Bitte wählen Sie Land und Sprache aus:

Der Datentransfer von der Maschinensteuerung in eine Cloud erfordert eine Verbindung zum Internet. Dadurch steigt jedoch die Anfälligkeit für Cyberattacken. Steuerungen, die Daten in die Cloud schicken, müssen daher besonders geschützt werden.

Bevor das Industrial Internet of Things (Industrial IoT) aufkam, kommunizierten Maschinensteuerungen – wenn überhaupt – untereinander oder mit übergeordneten Systemen im Firmennetzwerk. Eine direkte Verbindung mit dem Internet gab es nur in speziellen Fällen. Das Thema Cybersecurity spielte für Maschinenbauer und Maschinenbetreiber keine Rolle.

„Doch das ändert sich gerade“, erklärt Andreas Hager, Produktmanager Control Systems bei B&R. Industrie-PCs und andere Geräte werden im Industrial IoT als Edge-Geräte eingesetzt und sind direkt mit dem Internet verbunden. Damit bieten Sie ein potenzielles Angriffsziel für Hacker.

Bei einer DDoS-Attacke verteilt ein Hacker seine Angriffsprogramme auf ein Botnetz und kann durch eine gezielte Attacke eine Maschinensteuerung lahmlegen.

DDos-Attacken

Hacker können zum Beispiel mit Überlastungsangriffen Steuerungen und damit ganze Maschinen lahmlegen. Bei solch einer DDoS-Attacke (Distributed-Denial-of-Service) verteilt ein Hacker seine Angriffsprogramme auf ein sogenanntes Botnetz aus mehreren hundert bis tausend Rechnern, Smartphones und Tablets, die letztendlich zum Angriffswerkzeug werden. Auf Kommando bombardieren die Bots eine Maschinensteuerung gleichzeitig mit so vielen Anfragen, dass sie unter der Last zusammenbricht und die Maschine stoppt – wie erst kürzlich ein Malware-Angriff auf einen Prozessorhersteller gezeigt hat.

Offene Ports

Um Daten in die Cloud zu übertragen, müssen auf der Maschinensteuerung Ports geöffnet werden. „Während der Übertragungskanal zwischen Steuerung und Cloud-Gateway geöffnet ist, bieten diese Ports dann eine Möglichkeit für Hackerangriffe“, erklärt Hager. Zudem ergeben sich weitere Probleme: Geräte, die direkt mit dem Internet verbunden sind, müssen mit Updates ständig aktuell gehalten werden, um neu entdeckte Sicherheitslücken zu schließen.

„Viele Maschinen laufen wochen- oder monatelang ohne Unterbrechung durch“, gibt Hager zu bedenken. Ein Update lässt sich jedoch nur bei gestoppter Maschine einspielen. Zudem muss gegebenenfalls sogar die Applikation nach einem Update angepasst werden. „Das ist zu aufwendig und auf Dauer nicht praktikabel.“

Die Lösung für dieses Dilemma ist einfach: Steuerungsfunktion und Kommunikationsfunktion müssen getrennt sein. Somit kann zum Beispiel eine DDoS-Attacke nicht mehr bis zur Maschinensteuerung durchdringen. „Im schlimmsten Fall wird nur die Kommunikation in die Cloud lahmgelegt, die Maschine kann trotzdem weiterlaufen“, bekräftigt Hager.

Der SiteManager ermöglicht eine sichere Übertragung von Daten in die Cloud.

B&R hat für diesen Zweck den SiteManager im Portfolio. Dieses Gerät hat eine integrierte Firewall und übernimmt alle Aufgaben, die für die Cybersecurity gefordert sind: zum Beispiel Cloud-Zertifikate auf dem neuesten Stand halten und Patches anwenden, um Sicherheitslücken zu schließen.

Cloud-Connectivity

Um Daten in die Cloud zu übertragen, wird die Steuerung via OPC UA mit dem SiteManager verbunden. Der Anwender definiert bei der Konfiguration, welche Daten übertragen werden sollen. Es ist auch möglich, unterschiedliche Daten an unterschiedliche Cloudanbieter zu übertragen. Die Konfiguration erfolgt durch Setzen von Häkchen in der Weboberfläche des SiteManagers.

Benötigt ein Cloud-Zertifikat ein Update, muss der Maschinenbetreiber nichts tun. Der SiteManager lädt Updates automatisch herunter und installiert diese – ohne die Maschinenfunktion zu beeinträchtigen. Somit wird gewährleistet, dass die Sicherheitsrichtlinien der Cloudanbieter stets eingehalten und potenzielle Sicherheitslücken schnell geschlossen werden.

„Der SiteManager zwischen Steuerung und Cloud sorgt dafür, dass jeglicher Datentransfer zwischen der Maschine und Applikationen außerhalb des Firmennetzwerkes vor unberechtigten Zugriffen geschützt ist.“ Andreas Hager, Produktmanager Control Systems bei B&R

Der B&R-Hypervisor ermöglicht, dass ein Industrie-PC gleichzeitig als Maschinensteuerung und als Embedded-SiteManager eingesetzt wird. Ein zusätzliches Hardwaregerät ist nicht nötig.

Sichere Fernwartung

„Bei der Fernwartung ergeben sich ganz ähnliche Sicherheitsanforderungen, wie bei der Übertragung von Daten in die Cloud“, erklärt Hager. Daher bietet sich auch für diese Anwendung der SiteManager an.

Das Gerät ermöglicht, dass sich ein Service-Techniker des Maschinenbauers über eine sichere VPN-Verbindung mit der Maschinensteuerung verbindet und auf Fehlersuche gehen kann. Ein Benutzerverwaltungssystem regelt eindeutig und manipulationssicher, welcher Techniker auf welche Steuerungen zugreifen darf. „Mit dem Techniker vor Ort kann dann gezielt ein Problemlösungsprozess gestartet werden“, sagt Hager. Der SiteManager sorgt dafür, dass jeglicher Datentransfer zwischen der Maschine und unterschiedlichen Applikationen außerhalb des Firmennetzwerkes vor unberechtigten Zugriffen wie Cyber-Attacken geschützt ist.

Autor: Carmen Klingler-Deiseroth, freie Fachjournalistin.

Edge Computing

Beim Edge Computing werden große Datenmengen möglichst nahe an der Datenquelle erfasst, komprimiert und aggregiert, um dann an übergeordnete Systeme weitergeschickt zu werden. Das dafür benötigte Bindeglied zwischen der echtzeitgetriebenen Maschinen- und Prozessebene (OT = Operational Technology) und der IT heißt Edge-Gerät. B&R bietet drei unterschiedliche Edge-Gerätetypen an, um alle Anwendungsfälle abzudecken: Edge Controller, Edge Embedded und Edge Connect.

Bitte wählen Sie Land und Sprache aus:

B&R Logo