Sicherheit kommt zuerst

Automatisierung

Durch gemanagte Verbindungsgeräte lassen sich Netzwerke intelligent strukturieren. Mit deren steigender Komplexität und dem Wunsch zahlreiche Industrial-Ethernet-Geräte auf der Feld-Ebene mit Internet und Office-IT zu verbinden, erhöht sich das Sicherheitsrisiko.

07. März 2017

Die digitale Vernetzung von Fertigungsanlagen und Logistiksystemen ist die Basis für die vielbeschworene Industrie 4.0. Smart Factorys bieten Unternehmen allerdings nicht nur große Zukunftschancen, sie bergen auch große Gefahren im Bereich der IT-Sicherheit, bis hinunter auf die Feldebene. Die Bereitstellung einer sogenannten smarten Netzwerk-Infrastruktur ist hierbei die Basis für eine erfolgreiche Kommunikation.

In einer Anlage, einer Maschine und/oder einem Maschinenverbund finden sich eine Vielzahl an industriellen Automatisierungskomponenten, wie zum Beispiel Steuerungen, Bediengeräte, Regler oder IO-Systeme. Zusätzlich sind immer mehr Maschinenelemente wie etwa Frequenzumrichter mit Kommunikationsschnittstellen ausgestattet. Die Kommunikation erfolgt hierbei meist auf Basis der Ethernet-Technologie.

Sind alle Komponenten arrangiert, fehlt noch die Verbindung untereinander. Hier kommen seit über 20 Jahren industrielle ›Switches‹ zum Einsatz. Diese Verbindungsgeräte ermöglichen eine paketbasierte Kommunikation. Switches verfügen über mehrere Anschluss-Schnittstellen, die sogenannten Ports. Hierdurch ist es möglich eine große Anzahl an Geräten an einem zentralen Punkt miteinander zu verbinden. Für die Kommunikation werden dynamisch Verbindungspaare gebildet, die nach Beendigung der Kommunikation wieder gelöst werden. Es können mehrere Verbindungen zeitgleich erfolgen, wobei jede Verbindung den vollen Datendurchsatz und keine Kenntnis über die Kommunikation anderer Paare hat. Die Adressierung erfolgt durch MAC-Adressen. Jeder Teilnehmer oder die jeweilige Netzwerk-Schnittstelle besitzt eine individuelle MAC-Adresse, die der Switch inklusive Port speichert.

Traditionell werden in der industriellen Umgebung ›Unmanaged Switches‹ eingesetzt. ›Unmanaged‹ kann man auch mit ›Plug & Play‹ gleichsetzen. Die Verbindungsgeräte werden also einfach mit dem Netzwerk verbunden und verfügen über keinerlei Funktionalität für den Zugriff aus der Ferne zwecks Konfiguration, Verwaltung oder Überwachung. Auch eine Konfiguration ist nicht möglich. Dafür ist der Preis in der Anschaffung meist günstig und der Einbau, als auch der Austausch, schnell und einfach. Ist die Anwendung, der Prozess oder der Ausfall der Ethernet-Kommunikation nicht kritisch, haben diese Unmanaged Switches Ihre Berechtigung.

Ist dagegen die Anwendung und die dazugehörige Verfügbarkeit geschäftskritisch, so ist eine Netzwerk-Basis notwendig, die diesem grundsätzlichen Anspruch nach höchster Verfügbarkeit bestmöglich gerecht wird. In der Praxis leiten sich daraus weitere Anforderungen ab. Dazu gehören beispielsweise Überwachungs- und Analysemöglichkeiten (zum Beispiel über das Simple Network Management Protocol, kurz SNMP), die Erhöhung der Verfügbarkeit durch Redundanzen oder die bewusst gesteuerte Ausgrenzung individueller Teilnehmer. Gibt es diese Anforderungen, kommen Managed Switches zum Einsatz.

Zu den grundlegenden Prinzipien von smarten, gemanagten Netzwerken gehören somit die volle Kontrolle und die Zugriffsmöglichkeit auf die Infrastruktur. Weiterhin gehört die Fähigkeit individuelle Konfigurationen vorzunehmen dazu, um so ein maßgeschneidertes, auf die individuellen Bedürfnisse angepasstes Netzwerk als Kommunikationsbasis bereitzustellen.

Das Beispiel NT24-Switches

Ein Beispiel für höchst flexible gemanagte Ethernet Switches ist die N-Tron-Serie der All-Gigabit NT24-Switches von Red Lion Controls. Sie wurde zur Maximierung der Netzwerk-Geschwindigkeit und Media-Optionen und des Switch-Managements entwickelt, um den Anforderungen an industrielle Vernetzungen in verschiedensten Industrien inklusive der automatisierten Fertigung gerecht zu werden. Alle Switches sind per Plug and Play anschließbar und bieten IGMP-Selbstkonfiguration, Media- und Anschlussselbsterkennung sowie eine einfache Ringkonfiguration.

Die NT24k-Modellreihe ist daher eine der am einfachsten anzuschließenden Plattformen von gemanagten Switches in der Industrie und bietet auch in anspruchsvollen Umgebungen kompromisslose Leistung an. Auch eine Zugriffssicherheit per Remote-Server-Authentifizierung ist gewährleistet.

Die NT24k-Switches arbeiten in einem Temperaturbereich von minus 40 Grad bis plus 85 Grad Celsius und besitzen die UL-Listung für den Einsatz in Gefahrenbereichen der Klasse 1, Div. 2. Sie sind zudem auf eine lange Lebensdauer in anspruchsvollsten und rauen Umgebungen ausgelegt.

Schließlich beinhalten die NT24k-Switches die N-View Überwachungs-Technologie und bieten nicht nur verschiedenste Statuspunkte zu Switch- und Anschlusszuständen, sondern zeigen diese Informationen auch auf jedem Computer im Netzwerk an.

Neben einer hohen Performance und Leistung (8 x Gigabit) und eigener Stromversorgung (PoE+) verfügen die Switches von Wachendorff über umfassende Netzwerkfunktionen mit N-Ring, N-Link und N-View und eine Wiederherstellungszeit von lediglich 30 Millisekunden.

Weitere Pluspunkte sind ein einfaches Plug and Play, wobei die Konfiguration via Webbrowser erfolgt und hohe Standzeiten durch einen redundanten Spannungseingang. Das sichert den Betrieb selbst bei Ausfall einer Spannungsversorgung. Zudem sind die NT24k-Switches für den jahrelangen, unterbrechungsfreien Betrieb konzipiert.

Mit Managed Switches bieten sich auch individuelle Gestaltungsmöglichkeiten hinsichtlich Performance und Sicherheit. Ein Beispiel dafür ist die Kanal-Bündelung, auch Port-Trunking genannt, oder VLANs zur logischen Trennung von an dem Switch angeschlossenen Geräten. Hierdurch ergeben sich Vorteile in Bezug auf Analyse, Standzeiten, Vorhersagen, Strukturfähigkeit und Flexibilität.

Die individuelle Konfigurationsfähigkeit erhöht jedoch nicht nur die Verantwortung für eine sinnvolle, professionelle Planung, sondern bietet auch die Sicherheit, das Möglichste getan zu haben.

Strukturieren lassen sich Netzwerke durch das gezielte Bilden von Gerätegruppen, die miteinander kommunizieren dürfen. Dabei wird das physikalische Netzwerk in mehrere logische Netzwerke unterteilt (VLAN). Wird eine Kommunikation über die Grenzen eines lokalen Netzwerkes hinaus benötigt, so kommen Firewalls zum Einsatz.

Das Grundprinzip von Firewalls ist zunächst die Unterbindung von Kommunikation. Während alle Netzwerkkomponenten grundsätzlich eine Kommunikation aufrechterhalten sollen, macht eine Firewall zunächst das Gegenteil. Erst durch ein individuelles Regelwerk werden einzelne Kommunikationswege geöffnet. Es erfolgt ein aktives Zulassen von Kommunikation. Hierdurch wird dem Prinzip der Abgrenzung und Absicherung Rechnung getragen. us

Erschienen in Ausgabe: 02/2017