Sichere Fernwartung für Industrie 4.0 Schluss mit Cyber-Attacken

Mit Industrie 4.0 steigt das Angriffsrisiko; ein Schutz vor Cyber-Angriffen ist somit unverzichtbar.

Bild: iStock, imaginima
02.04.2020

Ein Anlagenbauer hat in seinem neuen Werk eine moderne Kompaktschrank-Produktion nach Industrie-4.0-Kriterien aufgebaut: Mehr als 100 neue Hightech-Maschinen, 60 Roboter und 20 fahrerlose Transportsysteme wurden vernetzt. Für die Fernwartung des Maschinenparks hat das Unternehmen eine einheitliche und hochsichere Plattform aufgebaut.

Das Rittal-Werk in Haiger ist ein Pilotprojekt für die Umsetzung von Industrie 4.0 mit einer digitalisierten Auftragsabwicklung. Die Maschinen und Handling-Systeme kommunizieren untereinander und mit übergeordneten Leitsystemen. Mithilfe wissensbasierter Systeme werden Ausfallzeiten verringert, Wartungen vorausschauend geplant und Unterbrechungen des Produktionsprozesses minimiert. Die Hersteller der Anlagen können online auf ihre Systeme zugreifen, Störungen beseitigen und schnelle Supportservices bereitstellen.

Hohe Sicherheitsanforderungen

Durch die komplette Vernetzung der Anlagen in der Smart Factory wurden die Anforderungen an die Cybersicherheit allerdings deutlich erhöht. „Wir wollten sicherstellen, dass ein Onlinezugriff niemals von außen aufgebaut werden kann, sondern immer eine Freischaltung von innen erfordert. Außerdem sollte immer nur das dafür freigegebene Gerät erreichbar sein. Eine Verbindung mit anderen Geräten im Netz darf nicht möglich sein“, nennt Fabian Friedrich, IT-Systembetreuer bei Loh Services, einige der erweiterten Security-Anforderungen im neuen Rittal-Werk. Loh Services ist die zentrale Dienstleistungsgesellschaft der Friedhelm Loh Group, zu der auch Rittal gehört.

„Im alten Werk hatte jeder Hersteller sein eigenes Fernwartungssystem für den Remote Service mitgebracht. Das war nicht mehr überschaubar und sehr aufwendig in der Administration", so der IT-Systembetreuer. Die Systeme hätten oftmals völlig intransparent gearbeitet. Die Mitarbeiter konnten deshalb nicht kontrollieren, wann Eingriffe erfolgten, wie lange sie dauerten und was getan wurde.

„Einige wollten sich dauerhaft verbinden. Das war so nicht akzeptabel und entsprach auch nicht den neuen Sicherheitsanforderungen“, beschreibt Friedrich die Ausgangssituation für das neue Werk. Die Dienstleister von Loh Services untersuchten, welche Fernwartungssysteme für die erhöhten Sicherheitsstandards unter Industrie 4.0 geeignet waren. Als die wichtigsten Anforderungen nennt der IT-Systembetreuer: „Die Hoheit über jeden Fernwartungsvorgang sollte bei uns liegen und jeder Zugriff sollte vorher von uns freigegeben werden müssen."

Wichtig seien auch die Funktionalität einer Firewall und die Möglichkeit, die Fernwartung zu überwachen, gewesen. Im Vergleich der Fernwartungslösungen konnte der Hersteller Genua durch den hohen Sicherheitsstandard und die gute Bedienbarkeit seiner Lösung Genubox überzeugen.

Keine Einwahl von außen in das Netz

Genua ist ein deutscher Spezialist für IT-Sicherheit. Das Leistungsspektrum umfasst die Absicherung sensibler Schnittstellen im Industrie- und Behördenbereich bis hin zur Vernetzung hochkritischer Infrastrukturen. Alle Produkte werden in Deutschland entwickelt und produziert. Bei der Fernwartungs-Lösung Genubox werden keine einseitigen Zugriffe in die Netze des Anlagenbauers zugelassen.

Alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) neben der Firewall von Rittal am Übergang LAN-Internet installiert ist. Zu einem verabredeten Zeitpunkt bauen sowohl der externe Wartungs-Service als auch der Anlagenbauer Verbindungen auf.

Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Durch die Rendezvous-Lösung behält der Anlagenbauer die vollständige Kontrolle über Wartungszugriffe auf Anlagen in seinem Werk.

Die Lösung ist konform zu den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur sicheren Fernwartung. Laut BSI sollte der Fernwartungszugriff möglichst nicht pauschal pro (Sub-)Netz erfolgen, sondern vielmehr feingranular pro IP und Port geregelt werden können. Dies minimiere die ‚Reichweite‘ von Fernwartungszugängen und beschränke somit auch die Folgen einer Kompromittierung. Ein möglicher Ansatz sei beispielsweise der Aufbau von 1:1-Verbindungen mittels SSH statt der Kopplung ganzer Netze durch IPsec.

Viele Hersteller wählen sich per VNC-Software in die Windows-Applikation ihrer Maschinen ein. Deshalb hat Rittal die Anlagen der Hersteller durch Firewall-Regeln in eigene Netzwerksegmente aufgeteilt und sie konsequent vom restlichen Produktionsnetz abgeschottet. „Wenn sich der Hersteller in seine Maschine eingeloggt hat, könnte er ohne die Firewall-Funktion der Genubox auch auf das ganze Produktionsnetz zugreifen", erläutert Fabian Friedrich. "Mit den Filterregeln der Firewall über die IP-Adresse und den Port beschränken wir den Zugriff des Herstellers auf das von ihm betreute Wartungsobjekt.“

Security-Lösungen müssen praxistauglich sein

Die Fernwartungslösung von Genua hat sich für die Dienstleister von Loh Services als besonders sicher und praxistauglich bewährt. Wenn eine Fernwartung eingeleitet werden soll, gibt der Schichtführer oder der jeweils Verantwortliche einer Maschinenlinie den Zugriff frei. Die Fernwartung ist generell auf eine Stunde begrenzt, kann aber individuell verlängert werden. Bei Bedarf wird der Zugriff auch per Video aufgezeichnet, um rückwirkend alle Aktionen der Dienstleister nachvollziehen zu können. „Die Weboberfläche ist auch für Bediener ohne Erfahrung geeignet. Fehlbedienungen sind kein Problem, weil Änderungen an den Einstellungen höhere Benutzerberechtigungen erfordern“, beurteilt Fabian Friedrich.

Bei den Herstellern gab es zunächst viele Vorbehalte gegen eine für sie fremde Lösung – sie konnten aber überzeugt werden. Der IT-Systembetreuer schickt den Herstellern eine vorbereitete Konfiguration für die Fernwartung ihrer Maschine und einen Link zum Download der Einwahlsoftware bei Genua. "Wenn sie die Konfiguration für ihre Maschinen eingelesen haben, sind sie bereits fertig. Das dauert keine 10 Minuten“, fasst Friedrich die Vorbereitungen zusammen. Änderungen in der Konfiguration kann er im Genucenter, einer Central Management Station, umsetzen.

Die mehr als 100 Genuboxen bei Rittal werden über die Management Station zentral administriert. „Die Installation der Genuboxen war recht einfach. Wir haben jetzt alle Standorte im Blick, können Filterregeln auch standortübergreifend ändern und Updates auf alle Genuboxen verteilen", erläutert der IT-Systembetreuer. Wenn es bei der Fernwartungssession Probleme geben sollte, sehe er sofort, ob beispielsweise die IP des Rechners geblockt wurde. Dann könne er diese IP in die Filterregel der Genubox aufnehmen. „Das ist gut gelöst und einfach umsetzbar“, zeigt sich Friedrich zufrieden mit der Administration.

Ein höheres Sicherheitslevel erreicht

Im Produktionsnetz des neuen Rittal-Werks sind durch die Genubox inzwischen 72 getrennte Netzsegmente eingerichtet worden. Die abgeschotteten Subnetze schützen sowohl die Maschinen der Hersteller als auch das übergeordnete Produktionsnetz gegen unerwünschte Zugriffe. Innerhalb ihres Subnetzes können die Hersteller relativ frei agieren. Gleichzeitig behält der Anlagenbauer Rittal die Kontrolle und legt über die Firewallregeln und durch abgestufte Benutzerrechte fest, wer wann und unter welchen Bedingungen auf sein Netz zugreifen darf. Jede Verbindung wird dokumentiert und ist jederzeit nachvollziehbar. So lässt sich auch überprüfen, welche Zielsysteme erreicht werden sollten. Unerlaubte oder böswillige Attacken werden geblockt und aufgezeichnet.

Bildergalerie

  • Rendezvous-Lösung von Genua: Eine Fernwartungs-Verbindung wird immer von innen heraus gestartet und alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) neben der Firewall installiert ist.

    Rendezvous-Lösung von Genua: Eine Fernwartungs-Verbindung wird immer von innen heraus gestartet und alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) neben der Firewall installiert ist.

    Bild: Genua

  • Schweißroboter im Werk Haiger von Rittal: Mit der neuen Fernwartungsplattform wurde das Sicherheitsniveau deutlich erhöht.

    Schweißroboter im Werk Haiger von Rittal: Mit der neuen Fernwartungsplattform wurde das Sicherheitsniveau deutlich erhöht.

    Bild: Rittal

Firmen zu diesem Artikel
Verwandte Artikel