Modbus TCP und OPC Classic werden in zahlreichen industriellen Applikationen verwendet. Da die zugrunde liegende COM/DCOM-Technologie vor mehr als zehn Jahren abgekündigt wurde, lassen sich Aspekte der IT-Security oft nur unzureichend umsetzen. Mit seinen Geräten der Produktfamilie FL Mguard will Hersteller Phoenix Contact dennoch den abgesicherten Systembetrieb ermöglichen.
Neben der Prozess- und Fertigungsautomation setzen viele weitere Industriebereiche OPC Classic (OLE for Process Control) ein. Das Protokoll zählt mit über 20.000 OPC-Produkten von mehr als 3.500 Herstellern zu einem der international erfolgreichsten Standards für den interoperablen Datenaustausch zwischen den Anwendungen unterschiedlicher Anbieter. Bei Modbus, und hier speziell der Version Modbus TCP, handelt es sich um eine Client/Server-Architektur, in der jeder Teilnehmer den Bus zur Kommunikation nutzen darf. Die Übertragung wird typischerweise über einen Master initiiert und moduliert. In sämtlichen Phasen der Weiterentwicklung von Modbus sind der grundsätzliche Aufbau der Datenbereiche sowie die Adressierungsmechanismen unverändert beibehalten worden. Diese rückwärtskompatible Vorgehensweise hat zu einer hohen Akzeptanz des Protokolls bei den Anwendern geführt.
Durch die Implementierung von OPC Classic und Modbus TCP auf Steuerungen und Feldgeräte lassen sich die Unterschiede zwischen den einzelnen Automatisierungskomponenten überwinden. Außerdem können Daten über die Grenzen verschiedener Systeme weitergeleitet werden. Die beiden Standards fungieren somit als Kommunikationsstrang zur Datenerfassung, Prozessvisualisierung sowie für das Datenmanagement. Über sie werden Parametersätze, Steuerungssequenzen, Programme und Produktionsdaten ausgetauscht. Zur Datenübertragung zwischen dem OPC-Server und -Client dient das COM/DCOM-Protokoll von Microsoft, das allerdings 2002 zugunsten des .NET-Frameworks abgekündigt wurde. Derzeit unterstützen jedoch alle aktuellen und vermutlich auch zukünftigen Betriebssysteme COM/DCOM. Microsoft entwickelt die Basistechnologie aber nicht weiter, sodass sie insbesondere im Hinblick auf Security-Aspekte unweigerlich veraltet.
Haben Sie genug von komplizierten Prozessen, einer hohen Fehlerquote, langsamen Markteinführungszeiten und hohen Anpassungskosten? Durch die Implementierung einer einzigen in Microsoft Dynamics 365/AX eingebetteten PLM-Lösung können Sie den Zeitaufwand für manuelle Datenarbeit und ineffektive Arbeitsabläufe vermeiden!‣ weiterlesen
OPC/Modbus-Server verhalten sich transparent. Das bedeutet, dass sich der Zugriff auf lokale Kommunikationsdaten nicht von dem auf entfernte Daten unterscheidet. Dabei erweisen sich die Sicherheitseinstellungen des DCOM-Protokolls als kompliziert. Darüber hinaus haben sich Inkompatibilitäten zwischen den Produkten unterschiedlicher Hersteller gebildet. Deshalb sind weitreichende Zugriffsrechte erforderlich, um den Datenaustausch überhaupt zu ermöglichen. Diese hebeln allerdings die vorhandenen Schutzmechanismen aus. Beim Einsatz von DCOM gibt es also kein durchgängiges und belastbares Security-Konzept zur Absicherung der Kommunikation. Nutzt der Anwender OPC, kommt erschwerend hinzu, dass dieses Protokoll zahlreiche Kommunikationsports benötigt. Dazu gehören Ports beispielsweise für die Initiierung der Datenübertragung, die Authentisierung sowie das Senden der Daten. Im Gegensatz zu HTTP, das stets über Port 80 kommuniziert, oder FTP auf Port 21, sind die zu verwendenden Ports nicht festgelegt, sondern werden zufällig von OPC definiert. Steht ein Port nicht zur Verfügung, wählt das Protokoll automatisch einen anderen aus. Firewall müssen somit zahlreiche Ports offenhalten und büßen an Wirksamkeit ein. Denn aus Security-Sicht stellt jeder offene Port einen potenziellen Angriffsvektor dar. Diese Vektoren werden gezielt von Angreifern und Hackern gesucht, zum Beispiel über Port-Scans, um über sie in das Zielsystem einzudringen. Hinzu kommt, dass sich unter Einsatz des OPC-Standards keine Vorteile einer Network Address Translation-Applikation (NAT) nutzen lassen.
Durch den Einsatz der Security Appliances der Produktfamilie FL Mguard von Phoenix Contact mit dem kürzlich vorgestellten OPC/Modbus-Inspector sollen sich die genannten Herausforderungen lösen lassen. Die Deep Packet Inspection für OPC Classic/Modbus analysiert die übermittelten Pakete und nimmt gegebenenfalls Anpassungen an ihnen vor. Durch die Konfiguration kann der Anwender festlegen, dass über den OPC Classic-Port 135 ausschließlich OPC-Pakete versendet werden dürfen. Die Deep Packet Inspection erkennt die TCP-Ports, die die Teilnehmer während der ersten geöffneten Verbindung untereinander aushandeln. Im Anschluss werden genau diese Ports durch die Firewall geöffnet und für die OPC-Kommunikation freigegeben. Findet innerhalb des einstellbaren Timeouts kein Versand von OPC-Paketen statt, schließen sich die Ports wieder.
Angreifer nutzen verschiedene Wege, um Zugang zu den Produktionsanlagen zu erlangen. Der Computerwurm Stuxnet hat beispielsweise gezeigt, dass Angriffe mittels kompromittierter USB-Sticks selbst aus dem Inneren von Anlagen möglich sind. In diesem Umfeld schafft die Anwendung des auf dem ISA 99-Standard basierenden ‘Defense in Depth’-Konzepts Abhilfe. Der Ansatz setzt auf die netzwerktechnische Segmentierung von Anlagen und die dezentrale Absicherung der so entstehenden Teilbereiche. Mit dem OPC Inspector soll sich Defense in Depth nun ebenfalls in Applikationen umsetzen lassen, in denen OPC Classic eingesetzt wird. Zur Segmentierung von OPC-basierenden Netzen unterstützt die Deep Packet Inspection des FL Mguard zudem die Nutzung von NAT-Verfahren wie Masquerading oder 1:1-NAT.
Vorhaben zum Nachweis der Energieoptimierung und die Verpflichtung, CSR-Berichte zu erstellen, beschäftigen die Industrie. Auch wenn diese zunächst mit Umstrukturierungen und finanziellen Aufwänden verbunden sind, so investieren Industrieunternehmen damit langfristig in ihre Zukunftssicherheit.‣ weiterlesen
Außerdem verfügen die Security-Appliances über eine Conditional Firewall. Sie ermöglicht eine situationsbasierte definierte Umschaltung des Firewall-Regelwerks. So kann der Anwender die Festlegungen seiner Firewall durch Ereignisse an unterschiedliche Betriebszustände adaptieren. Beispielsweise lässt sich der gesamte Datenverkehr vom oder in das überlagerte Netzwerk automatisch blockieren, wenn eine Schaltschranktür geöffnet wird. Damit ist der Service-Techniker, der vor Ort am System arbeitet, einfach und wirkungsvoll vom überlagerten Netzwerk abgeschnitten.
Die Appliances ermöglichen mit ihrem dreistufigen Security-Konzept bestehend aus Conditional Firewall, Demilitarized Zone und CIFS Integrity Monitoring (CIM) beherrschbare Sicherheitsarchitekturen, um Automatisierungs- und Fernwartungslösungen verlässlich zu betreiben.
Die Anforderungen an die Cybersecurity von überwachungsbedürften Anlagen werden deutlich konkretisiert. Betreiber müssen mögliche Gefährdungen ihrer Anlagen durch Cyberangriffe ermitteln und wirksame Gegenmaßnahmen entwickeln. Die zugelassenen Überwachungsstellen (ZÜS) werden zukünftig überprüfen, ob Cyberbedrohungen im Zusammenhang mit dem sicheren Betrieb der Anlagen ausreichend behandelt wurden.‣ weiterlesen
Mit dem Start der Anmeldung öffnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die digitalen Pforten für den 19. Deutschen IT-Sicherheitskongress. Am 10. und 11. Mai 2023 findet der Kongress unter dem Motto 'Digital sicher in eine nachhaltige Zukunft' digital statt.‣ weiterlesen
Die längst verstaubt geglaubte Masche des 'Ich lasse mal einen USB-Stick mit Schadsoftware auf Parkplätzen zum Mitnehmen herumliegen' wurde doch tatsächlich noch einmal aus der Cybercrime-Kiste geholt.‣ weiterlesen
Sonicwall hat den Sonicwall Cyber Threat Report 2023 veröffentlicht. Dieser zweimal jährlich erscheinende Bericht gibt Einblicke in eine zunehmend diversifizierte Cyberbedrohungslandschaft und die sich verändernden Strategien der Bedrohungsakteure.‣ weiterlesen
Smart Factories bieten eine breite Angriffsfläche für Cyberattacken. Deshalb sichert die Freie Universität Bozen ihre 'Smart Mini Factory', eine Lernfabrik für Industrie-4.0-Technologien, mit der Endian Secure Digital Platform. Neben umfassender IT-Sicherheit ermöglicht die Plattform die Nutzung von Edge Computing und das Management von Rollen und Rechten.‣ weiterlesen
Panduit geht mit einem neuen System an den Markt, mit dem sich Netzwerkkabel digital archivieren und dokumentieren lassen. Dazu nutzen Netzwerktechniker und -Installateure die voretikettierten Patch-Kabel und den dazu passenden Bluetooth-fähigen Handscanner des RapidID Network Mapping Systems.‣ weiterlesen
SF Drawing Compare ist ein neues Produkt der Münchener Firma Software Factory, das die Validierung von Zeichnungsänderungen in Windchill beschleunigen und vereinfachen soll.‣ weiterlesen
Auf der letzten SPS-Messe präsentierte Kontron das neue Gerätemanagementsystem K-Port. Diese Ergänzung des noch jungen Susietec-Portfolios soll Anwendern helfen, IoT-Funktionen möglichst einfach auf ihre Automatisierungssysteme zu applizieren. Was das Tool leistet und wie es sich ins Software-Angebot des Hardware-Spezialisten einfügt.‣ weiterlesen
Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Mitarbeiterproduktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet. Für unsere Leser gibt die Microsoft-Partnerübersicht in Ausgabe Juli/August der IT&Production Tipps für die Suche nach einer geeigneten Branchen- oder Speziallösung im Bereich des produzierenden Gewerbes.
Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP-Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet. In der Maiausgabe der Fachzeitschrift IT&Production erhalten unsere Leser einen aktuellen Überblick zum SAP-Ecosystem im Bereich des produzierenden Gewerbes.
Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP/CRM Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
Immer mehr Anbieter von Maschinen, Automatisierungstechnik und Industriesoftware integrieren künstliche Intelligenz in ihre Produkte. Das ganze Potenzial spielen selbstlernende Systeme aber erst aus, wenn sie passgenau auf ihren Einsatz in Fertigung und Büro zugeschnitten wurden. Über beide Möglichkeiten, als Fertiger die Vorzüge von industrieller KI zu nutzen, geht es im regelmäßig aktualisierten Themenheft Künstliche Intelligenz.
Das Internet of Things verändert Produktwelten und die Vernetzung in der Fertigung gleichermaßen. Entstehende Ökosysteme laden zur einer neuen Form der Zusammenarbeit ein. Die Spezialausgabe IoT Wissen Kompakt informiert über die Technologie, Projektierung und Anbieter für die eigene Applikation, in- und außerhalb der Fabrik.
Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.
