Sichere Kommunikation : Wie Wago Daten schon im Feld verschlüsselt

Das Werkzeugmaschinenlabor WZL der RWTH Aachen hat nachgerechnet, welche Datenmenge eine 30 Tonnen schwere Produktionsanlage, die zwei einfache Bauteile pro Sekunde auswirft, mit den neuen Möglichkeiten der Digitalisierung erzeugt. In ihrem Musterbeispiel kamen die Wissenschaftler auf den schieren Wert von einem halben Petabyte Daten am Tag. Bevor sich diese 1015 Bytes an Informationen jedoch nutzen lassen, beispielsweise zur Effizienzsteigerung der Fertigungsanlage, gilt es erst einmal, diese im Feld einzusammeln und sicher in ein übergeordnetes System zu transferieren.

Doch genau dieser «sichere Datentransfer» gestaltet sich oftmals als schwierig. Die Ursache hierfür liegt aber nicht etwa in einer mangelnden Sensibilität fürs Thema, sondern vielmehr in den verwendeten IT Komponenten. Da eine Produktionsanlage durchschnittlich 19 Jahre betrieben wird, stammen viele der heute eingesetzten IT Komponenten noch aus einer Zeit, in der eine vernetzte Fertigung übers Internet nur eine vage Vorstellung war und eine isolierte Kontrolle und Bedienung daher vollauf genügte. Zwar ist der Datentransfer in die Cloud nach heutigem technischen Stand absolut sicher, sind aber die IT-Komponenten, über welche dieser erfolgt, nicht auf dem aktuellen Stand der Technik, bieten diese findigen Hackern ein Einfallstor für ihre Angriffe.

Moderne Komponenten erfüllen die hohen Sicherheitsanforderungen von Officeund Produktions-IT. Aber selbst mit dieser integrierten Sicherheit sind diese intelligenten Geräte und Systeme, die sich unter dem Begriff «Operations Technology» (OT) zusammenfassen lassen, kein Garant für einen reibungslosen Betriebsablauf. Dies hat vor allem damit zu tun, dass die IT im produzierenden Gewerbe nach wie vor nur eine unterstützende Funktion hat und nicht zu deren Kerngeschäft zählt. Und dennoch trägt in vielen Unternehmen der Produktionsleiter die Security-Verantwortung. Doch ist dieser überhaupt diesem komplexen Thema gewachsen? Der Alltag zeigt, dass der Schutz von Daten und Informationen einem reibungslosen Betriebsablauf gerne einmal hinten angestellt wird. Während hier im schlimmsten Falle «nur» vertrauliche Daten abhandenkommen, birgt das Thema «Fernwartung» eine noch viel größere Gefahr. Bleibt nach einem Zugriff versehentlich die Leitung offen, haben Hacker Zugriff auf die komplette Produktion. Derweil sind die Zeiten, in denen die Maschinendaten ausschließlich in der Fertigungshalle ausgewertet und genutzt werden, vorbei. Die fortschreitende Digitalisierung verlangt inzwischen eine ständige Verfügbarkeit der Daten an verschiedenen Orten. Doch wie gelangen diese in übergeordnete Systeme oder in die Cloud, wenn bereits deren Weg zur externen Verschlüsselungskomponente sowie zu Router und Firewall das Risiko eines unerlaubten Datenzugriffs birgt? Und wie soll jemand, der nicht über eine fundierte informationstechnische Ausbildung verfügt, diese Sicherheit überhaupt gewährleisten? Bedarf dieser nicht eine Lösung, bei der die Hard- und Softwarekomponenten von vornherein so programmiert sind, dass die Daten automatisch verschlüsselt und abhör- sowie manipulationssicher übertragen werden und so ein externer Zugriff verhindert wird?

Die Controller PFC100 und PFC200 von Wago sprechen genau dieses Bedürfnis einer sicheren Datenübertragung an. Sie verschlüsseln die Produktionsdaten schon im Feld und schicken diese per MQTTs in die Cloud. Die Basis hierfür ist ein plattformübergreifendes Realtime-Linux, das als Open-Source-Betriebssystem langzeitverfügbar, skalierbar und updatefähig ist. Zudem unterstützt es Tools wie Rsync, wodurch die Controller als Secure-Gateway eingesetzt werden können. Die installierte Linux-Basis unterstützt aber nicht nur wesentliche Sicherheitsprotokolle, sondern sorgt dafür, dass diese dank der Linux-Community ständig weiterentwickelt werden. Darüber hinaus laufen die PFC100 und PFC200 unter einer Codesys basierten PLC-Runtime und bedienen herstellerunabhängig verschiedene Schnittstellen und Feldbusse wie CANopen, Profibus DP und TCP-IP. Des Weiteren gestatten sie über die Anbindung an ein MES eine produktionsinterne Verwendung der Daten.

Geht es um höchste Sicherheitsanforderungen gemäß ISO27000, ist die PFC200-Familie eine gute Wahl. Sie kodiert die Daten mittels SSL/TLS-1.3-Verschlüsselung direkt im Controller und überträgt diese über IPsec oder OpenVPN bei Bedarf sogar kabellos. Für die abhör- und manipulationssicheren Kommunikationsverbindungen zwischen den Controllern und den Netzzugangspunkten bedarf es nicht einmal mehr eines vorgeschalteten VPN-Routers. Dieser ist standardmäßig integriert und baut eine verschlüsselte LAN/WAN-Verbindung auf, deren Inhalte nun die beiden Endpunkte verstehen können. Für zusätzliche Sicherheit sorgen das RSA-Certificate oder Pre-Shared-Key Verschlüsselungsverfahren, bei dem die Schlüssel beiden Teilnehmern vor der Kommunikation bekannt sein müssen und erst eine Verbindung nach Authentifizierung aufgebaut wird.

IPsec (Internet Protokoll Security) erlaubt eine sichere Kommunikation in unsicheren IP-Netzwerken, indem es unter anderem einzelne IP-Pakete verschlüsselt und diesen einen Message Authentication Code (Nachrichtenauthentifizierungscode) hinzufügt. Bei der ISO/IEC27000-Reihe handelt es sich um eine Folge von IT-Sicherheitsstandards, die über 20 Normen umfasst. Das Manufacturing Execution System (MES) basiert auf einem mehrschichtigen Gesamtsystem, das die betriebswirtschaftlichen berichtenden und die Produktion planenden Ebenen des ERP des Unternehmens und den eigentlichen Fertigungs- bzw. Produktionsprozess in der Fertigungs-/Automatisierungsebene abdeckt. Beim Message Queuing Telemetry Transport (MQTT) handelt es sich um ein offenes Nachrichtenprotokoll für die Machine-to-Machine-Kommunikation (M2M), das die Übertragung von Telemetriedaten in Form von Nachrichten zwischen Geräten ermöglicht. Die Transport Layer Security (TLS), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL), ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Das Virtual Private Network (VPN) bezeichnet ein in sich geschlossenes, virtuelles, privates Netzwerk. Bei diesem verbindet sich ein Computer ausschließlich mit dem ihm zugeordneten Netzwerk, währen dazwischen liegende Netzwerke ausgeblendet werden und lediglich als «Verlängerungskabel» dienen.