Security: Cloud-Services vereinfachen VPN-Konfiguration

In einem Service- oder SaaS-Portal werden spezielle Softwarekompon­enten installiert, die als Cloud-Services mit den Automatisierungsbau­grup­pen, Scada- und Visualisierungssystemen einer Automatisierungs­lösung verbunden sind. Die Cloud-Infrastruktur reduziert dabei die Anforderungen an die Kommunikations­fähigkeiten einzelner Automatisierungsgeräte.

© SSV Software Systems

Zur Absicherung vieler Fernzugriffslösungen werden in der Automatisierung vor allem VPNs (Virtual Private Networks) in Erwägung gezogen. Besonders anspruchsvoll zu konfigurieren ist dabei ein IPsec- oder SSL-gesicherte Fernzugriff von verschiedenen Nutzergruppen (zum Beispiel Anlagenhersteller und Betreiber) auf die einzelnen Automatisierungskomponenten einer Anlage. Planung und Realisierung solcher Fernzugriffs-VPNs sind sehr komplex und setzen ein umfangreiches Spezialwissen und Erfahrung voraus. Denn der „Administrator“ hat es aufgrund der Komponenten eines VPN (Server und Gateways, Teleservice-PCs, mobile Computer) mit teilweise völlig unterschiedlichen Systemen zu tun, die konfiguriert und hinsichtlich Security ständig aktuell gehalten werden müssen. Hinzu kommen die diversen Steuerungen, die mit den Gateways verbunden und hinsichtlich der IP-Adressen konfiguriert werden müssen.

Cloud-Services vereinfachen Planung, Realisierung und Administration solcher Automatisierungs-VPNs: Über ein Service-Portal wird ein VPN-Rendezvous-Service mit den entsprechenden Konfi-gurationen für die Zugriffsrechte bereitgestellt. Die VPN-Gateways der Feldgeräte verbinden sich bei Bedarf mit diesem Cloud-Service und sind dann ein Teilnehmer im jeweiligen VPN. Für den Administrator existiert im Service-Portal wiederum eine spezielle Fernzugriffs-Schnittstelle, über die er die Zugriffsrechte auf die Cloud-Services und die VPN-Gateways im Feld verwalten kann.

Cloud-Services für VPN-Fernzugriffe vereinfachen die komplexe Installation vor Ort: Die VPN-Gateway-Baugruppen können bereits vom Anbieter vorkonfiguriert werden, so dass bei der Inbetriebnahme nur noch die Verbindungen zum Internet und zum Feldgerät herzustellen sind.

© SSV Software Systems

Mit dieser Service-Infrastruktur können auch die Anbieter ihre VPN-Gateways vorkonfigurieren, so dass bei der Inbetriebnahme vor Ort nur noch die Verbindungen zum Internet und zum Feldgerät herzustellen sind. Bei Gateways, die über Mobilfunknetze (GSM/GPRS oder UMTS) kommunizieren, lässt sich der Internet-Zugang ebenso bereits ab Werk vorkonfigurieren.

Nach der Konfiguration des Internet-Zugangs stellt das VPN-Gateway über die Fernzugriffsschnittstelle eine Verbindung zum Internet her. Danach meldet sich der Gateway-Rechner beim jeweils hinterlegten VPN-Rendezvous-Service. Dieser erkennt die Anmeldung des Gateways und stellt an Hand der vorliegenden Daten fest, dass es sich um eine Erstinbetriebnahme handelt. Um die notwendige IP-Konfiguration in die Wege zu leiten, verschickt der Cloud-Service eine automatisch erzeugte E-Mail an den zuständigen Administrator. Der generiert dann – bei Bedarf – mit Hilfe seines Arbeitsplatzrechners eine VPN-Verbindung zum Gateway in der Anlage und führt die IP-Konfiguration durch – zum Beispiel das Einbinden in den IP-Adressraum einer Automatisierungslandschaft.

Ohne Cloud keine virtuellen Kraftwerke

Eine weitere Automatisierungsanwendung für eine Cloud-basierte Infrastruktur sind virtuelle Kraftwerke. Dazu werden viele dezentrale Stromerzeuger wie Blockheizkraftwerke und Wärmepumpen als fernsteuerbare Erzeuger und Verbraucher über eine zentrale Leitstelle zusammengeschaltet, um beispielsweise den schwankenden Energie-Ertrag von Windkraft- und Photovoltaik-Anlagen auszugleichen.

Die Softwarekomponenten eines Service-Portals arbeiten als virtuelle Protokoll-Konverter und ermöglichen dadurch das Zusammenschalten von unterschiedlichsten Steuerungen zu einem Verbund, beispielsweise von vielen kleinen Energie-Erzeugern zu virtuellen Kraftwerken in einem Smart-Grid-Verbund.

© SSV Software Systems

Die Herausforderung besteht darin, die dezentralen Anlagen verschiedener Hersteller – und damit meist völlig unterschiedliche Anlagensteuerungen – über die vorgegebene Datenschnittstelle der Leitstelle in das virtuelle Kraftwerk einzubinden – in der Regel nachträglich und im laufenden Betrieb. Dabei spielen die Kosten der Anbindung eine sehr wichtige Rolle, da es sich um relativ kleine Anlagen mit geringer elektrischer Leistung handelt.

Für den Betrieb solcher Verbund­anlagen ist ein bidirektionaler Daten­austausch zwischen Steuerung und Leitstelle unerlässlich: Laufend müssen Anlagenzustand, aktuelle Leistung und weitere Parameter übermittelt werden. Umgekehrt muss die Leitstelle unmittelbare Schaltbefehle (sofortiger Betrieb mit 60 % Leistung) oder Lastprofile (100 % Leistung für zwei Stunden, danach 75 %) vorgeben können. Dabei ist zu berücksichtigen, dass in der Regel alle Steuerungen völlig unterschiedliche Datenmodelle und Kommunikationsprotokolle nutzen. Die zu lösende Aufgabe besteht somit darin, die Daten- und Protokollvielfalt des dezentralen „Multi-Vendor-Kraftwerks“ mit der zentralen Kraftwerksleitstelle zu koppeln, ohne jede Anlage mit einem teuren Fernwirk-Gateway auszurüsten und aufwendig mit der vorhandenen Steuerung zu synchronisieren.

Bei einem Cloud-basierten Lösungsansatz erfolgt die Daten- und Protokollanpassung durch Software, die als „virtueller Protokollkonverter“ zum Einsatz kommt. Für jeden Steuerungstyp und die Leitstelle selbst existiert im Service-Portal jeweils ein so genannter Virtual Power Plant Proxy (VPP-Proxy), der dem Datenmodell und Protokoll in der Cloud angepasst wurde. Vor Ort in der Anlage ist dann nur noch ein kostengünstiger Device-Server zu installieren, der die jeweilige Datenschnittstelle der Steuerung mit dem IP-Netzwerk und somit den Cloud-Services verbindet. Zusätzlich übernimmt dieser Device-Server die sichere Verbindung durch integrierte VPN-Funktion. Für die Leitstelle ist kein Device-Server erforderlich, da in der Regel eine (VPN-) gesicherte IP-Anbindung vorhanden ist.

Datenschutz – eine Frage von Standort und Provider

Wenn Steuerungen und andere Automatisierungsbaugruppen in Zukunft die Cloud als Datenspeicher nutzen, sind zwingend die deutschen Datenschutzbestimmungen zu berücksichtigen. Daher muss jeder Lösungsentwickler schon im Vorfeld bestimmte Regeln beachten. Viele personenbezogenen Daten – dazu gehören zum Beispiel auch bestimmte Betriebsdaten, Stromzähler-Messwerte dezentraler Energie-Anlagen, Abrechnungen von Stromtankstellen – unterliegen dem deutschen Recht.

Unternehmen stehen hier in der Pflicht, diese Daten auf Servern in nationalen Rechenzentren oder EU-Ländern mit vergleichbaren Gesetzen zu speichern. Bei der Nutzung von Cloud-Diensten auf Servern in Nicht-EU-Ländern sollte jeder Einzelfall von Experten geprüft werden. Steht der Server zum Beispiel in den USA, könnten US-Unternehmen trotz des so­genannten Safe-Harbour-Abkommens gesetzlich dazu verpflichtet sein, gespeicherte Daten auf Anfrage der US-Regierung jederzeit herauszugeben. Der Standort des Rechenzentrums, an dem US-Unternehmen die jeweiligen Daten speichern, spielt dabei eigentlich keine Rolle. Ähnliche Bedingungen existieren auch im EU-Land Schweden. Daher ist es in jedem Fall ratsam, zu überlegen, welches Unternehmen den Server mit den Cloud-Services betreibt und an welchem Ort.

Neben diesen juristischen Fallstricken gibt es weitere Schwachstellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die zehn größten Bedrohungen IT-gestützter Automatisierungstechnik aufgelistet. Auf dem ersten Platz steht die „Unberechtigte Nutzung von Fernwartungszugängen“. Erst auf den Plätzen 8 und 9 folgen „Online-Angriffe auf Standardkomponenten“ (Betriebssysteme, Application-Server oder Datenbanken) und „Unberechtigter Zugriff auf Dienste und Komponenten“. Diese Bedrohungs-Szenarien treffen auf Cloud-Lösungen ganz besonders zu, da der Server mit dem Service-Portal und den einzelnen Cloud-Services sowohl in einer Private- als auch in einer Public-Cloud relativ einfach zu erreichen ist.

Autor: Klaus-Dieter Walter ist Geschäftsführer der Firma SSV Software Systems in Hannover.