bei OpenPLC-Steuerungen, einem OpenSource-Ansatz zur Standardisierung industrieller Steuerungen, erfolgt mit Hilfe der OpenPLC-Modbus-Konfigurationsdatei, der OpenPLC-Zuordnungsanweisung und des Betriebsprogramms (ST-Datei) der Anlage. Die Profinet-Datenpakete in Simatic-Installationen lassen sich auf zwei Arten interpretieren: Zum einen ist es möglich, die benötigten Informationen aus dem Context-Manager-Protokoll zu parsen, welches auf DCE/RPC und UDP basiert. Voraussetzung dafür ist, dass die Daten tatsächlich übertragen werden (etwa bei einem Neustart der Anlage). Zum anderen lassen sich die Wertzuordnungen direkt aus der Konfigurationsdatei der Steuerung ableiten, da die Werte in identischer Reihenfolge per Context-Manager zugeordnet werden. Mit den so gewonnenen Zusatzinformationen sind alle Geräte, deren Adressen und die jeweiligen Werte aus dem Netzwerk-Verkehr überwachbar.

Um die aus den Datenpaketen extrahierten Informationen nutzen zu können, ist in einem nächsten Schritt – der Verarbeitung – eine Methode notwendig, die den Ausgangszustand beziehungsweise den Normalablauf der Anlage modelliert. Die berechneten Werte des Modells sind mit den im Netzwerk gesendeten Datenpaketen zu vergleichen und lassen somit Aussagen über Unregelmäßigkeiten oder ein Fehlverhalten zu. Das Verhalten einer Anlage wird über den Programmcode der Steuerungen definiert, weshalb eine Simulation der dort ausgeführten Programme zur Bildung der Modelle sinnvoll ist. Die Ausgabewerte der Simulationen dienen dann als Referenzwerte.

Als Programmiersprachen kommen in den Versuchsumgebungen einerseits OpenPLC unter der Verwendung von Structured Text (spezifiziert in IEC 61131) und andererseits Step7 unter der Verwendung von SCL (spezifiziert in Simatic S7-SCL) zum Einsatz. Um die Simulationen zu ermöglichen, ist die Entwicklung einer Zwischensprache notwendig, die Structured Text und SCL in ein ausführbares Programm überführt. Für diese Sprache sind ein Parser, Interpreter und gegebenenfalls ein Compiler zu entwickeln. Anschließend werden die zu simulierenden Programme via Übersetzungsroutinen in die Zwischensprache überführt. Letztere besteht aus algebraischen Operatoren, Zuweisungen und einem If-Then-Else-Konstrukt, wodurch die Programme mit geringem Aufwand abbildbar sind. Im Interpreter werden die dazugehörigen Programme ausgeführt, sofern diese über entsprechende Eingabewerte im Netzwerk-Verkehr angesprochen werden. Alle Ausgabewerte der Simulationen sind zusätzlich mit einem Präfix ‚SOLL_‘ gekennzeichnet, um diese im weiteren Verlauf mit den IST-Werten des Datenstroms zu vergleichen.

In der Erkennungsphase beziehungsweise im Zuge der Auswertung gibt es die Möglichkeit, Sollwertvergleiche zu tätigen oder Zustandsübergänge zu überwachen. Bei Sollwertvergleichen ist eine Bedingung nach folgendem Schema zu definieren:

Anomalie Name (Triggerliste) { Bedingungsliste }

Die Triggerliste wird am Ende der Simulationsphase von der Zwischensprache ausgewertet. Sofern sich ein Wert der Triggerliste im Vergleich zur vorherigen Auswertung geändert hat, wird die Bedingungsliste verarbeitet. Treffen dort eine oder mehrere Bedingungen zu, wird eine Meldung generiert. Für Zustandsübergänge erfolgt die Definition nach folgendem Schema:

Transition Name (Triggerliste) { BedingungAlt -> BedingungNeu, … }

Bei der Zustandsübergangsüberwachung werden erlaubte Zustandswechsel definiert. Auch hier erfolgt die Auswertung der Bedingungen, sobald sich eine Variable der Triggerliste ändert. Es wird jedoch keine Meldung generiert, wenn sowohl vor als auch nach der Änderung die ‚BedingungAlt‘ gilt oder wenn vor der Änderung ‚BedingungAlt‘ und danach ‚BedingungNeu‘ zutrifft. In allen anderen Fällen erfolgt eine Warnmeldung. Alle Meldungen können entweder dem Bediener ausgegeben oder in eine Datenbank überführt werden. Aus der Datenbank kann ein Leitstand die benötigten Informationen auslesen.

Die Visualisierungskomponente hat schließlich das Ziel, relevante Daten über den aktuellen Stand der Informationssicherheit ganzheitlich und übersichtlich abzubilden. So werden Abweichungen in der Produktion sofort sichtbar und sind korrigierbar. Die grafische Web-Oberfläche ist umfangreich in der Funktionsauswahl, um individuellen Anforderungen gerecht zu werden, und gleichzeitig flexibel in der Gestaltung. So wurde insbesondere großen Wert auf die Erstellung eines Responsive-Designs gelegt, welches den Designcharakter und die damit verknüpften Funktionen auf verschiedensten Endgeräten wie Smartphones, Tablets oder Leitstandsmonitoren gewährleistet.

Im Sinne einer einfachen Bedienung ist die Oberfläche neben der klassischen Bedienung für eine Touch-Bedienung optimiert. Sogenannte Dashboards lassen sich für unterschiedliche Bereiche oder Nutzer individuell angelegen und modular aufbauen. Hierzu kann eine Konfigurationsansicht aktiviert werden, in der per Drag&Drop unterschiedliche Diagrammtypen (zum Beispiel Heatmaps, Säulen-, Kreisdiagramme) in drei vordefinierte Bereiche hinzugefügt werden können. Es stehen dabei bereits vorkonfigurierte Elemente aus den drei Bereichen Sicherheit, Netzwerk und Geräte zur Verfügung. Nach dem Beenden der Konfigurationsansicht sind die Elemente in der Größe veränderbar und mit anderen Elementen tauschbar, um beliebige Dashboard-Ansichten zu generieren. Das Entfernen ist ebenso einfach, indem die Elemente in einen vordefinierten Bereich gezogen werden, ähnlich wie es von Android-Oberflächen bekannt ist.

Die praktische Umsetzung des ­Security-Leitstandes

Bild 2: Ein Roboter assistiert dem Werker bei der Montage – an dieser Demo-Applikation wurde der visuelle Security-Leitstand bei Volkswagen umgesetzt beziehungsweise erprobt.

© Volkswagen

Der Visuelle Security-Leitstand wird im Rahmen von IUNO konkret in Form eines Ausschnitts aus der Motorenfertigung demonstriert. Die Partner zeigen an einem Demonstrator, wie in der Fließfertigung Halterungen an ein Zylinderkurbelgehäuse für den Weitertransport in der Produktion montiert werden können. Ein Roboter, der bei Volkswagen für die Mensch-Roboter-Kooperationen entwickelt wurde, arbeitet in diesem Szenario eng mit einem Mitarbeiter zusammen. Der intelligente Helfer nimmt ein Teil aus dem Teilespeicher auf, transportiert es zu einer Warteposition und wartet dort auf den Werker. Sobald der Mitarbeiter für die Montage an dem Zylinderkurbelgehäuse bereit ist, gibt er dem Roboter ein Zeichen. Daraufhin bringt der Roboter die Halterung so nah wie möglich an das Zylinderkurbelgehäuse, wie in Bild 2 zu sehen. Der Werker verschraubt das Teil am Gehäuse und gibt dem Roboter anschließend wieder ein Zeichen. Damit ist der Prozess vollzogen. Der Roboter fährt daraufhin zum Teilelager zurück und nimmt das nächste Teil auf, um die Halterungen für weitere Zylinderkurbelgehäuse zu montieren.

Kommt es nun zu Abweichungen im Produktionsablauf, ist der Leitstand in der Lage, Fehlkommandos oder fremde Eindringlinge im Unternehmensnetz zu erkennen. In der Versuchsumgebung geschieht dies anhand einer Reihe von exemplarischen Angriffen. Dem Menschen kommt trotz der vielen automatisierten Prozesse eine tragende Rolle zu. Denn am Ende wird es seine Aufgabe sein, die Meldungen und Alarme der Erkennungstools im Leitstand richtig zu deuten, um schnell in den Prozess eingreifen zu können.

Autoren:
Ricardo Hormann ist Projektleiter im Bereich Shopfloor IT bei Volkswagen; 
Stephan Teuber ist Projektleiter in der Informationssicherheit bei Volkswagen.

Das IUNO-Projekt

Bei IUNO handelt es sich um ein öffentlich gefördertes Forschungsprojekt des Bundesministeriums für Bildung und Forschung (BMBF). 14 Industrieunternehmen sowie sieben Forschungseinrichtungen verfolgen dabei ein gemeinsames Ziel: die Absicherung der Produktion von morgen gegen Angriffe von außen, insbesondere gegen Spionage, Sabotage und Manipulationen. Im Projekt werden insgesamt vier Demonstratoren entwickelt, die jeweils von einem Industriepartner geleitet werden. Im Einzelnen geht es dabei um folgende Teilaspekte beziehungsweise Anwendungsfälle:

•  sichere Daten / Technologiedatenmarktplatz (Forschungsprojekt IUNO – Teil 1: Der Technologien-Marktplatz)
• sichere Prozesse / kundenindividuelle ­Produktion
• sichere Dienste / Fernwartung von ­Produktionsanlagen
• sichere Vernetzung / visueller Security-Leitstand

IUNO auf Roadshow

Wer mehr über den Visuellen Security-Leitstand erfahren möchte, bekommt dazu im Rahmen der IUNO-Roadshow die Gelegenheit. Fachvorträge und die in IUNO entwickelten Demonstratoren veranschaulichen dabei praxisnah, wie die übertragbaren Lösungen erfolgreich in Unternehmen integriert werden können. Die Teilnahme an den Veranstaltungen ist kostenfrei. Die kommenden Termine: 

• 13. Juni 2018: Bosch Rexroth, Lohr: Sichere Dienste – Fernwartung von ­Produktionsanlagen
• 26. Juni 2018: Volkswagen, Wolfsburg: Sichere Vernetzung – Visueller Security-Leitstand
• 13. September 2018: Homag, Schopfloch: Sichere Prozesse – Kundenindividuelle ­Produktion
• 27. September 2018: IUNO, Berlin: Sichere Industrie 4.0 – Werkzeuge und Methoden (Abschlussveranstaltung mit dem gesamten Konsortium)

Mehr Informationen sowie den Link zur Anmeldung finden sich im Internet.