Tag Archives: blog_

16 Jan 2019

Sichere Datenübertragung für Industrieanlagen

Sichere Datenübertragung für Industrieanlagen mit MICA

Eine über viele Jahre gewachsene Vielfalt an Maschinen und Anlagen wird für Monitoring- und Wartungszwecke zunehmend vernetzt. Dabei ist die Gefährdung durch Cyberangriffe hochproblematisch, weil Altanlagen und deren Datenanbindungen über keine eigenen Schutzmechanismen verfügen. 

Bei der Integration von Bestandsanlagen in ein Netzwerk stellt sich neben der Verfügbarkeit von Anlagenschnittstellen vor allem die Sicherheit von Verbindungen und Daten als die größte Herausforderung dar. 

Große Cyber-Risiken für Maschinen und Anlagen

Eine Vielzahl an aktuellen Studien bestätigt die steigende Anzahl von Cyberangriffen. Besonders das Know-how mittelständischer Produktionsunternehmen ist ein attraktives Angriffsziel. Laut der VDMA-Studie „Cyber-Risiken im Maschinen- und Anlagenbau“ ist die Mehrzahl der Unternehmen nicht ausreichend auf Attacken vorbereitet. Der Schutz ist unzureichend und veraltet. Es drohen existenzgefährdende Betriebsunterbrechungen und der Verlust von vertraulichen Firmendaten.

Hier setzt der Edge-Computer MICA mit den Erweiterungen aus dem MICA-Partnernetzwerk an. Mit MICA können Maschinen und Anlagen jeglicher Art in ein IIoT-System integriert werden. Je nach Anwendung werden mit der MICA geeignete Schnittstellen und die passende Software zu einem Lösungspaket zusammengefasst.

Die Absicherung umfasst fünf Kernelemente:

  • der Schutz der MICA durch ein sicheres Betriebssystem,
  • der Schutz von Anwendungen in der MICA,
  • die Verwendung sicherer Protokolle,
  • eine Ende-zu-Ende verschlüsselte Datenübertragung,
  • die Absicherung von Anwendungen.

Infotecs aus Berlin, ein führender internationaler IT-Sicherheitsanbieter und Spezialist software-basierter VPN-Lösungen, ist ein Partner aus dem MICA-Netzwerk. Mit der MICA und den Sicherheitslösungen von Infotecs können beispielsweise Windparks aus der Ferne gesteuert, Qualitätsendkontrollen in fernen Produktionsstätten per Video übertragen, Fernwartungszugriffe gemanagt oder Wartungseinsätze frühzeitig geplant werden. Mit der Infotecs-Lösung wird die Datenübertragung zwischen der MICA und der entfernten Gegenstelle durch eine abhör- und manipulationssichere VPN-Verbindung (Virtual Private Network) geschützt und Ende-zu-Ende-verschlüsselt. „Ausgangspunkt für unsere Sicherheitslösung ist die MICA. Sie ist speziell für das industrielle Umfeld sehr robust und sicher aufgebaut“, erläutert Josef Waclaw, CEO von Infotecs.

Übersicht verschlüsselte Datenübertragung
Dank MICA kann ein sicherer Zugriff nicht nur auf die Maschinendaten realisiert werden, sondern beispielsweise auch auf die Videokameras, die sowohl einen Überblick über die Produktionsumgebung liefern als auch direkt in Produktionsanlagen integriert sind.

Die Absicherung der MICA gegen Angriffe

Der MICA ist ein Mini-Computer mit Netzwerkanschluss. Der Rechner fußt auf einem Linux-basierten Betriebssystem und einer virtualisierten Anwendungsumgebung aus Linux-Containern. Das MICA-Betriebssystem ist sehr schlank konzipiert und enthält nur die Softwareelemente, die für den Betrieb der MICA erforderlich sind. Dadurch sind viele potenzielle Angriffsvektoren bereits beseitigt. Zum Beispiel enthält das MICA-Basissystem keine Paketmanager, E-Mail-Clients oder andere Dienste, die häufig von Hackern attackiert werden. Das MICA-Basissystem ist außerdem für Benutzer oder Administratoren nicht zugänglich und kann darüber nicht verändert werden.

Die Anwendungen auf dem MICA laufen in einzelnen voneinander getrennten virtualisierten Linux-Containern. Sie sind so konzipiert, dass Prozesse oder Anwendungen keinen Zugriff auf ein anderen Container oder auf das Betriebssystem erhalten. Während das MICA-Betriebssystem von HARTING zur Verfügung gestellt wird, können Container auch von Dritten entwickelt werden, um beispielsweise Sicherheitsanwendungen bereitzustellen.

Ende-zu-Ende-Absicherung der Datenübertragung von Anwendungen

Die ViPNet-Software von Infotecs wurde als MICA-Container entwickelt und fungiert als ein virtueller Security-Gateway für die anderen Applikationscontainer der MICA. Wenn die Applikationen Daten verschicken, werden diese von ViPNet abgegriffen, verschlüsselt und an die ebenfalls geschützte Gegenstelle versendet. Dies kann eine andere Maschine am gleichen Standort sein, aber auch eine Gegenstelle in einem entfernten Netz für die Verarbeitung der Prozessdaten.

Josef Waclaw, der CEO von Infotecs, hebt die zusätzlichen Sicherheitsanforderungen hervor, die bei Industrieanwendungen berücksichtigt werden sollten. Standard-Applikationen für die Vernetzung arbeiten in der Regel mit Webservern, die anfällig für Cyberattacken sind. Josef Waclaw verweist hier auf Probleme mit Pufferüberlauf (buffer overflow), unsichere Protokolle oder Man-in-the-Middle-Angriffe. Deshalb verwendet die ViPNet-Software keine Webserver-Technologien. Als weiteren Unterschied nennt Josef Waclaw, dass Standard-VPN-Lösungen mit asymmetrischen Verschlüsselungen für Büroumgebungen entwickelt wurden. Dabei werden die Schlüssel und Zertifikate zunächst im Netzwerk ausgetauscht und die gesicherte Verbindung dann zum kompletten Netzwerk hergestellt.

Für die Sicherheit einer industriellen Produktionsumgebung ist es wichtig, dass eine Verbindung nur zu einer einzelnen Maschine hergestellt wird und nicht gleich der Zugang zum gesamten Netzwerk

„Für die Sicherheit einer industriellen Produktionsumgebung ist es dagegen wichtig, dass eine Verbindung nur zu einer einzelnen Maschine hergestellt wird und nicht gleich der Zugang zum gesamten Netzwerk. Dies erreichen wir durch eine direkte Verbindung, die symmetrisch Ende-zu-Ende-verschlüsselt ist“, so der CEO von Infotecs. Dabei sind die Gegenstellen auch mit symmetrischen Schlüsseln ausgestattet und es werden nur die Datenpakete geöffnet, wo dieser Schlüssel passt. Ein Schlüsselaustausch über das Netz und die anschließende Prüfung von Zertifikaten ist bei diesem Verfahren nicht erforderlich. Das ist u.a. bei Verbindungen über Mobilfunk von Vorteil, da bei häufigeren Verbindungsabbrüchen keine zusätzlichen Verzögerungen durch das erneute Austauschen der Schlüssel entstehen. „Die Lösung schützt zusammen mit der MICA sensible Anlagen und Industrieanwendungen. Die Software wird einmal eingerichtet. Tiefe IT-Kenntnisse sind dafür nicht erforderlich“, fasst Josef Waclaw das Konzept zusammen.

Weitere Lösungen zum Thema Datensicherheit

Fernwartungslösung mit zentralem Serviceportal

PerFact::MPA (Meeting Point Architektur) wurde eigens entwickelt für eine effiziente und geregelte Erfassung, sowie zur Behebung von Störfällen per Fernwartung. Damit wird der sichere und gleichzeitig einfache Aufbau einer Remote-Verbindung zur Maschine ermöglicht. Tritt ein Problem an einer Maschine auf, verbindet der Kunde durch einen einzigen Knopfdruck die Maschine über das Internet und der Servicetechniker erhält einen zeitlich begrenzten Zugriff auf die Steuerung einer Maschine.

Sichere Datenübertragung über öffentliche Netze

Die SeComBo Suite von krumedia ermöglicht eine sichere und dynamische Vernetzung einzelner Netzteilnehmer oder kompletter Netzwerke über öffentliche Netze. Dies ist auch bei restriktiven Sicherheitsanforderungen firmeneigener Infrastrukturen oder Datenübertragungswege möglich. Der Fokus liegt auf einfachster Bedienung und völliger Transparenz für die beteiligten Geräte, so dass beliebige Netzteilnehmer diesen Services nützen können. Die zentrale Verwaltung ist webbasiert und erfordert keine zusätzliche Software.