Fernwarten / Fernwirken
Security-Lösungen für SPS & Co.
Ohne eine durchgängige Kommunikation auf Basis von Internet-Technologien ist eine moderne Produktion nicht mehr vorstellbar. Die Gefahr von Manipulationen und unerwünschten Zugriffen auf die Anlage beziehungsweise die SPS – beispielsweise im Rahmen der Fernwartung – bleibt damit nicht aus. Was braucht es in der Praxis, um dem zu begegnen?
Unabhängig davon, wie das Thema genannt wird – Fernwartung, Industrie 4.0, M2M, CPS (Cyber Physical System) oder IoT (Internet of Things) – nimmt der Vernetzungsgrad von Maschinen und Anlagen stetig zu. Das Ziel ist letztlich eine durchgängige Kommunikation vom Maschinenbauer und Materiallieferanten über die Produktionsanlage bis hin zur Logistik und zum Endabnehmer. Das betrifft nicht nur Produktionshallen, sondern auch verschiedenste Arbeits- und Lebensbereiche: Die Kläranlage signalisiert den Ausfall einer Pumpe, die Spritzgussmaschine meldet eine Störung bei der Granulat-Zuführung und Sensoren an der Fahrbahn übermitteln den Verkehrsfluss an den Leitrechner.
Die notwendige Bandbreite hierfür bietet das Internet. An vielen Orten sind Breitbandanschlüsse über DSL oder Kabel-TV verfügbar. Zudem bieten mobile Technologien der dritten und vierten Generation (3G und 4G) – umgangssprachlich als UMTS und LTE bekannt – heute ebenfalls Datenraten bis 100 MBit/s. Zum Vergleich: In den DSL-Anfangszeiten vor zehn Jahren war an ausgewählten Orten innerhalb der Ballungsräume gerade mal eine Datenrate von 1,5 MBit/s möglich.
Das "Problem" mit dem Internet: Hier handelt es sich um ein öffentlich zugängliches Netzwerk. Daher sind geeignete Schutzmaßnahmen erforderlich, damit die übertragenen Daten nicht von Dritten mitgelesen werden können. In der Regel setzt man dabei auf VPN (Virtual Private Networks) in Verbindung mit einer Verschlüsselung der übertragenen Daten. Die Übergänge vom öffentlichen zum privaten Netzwerk werden durch Firewalls gesichert, die nur authentifizierten Teilnehmern eine Kommunikation ermöglichen. Die manuelle Konfiguration von VPN-Verbindungen und Firewall-Regeln sind jedoch mit einem erheblichen technisch-administrativen Aufwand verbunden. So muss beispielsweise für jedes zusätzlich installierte Gerät die Konfiguration der Firewall angepasst werden. Das birgt ein gewisses Risiko, dass durch eine fehlerhafte Konfiguration Sicherheitslücken entstehen.
Wesentlich einfacher und sicherer ist es für den Anwender, wenn er ein webbasiertes Service-Portal mit den entsprechenden Industrie-Routern als intelligente Endgeräte nutzt. Ein Beispiel für eine solche Lösung, die sich nach dem Baukastenprinzip skalieren lässt, ist das Portal mbconnect24. Es dient als intelligente Vermittlungsstelle zwischen verschiedenen Teilnehmern wie etwa Maschinen, Produktionsanlagen, Gebäudetechnik und Versorgungsinfrastruktur, aber auch zwischen Instandhaltern, Schichtleitern und den Servicetechnikern der Lieferanten. Über die integrierte Rechte- und Rollenverwaltung erhält beispielsweise jeder Servicetechniker nur die Berechtigungen, die er für seine Aufgabe benötigt. In der Praxis kann das bedeuten, dass der SPS-Techniker auf die Steuerungen und Antriebe zugreifen kann, aber nicht auf die Produktionsdaten des Visualisierungs-PCs.
Die Realisierung dieses Serverportals erfolgte auf Basis von OpenVPN. Die Sicherheit und Integrität der Verbindung wird dabei mittels einer Authentifizierung durch X.509-Zertifikat und einer zusätzlichen Benutzername/Passwort-Kombination gewährleistet. Die Verschlüsselung von OpenVPN basiert auf OpenSSL (SSL/TLS). Für eine Fernwartungs-Sitzung melden sich die Benutzer per https oder über einen gesicherten VPN-Zugang am Portal an. Nach erfolgreicher Authentifizierung kann sich der Service-Spezialist mit den für ihn freigegebenen Maschinen und Anlagen verbinden.
Vorinstallierte Server: Die 'midi'-Variante (oben) unterstützt als Box-Lösung bis zu 250 Benutzer und 50 gleichzeitig aktive Verbindungen. In der 'maxi'-Variante (unten) im 19-Zoll-Rack sind bis zu 1.000 Benutzer bei 150 aktiven Verbindungen möglich.
© MB Connect LineWas die Architektur der Lösung betrifft, so hat der Anwender verschiedene Realisierungsmöglichkeiten: Bei der Variante mbConnect24.net läuft das Portal als Dienst auf einem Server, den sich mehrere Anwender teilen. Die Version mymbConnect24.hosted wird auf einem dedizierten Server gehostet und ist über eine eigene IP-Adresse direkt erreichbar. Die dritte Variante ist schließlich der mymbConnect24-Server als vorinstalliertes Komplettsystem. Damit können Maschinenbauer und Anlagenbetreiber innerhalb ihres Firmennetzes ihr eigenes Serviceportal realisieren. Unabhängig von der Ausführung übernehmen die Server stets als Rückgrat der Servicezentrale das gesamte Verbindungsmanagement.
Auf der Anlagenseite bilden Industrie-Router den Übergang vom öffentlichen in das private Netz. Für jede Anlage ist dabei im Fall der so genannten mbNet-Geräte individuell festlegbar, ob sich der Router immer am Portal einloggt, sobald er mit Strom versorgt wird, oder erst bei Bedarf. Konkret kann der Verbindungsaufbau zum Portal manuell über eine Einwahl-Taste oder von der Anlagensteuerung über ein Signal an einen digitalen Eingang des Routers ausgelöst werden. Über diese Mechanismen entscheidet alleine der Anlagenbetreiber, wann ein Fernzugriff auf seine Anlage möglich sein soll. Ist der Router mit einem Modem ausgestattet, so lässt sich das Einloggen am Portal auch per Anrufsignalisierung oder per SMS von außen initiieren.
Für die Anbindungen von S7-Steuerungen über MPI- und Profibus dienen die mbNet-Router als RFC-1006-Gateway einschließlich Routing über RFC 1006.
© MB Connect LineEine integrierte Firewall erlaubt die Datenübertragung nur identifizierten und authentifizierten Benutzern. Sie bietet dazu Funktionen wie IP-Filter, SPI (Stateful Packet Inspection), NAT (Network Address Translation) und Port-Forwarding. Die Fernwartung selbst findet verschlüsselt über einen VPN-Tunnel statt. Basis der VPN-Technologie sind die Sicherheitsprotokolle OpenVPN, PPTP oder IPSec. Die Verschlüsselung erfolgt mit den Verfahren AES und DES/3DES. Als Authentisierungsmethode dienen Pre-Shared-Key (PSK) oder X.509-Zertifikate. Die Konfiguration der Industrierouter kann direkt über das Portal erfolgen. Über den sogenannten CTM (Configuration Transfer Manager) wird die Konfiguration automatisch übertragen und aktiviert, sobald sich ein Router am Portal anmeldet und sich über seinen eindeutigen Identifikationsschlüssel identifiziert hat.
Mit solchen Industrie-Routern ist letztlich die anlagenweite Fernwartung vom einfachen Antrieb über S7-Steuerungen bis hin zu Bedienpanels und Visualisierungs-PCs möglich. Neben den LAN-Schnittstellen mit integriertem 4-Port-Switch stellen die Router bis zu zwei serielle Schnittstellen zur Verfügung, die per Software als RS 232 oder RS 485 konfigurierbar sind. Für serielle Geräte wie Steuerungen und Antriebe sind über 90 verschiedene Treiber verfügbar. Und für den direkten Zugriff speziell auf die S7-300- und S7-400-Steuerungen von Siemens haben die MPI-/Profibus-Varianten einen vollwertigen PC-Adapter integriert, der Übertragungsraten bis 12 MBit/s unterstützt.
Das Problem der offenen Schnittstellen
Speicherprogrammierbare Steuerungen wie die Simatic S7-300 und S7-400 von Siemens haben offene Schnittstellen. Das heißt: Es gibt keine Schutzmechanismen für einen kontrollierten Zugriff auf Programme und Daten in der Steuerung. Wer direkt oder über Netzwerk Zugang zur Steuerung hat, kann also ohne jegliche Authentifizierung auf deren System- und Arbeitsspeicher einschließlich aller Programm- und Prozessdaten lesend und schreibend zugreifen. Das betrifft das SPS-Programm, die aktuellen Prozesswerte und die hinterlegten Verfahrens- oder Rezepturdaten. Mit anderen Worten: Die SPS erkennt in der Kommunikation keinen Unterschied, ob das Servicepersonal eine Software-Änderung macht, der Bediener einen neuen Sollwert vorgibt oder ob eine Schadsoftware beliebige Ausgänge setzt. Je nach Art der Manipulation kann das zur Zerstörung der Anlage führen, beispielsweise durch Übertemperatur, mechanische Überlastung oder zur Produktion fehlerhafter Teile. Wenn sich im Arbeitsbereich der manipulierten Anlagen Menschen aufhalten, sind diese ebenso gefährdet.
Ein weiteres Problem bei gängigen Speicherprogrammierbaren Steuerungen ist, dass hier klassische Methoden von Virenscannern mit Mustererkennung nicht funktionieren. In der Informationstechnik erfolgt die Erkennung von Schadsoftware anhand von Bytefolgen oder bestimmten Sequenzen von Programmcode, die als Virus bekannt sind. Auf eine solche Basis an Erfahrungswerte kann aber im Bereich der Steuerungen nicht zurückgegriffen werden. Hinzu kommt das geforderte Echtzeitverhalten. Bei einem Büro-PC fällt es kaum auf, wenn sich die Antwortzeiten wegen einer Dateiprüfung oder eines Antivirus-Updates um ein paar Sekunden verzögern. Eine Steuerung dagegen muss definierte Reaktionszeiten garantieren.
Zusatz-Hardware wie die mbSecbox erkennt Viren und Malware wie Stuxnet auf S7-Steuerungen unmittelbar und informiert den Betreiber, bevor ein Schaden entsteht.
© MB Connect LineLösen lässt sich diese Manko durch die Verwendung einer zusätzlichen Sicherungs-Hardware wie der "mbSecbox", die nach dem Prinzip der Positivliste arbeitet. Das bedeutet: Im ersten Schritt wird ein so genanntes Referenzbackup erstellt. Dazu werden der komplette Programmspeicher (OB, FC, FB, DB, SFC, SFB, SDB), die Bestellnummer und die Seriennummer aus der SPS ausgelesen und im Speicher abgelegt. Diese Informationen werden dann auf dem angegebenen Speichermedium dauerhaft abgelegt und dienen für spätere Vergleiche als Referenz.
Anhand dieser Referenzdaten überwacht das Gerät den statischen Speicherbereich von S7-300- und S7-400-Steuerungen kontinuierlich. Dazu werden die Programmbausteine in einem von Anwender festgelegten Intervall gelesen und mit dem Referenz-Backup verglichen. Bei Änderungen der Programmdaten wird der Verantwortliche, je nach Einstellung, per E-Mail oder SMS alarmiert oder es wird ein Ausgang gesetzt, der eine Warnleuchte beziehungsweise Sirene aktiviert. Manipulationen durch Malware und Viren lassen sich auf diese Weise ebenso erkennen wie Änderungen am Steuerungsprogramm, die "mal kurz" in der Nachtschicht gemacht werden. Auch für den Fall, dass während einer Fernwartungssitzung die Verbindung abbricht, lässt sich der vorherige Stand des SPS-Programmes per Knopfdruck wieder herstellen.
Die beschriebene Security-Funktionalität wurde bewusst in eine separate Hardware ausgelagert – so sorgt der Industrie-Router für den Zugriffsschutz und eine verschlüsselte Kommunikation, während die mbSecbox den Daten- und Programmspeicher der SPS überwacht. Letztere ist aus Sicherheitsgründen nicht mit dem Internet verbunden, so dass die Aufgabenteilung für einen zusätzlichen Schutz sorgt.
Neuere Steuerungen wie beispielsweise die S7-1500 haben bereits Security-Funktionen integriert. Es gibt Möglichkeiten, Algorithmen gegen unberechtigte Zugriffe und Modifikationen zu schützen und die SPS kann veränderte Engineeringdaten erkennen. Bei bestehenden S7-300/400-Installationen müssen die Anwender allerdings prinzipbedingt auf externe Lösungen zurückgreifen, wenn sie ihre Maschinen und Anlagen optimal schützen wollen.
Entscheidend ist das Gesamtkonzept
Industrielle Sicherheit umfasst nicht nur den sicheren Betrieb von Maschinen und Anlagen im Sinne von gefährdungs- und unfallfrei, sondern auch den Schutz von Know-how und die Sicherstellung der Systemintegrität. Das beginnt mit einer Segmentierung der Netzwerke in einzelne Automatisierungszellen und setzt sich darin fort, die Datenzugriffe nur einem begrenzten Teilnehmerkreis zugänglich zu machen. Was in diesem Zusammenhang oft unterschätzt wird, ist die Bedrohung von Innen – etwa dadurch, dass Mitarbeiter versehentlich Downloads von kompromittierten Internetseiten machen und die Schadsoftware per USB-Stick verteilen. Geht das Servicepersonal mit den entsprechend manipulierten Programmiergeräten an die Anlage, nimmt das Unheil seinen Lauf.
Im Vergleich dazu bietet die Fernwartung über Internet mit industriellen VPN-Routern in Verbindung mit einer Portallösung ein hohes Sicherheitsniveau. Da solche Lösungen aus Sicht der Anlage nur mit ausgehenden Verbindungen arbeiten, ist die Angriffsfläche wesentlich reduziert. Und falls trotz aller Sicherheitsmaßnahmen ein digitaler Eindringling auf der Steuerung ankommt, kann eine Komponente wie die mbSecbox dies zumindest melden, bevor der Eindringling Schaden anrichten kann. Kurzum: Manipulationen und Sabotage an Steuerungssysteme sind nicht zu 100 % verhinderbar. Entscheidend ist aber letztlich, diese
wenigstens sicher zu erkennen.
Autor:
Werner Belle ist Geschäftsführer der Firma MB Connect Line in Ilsfeld.
Stuxnet & Co.
Automatisierungssysteme galten lange Zeit als proprietäre Gebilde und damit sicher vor Viren und Malware. Spätestens seit dem Bekanntwerden von Stuxnet Mitte 2010 ist diese Sichtweise überholt. Stuxnet war die erste Schadsoftware, die speziell zur Manipulation von Automatisierungssystemen und den damit gesteuerten Prozessen entwickelt wurde. Konkret waren das Prozessleitsystem PCS7 und das SCADA-System (Supervisory Control and Data Acquisition) WinCC betroffen. Das Ziel des Wurms waren aber nicht die Windows-Systeme, sondern die Prozessdaten in S7-300- und S7-400-Steuerungen. Experten zufolge hatte Stuxnet mit der Störung einer Atomanlage im Iran ein konkretes Ziel. Allerdings zeigen Stuxnet und auch der zwischenzeitlich aufgetauchte Nachfolger Duqu deutlich, dass sich die Automatisierungswelt und die Betreiber von Maschinen und Anlagen generell auf diese Art von Bedrohungen einstellen müssen. Wie die aktuellen Diskussionen um die NSA-Affäre zeigen, ist neben der Manipulation ist auch die Ausspähung ein ernst zu nehmendes Risiko.

















