Strikte Trennung vom Netzwerk

Sicherheit durch Domänentrennung bei EPSG.

20. März 2008

In der Diskussion um Industrial Ethernet wird gelegentlich die Sorge geäußert, dass Ethernet-basierte Automationsnetzwerke die Sicherheit vor Angriffen nicht in ausreichendem Maß gewährleisten. Weil Industrial Ethernet den Vorteil durchgängiger Kommunikationsstrukturen von der Leit- bis zu Feldebene bietet, sei es, so lautet der Einwand, Angreifern auch prinzipiell möglich, über das Internet Manipulationen auf der Automationsebene durchzuführen. Diese Sorge ist bei Powerlink unbegründet. Eine Stärke des Kommunikationssystems liegt in seiner Fähigkeit, Standard Ethernet einzubinden, ohne dabei den hohen Sicherheitsstandard zu verletzen: Powerlink-Echtzeitdomänen werden durch Gateways, die typischerweise direkt in die Steuerungen integriert sind, strikt von Nicht-Echtzeitdomänen getrennt. Jede Maschine oder Anlage, auf der Powerlink läuft, bildet eine eigene Netzwerkdomäne, die nach außen nur über eine IP-Adresse repräsentiert wird. Die Gateways arbeiten dabei wie eine Firewall. Diese setzt die öffentliche IP-Adresse per Network Adress Translation (NAT) intern auf nichteinsehbare IP-Adressen der Knoten um. An den Gateways lassen sich zusätzlich individuell beliebige weitere Sicherheitsmaßnahmen und Filtervorschriften definieren und umsetzen.