Ein wichtiger Aspekt von Industrie 4.0 ist die praktisch durchgehende Vernetzung aller Produktionsanlagen durch IT-übliche Protokolle und Medien. Das erlaubt weitreichende, flexible Fernzugänge bis hin zum Modbus-Gateway direkt an der CNC-Bearbeitungsstation.
Doch die Vielfalt beim Remote Access birgt potenzielle Gefahren gegen die sich Unternehmen sorgfältig schützen müssen.
Ob man in Industrie 4,0 einen Hype oder die Zukunft des Produktionsstandorts Deutschlands sieht, hängt vom persönlichen Standpunkt ab. Fest steht, dass der Trend in der Automatisierungstechnik dahin geht, Produktionsanlagen mit Hilfe von klassischen IT-Protokollen und Produkten zu vernetzen. Mindestens eine IP-Adresse findet sich inzwischen in jeder CNC-Bearbeitungsstation und in jedem Schaltschrank. Das bedeutet: Auch wenn ein Unternehmen dem Konzept „Industrie 4.0“ zurückhaltend gegenüber steht, sorgen die Hersteller der Arbeitsmittel bereits für vollendete Tatsachen. Das muss zunächst nichts Schlechtes sein. Durchgehend vernetzte Produktionsanlagen können zahlreiche Vorteile für Planung, Wartung, Verfügbarkeit, Effizienz und Produktivität nach sich ziehen. Der einfache, IP-basierte Zugang kann aber Probleme verursachen, wenn er nicht kontrolliert und abgesichert wird. Setzen Unternehmen bewusst auf die Möglichkeiten einer voll vernetzten Infrastruktur, sind solche Bedenken in der Regel Teil des Sicherheitskonzepts. Wenn die IP-basierten Zugänge nur als Nebeneffekt einer Neuanschaffung Einzug in die Fabrik halten, bleibt das Missbrauchspotenzial oft unentdeckt – bis es zu spät ist.
Shodan statt Telefonmarathon
Fernzugänge zu Produktionsanlagen sind nichts neues, weder für Anwender noch Hersteller. Schon früher wurden analoge Modems und später ISDN-Modems verwendet, um über eine Telefonverbindung den Zugang für Wartungsarbeiten herzustellen, oder bei Fehlern schnell und ohne Anreise Hilfe leisten zu können. Doch es stellt einen maßgeblichen Unterschied dar, ob ein Remote-Zugang ausschließlich an eine Telefonnummer gekoppelt ist oder per IP-Portfreigabe prinzipiell jedem offen steht. Die Telefonnummer eines Wartungszugangs durch Ausprobieren zu finden war so aufwändig, dass es praktisch nie vorkam. Per Portscan nach offenen Zugängen im IP-Adressraum zu suchen, dauert Sekunden und ist durch Plattformen wie Shodan kinderleicht. Nicht umsonst findet sich der ungeschützte Remote-Zugang im oberen Mittelfeld der 10 häufigsten ICS-Gefahren des BSI.
Das Problem wird sich in den nächsten Jahren verstärken. Im industriellen Bereich gibt es viele potenzielle Einsatzmöglichkeiten für Remote-Access, die bislang noch ungenutzt sind. Zahlreiche Unternehmen werden in nächster Zeit Fernzugangslösungen abseits der klassischen Position direkt an der Maschine implementieren. Ob als Fernsteuerung eines HMI, für entfernten Zugriff auf den Historian oder um ein komplettes Netzsegment in der Produktion an ein anderes Netz anzubinden – die Möglichkeiten sind schier endlos. Genauso vielfältig sind die Ansätze zur Umsetzung. Nach wie vor kann eine ISDN-Verbindung eine sinnvolle Option sein.
Wie auch immer der Zugang technisch gelöst wird, wichtig ist, dass er nicht ungeschützt bereitgestellt wird. Jeder Fernzugang, der auf dem IP-Protokoll basiert, muss durch ein Virtual Private Network (VPN) abgesichert werden. Solche VPN-Gateways gibt es als Software-Lösungen, zum Beispiel das VPN-Gateway von der NCP engineering GmbH oder als spezialisiertes Modul für die Montage auf der Hutschiene oder C-Schiene, im industriefesten Gehäuse mit 24 V DC Versorgung. Welches Produkt am besten passt, hängt von den geplanten Zielen des Anwenders ab. Geht es um einen reinen Wartungseinsatz im Notfall, macht die Platzierung auf der Hutschiene, nahe am Endgerät am meisten Sinn. Ist der Zugriff auf ein komplettes Netzsegment nötig oder soll es an ein externes Netz abgebunden, führt der Weg nicht an einem klassischen VPN-Gateway vorbei, dass normalerweise außerhalb der Produktionshalle positioniert wird. Mit der „NCP Industrial Security Suite“ hat NCP eine Lösung im Programm, die spezielle Anforderungen aus dem Bereich Industrie 4.0 (IIoT) erfüllt. Diese Lösung können NCP Partner entweder eigenständig oder mit Unterstützung von NCP nach Vorgaben und Pflichtenheft der Kunden als schlüsselfertige Industrial Security-Lösung liefern.
Diversifiziertes VPN-Angebot
Darüber hinaus sind inzwischen weitere Angebot verfügbar. Immer mehr Dienstleister offerieren Cloud-basierte Zugänge, bei denen das Unternehmen keinen Aufwand mehr mit der eigentlichen VPN-Infrastruktur hat. Der Dienstleister stellt eine gesicherte VPN-Umgebung bereit, in die sich der Kunde per VPN-Client oder web-basiert per Browser einloggt. Die Verbindung zum eigentlichen Produktionsnetz läuft dann über die Cloud zu einem VPN-Gateway am Produktionsstandort, das ebenfalls vom Dienstleister betreut wird. Vorteil einer solchen Konstellation ist, dass das Sicherheits-Know-how für das VPN bereits beim Dienstleister vorhanden ist und nicht erst durch den Kunden aufgebaut werden muss. Auch die Pflege der VPN-Gateways liegt nicht im Aufwandsbereich des Kunden. Den richtigen Umgang mit Updates, Konfigurationsänderungen und Monitoring garantiert der Dienstleister.
Technisch und organisatorisch vorbereiten
Bevor es an die Auswahl des Produkts geht, sollten sich die potentiellen Anwender Gedanken über die angestrebten Ziele und Vorteile des Fernzugangs machen. Oft ist der Einsatzzweck klar umrissen: Beispielsweise muss eine Maschine muss durch den Hersteller gewartet und bei Problemen aus der Ferne untersucht werden. Standort des VPN-Gateways ist normalerweise die Maschine selbst. Doch wie wird die Netzanbindung umgesetzt? Hat das VPN-Gateway eine Verbindung zum LAN der Firma? Dann müsste für den Hersteller ein Zugang durch Firewall des Unternehmens eingerichtet werden.
Oder soll das VPN-Gateway selbst über eine WAN-Verbindung, heute in der Regel LTE, Verbindung mit dem Internet aufnehmen? Dann ist das Gateway per DNS-Eintrag erreichbar, der Schutz des Zugangs liegt vollständig in der Hand des Herstellers. In beiden Fällen muss das Unternehmen aber sicherstellen, dass nur berechtigter Zugriff möglich ist. Fast nie gibt es Handlungsanweisungen, die klar definieren, wer wann auf welche Funktionen der Maschine zugreifen darf. Bei speziell für die Industrie gebauten VPN-Gateways sind manchmal Schlüsselschalter oder Steckverbindungen vorgesehen, die eine unberechtigte Verbindung verhindern. Hilfreich ist auch eine Leuchte am Gerät, die bei einer aktiven VPN-Verbindung leuchtet. In jedem Fall müssen Zugriffe und deren Zweck vom Unternehmen protokolliert werden, um eine Historie der Fernzugriffe parat zu haben.
Hilfestellung durch das BSI
Für eine sehr generelle Anleitung, wie Remote-Access zu planen und umzusetzen ist, können Unternehmen auf die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zurückgreifen. Vom BSI gibt es auch ganz spezifische Handlungsanweisung für Industrieumgebungen, sie sind in der Empfehlung BSI CS-108 festgelegt. Beide Dokumente stehen auf der Website des BSI kostenlos zum Download bereit und sollten für jedes Unternehmen, das Fernzugänge in seiner Produktionsumgebung nutzt, zur Pflichtlektüre gehören.
Jürgen Hönig, NCP