Auch in der digitalisierten Produktion gilt: Steuerungssysteme und Automatisierungsnetzwerke sind angreifbar, wenn keine angemessenen Sicherheitsmaßnahmen vorhanden sind. Cybersecurity bedeutet deshalb in Ethernet-vernetzten Produktionsumgebungen vor allem, Maschinennetze sicher in übergeordnete Produktionsnetze zu integrieren beziehungsweise von diesen abzugrenzen. Das Maschinennetz ist dabei als LAN (Local Area Network) zu betrachten, das Produktions- oder Firmennetzwerk als WAN (Wide Area Network). Um die Schnittstelle zwischen beiden sicher zu gestalten, war bisher nur der Umweg über komplexe Firewall-Lösungen möglich. Diese sind allerdings für diesen speziellen Einsatzzweck naturgemäß überdimensioniert. Und das bedeutet auch: dementsprechend teuer und kompliziert in der Handhabung. Noch weniger kommen allerdings sicherheitsgefährdende Billig-Kompromisse in Frage.
Den Datenausstausch genau regeln
Die Lösung bietet die leistungsfähige und unkomplizierte Industrial Ethernet Bridge und Firewall Wall IE von Helmholz. Die robuste Ethernet-Komponente ermöglicht die einfache Integration von Maschinennetzen in das übergeordnete Produktionsnetz. Konkret schützt die Komponente die Netze, indem sie genau regelt, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Zugriffsrechte sind damit zuverlässig auf autorisierte Personen beschränkt. Das Automatisierungsnetzwerk ist entsprechend geschützt. Die hinter der Wall IE liegenden Netze und IP-Adressen bleiben hingegen verborgen und sind von außen nicht sichtbar.
Wird das Firmennetzwerk nun durch einen Hackerangriff oder von einer Viren- oder Schadsoftware bedroht, bleibt das Automatisierungsnetz hinter der Firewall davon auf jeden Fall unberührt und dementsprechend sicher.
Paketfilter regelt Datenaustausch
Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität: Mit dem Paketfilter lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken. Beispielsweise kann konfiguriert werden, dass nur bestimmte Teilnehmer aus dem Produktionsnetzwerk mit definierten Teilnehmern aus der Automatisierungszelle Daten austauschen dürfen. Andernfalls wird das Datenpaket zurückgewiesen beziehungsweise verworfen.
Als Filterkriterien auf Layer 3 und 4 sind bisher IPv4-Adressen, Protokoll (TCP/UDP) und Ports sowie MAC-Adressen auf Layer 2 verfügbar. Als weitere Besonderheit kann die Firewall sowohl im NAT-Betriebsmodus als auch als Bridge eingesetzt werden. Im Bridge-Betriebsmodus agiert sie als Layer 2 Switch. Im Gegensatz zu normalen Switches ist jedoch auch in dieser Betriebsart die Paketfilterung möglich. Dadurch kann die Einschränkung des Zugriffs zu einzelnen Bereichen ihres Netzwerkes erreicht werden, ohne dass hierfür unterschiedliche Netzwerke verwendet werden müssen.
Wall IE ist konzipiert für 100 MBit Industrial Ethernet. Die zugrundeliegende Software ist Linux-basiert; die Hardware ist industrietauglich robust und geeignet für die Montage auf der Hutschiene. Die Konfiguration erfolgt schnell und einfach über ein responsives Webinterface. Der Online-Zugang ist streng passwortgeschützt und läuft über eine verschlüsselte HTTPS-Verbindung.
Im Router-Betriebsmodus, den die meisten Anwender nutzen, leitet die Firewall den Datenverkehr zwischen verschiedenen IPv4-Netzwerken (Layer 3) weiter und nutzt Paketfilter für die Zugriffsbeschränkung auf das dahinterliegende Automatisierungsnetzwerk. Dabei wird die Adressübersetzung mittels Network Adress Translation (NAT) unterstützt. Die Verwendung von NAT ermöglicht es darüber hinaus, mehrere gleichartige Automatisierungszellen mit dem gleichen Adressbereich in das Produktionsnetz einzubinden. Kollisionen, die andernfalls durch die nicht eindeutigen Adressen im Gesamtnetzwerk entstehen würden, sind damit ausgeschlossen. Als positiver Nebeneffekt können zudem im Produktionsnetz IP-Adressen eingespart werden. Für die Kommunikation mit anderen Automatisierungszellen kommen statische Routen zum Einsatz. Hierfür muss das Netzwerk sowie die Adresse des dafür zuständigen Routers konfiguriert werden.
Im Router-Betriebsmodus unterstützt Wall IE zwei NAT-Funktionalitäten: Basic NAT und NAPT. Basic NAT (auch 1:1 NAT oder Static NAT genannt) ist die Übersetzung von einzelnen IP-Adressen und auch ganzer Adressbereiche. Bei NAPT (Network Address and Port Translation, auch 1:N NAT oder Masquerading genannt) hingegen, werden nicht nur die IP-Adressen, sondern auch Port-Nummern umgeschrieben.
Neue Funktionalitäten
Für die Wall IE ist eine neue Firmware mit zusätzlichen Funktionalitäten verfügbar. So ermöglicht das DHCP-Protokoll (Dynamic Host Configuration Protocol) per DHCP-Server auf der LAN- sowie DHCP-Client auf der WAN-Seite eine automatische Vergabe von Adressen und DNS-Namen. Zudem ist nun nicht mehr für jeden einzelnen Port eine eigene Regel erforderlich, denn über Wildcards können ganze Port-Ranges gebündelt werden. Alle Vorgaben lassen sich anwenderspezifisch definieren und konfigurierten. Diesen Mehrwert durch Individualisierung bietet Helmholz auch als Serviceleistung an. Die bereits anwendungsspezifisch konfigurierte Firewall wird dann einsatzbereit geliefert und muss dann nur noch mit Spannung versorgt werden. aru