Gefahren lauern überall
Besonders im Zusammenhang zwischen Diagnose und Security ist Nachholbedarf gegenüber der IT-Branche zu verzeichnen, denn Netzwerkmonitoring ist das tägliche Brot eines EDV-Administrators – und dessen Erfahrungen sind für Automatisierer Gold wert. Der momentane Alltag in der Automatisierung wirkt befremdlich, denn das Thema Security steht viel zu selten im Fokus: Portstatistiken von Hallenswitches werden durch die IT-Abteilung über ein umfangreiches Netzwerk-Monitoringsystem beobachtet und analysiert, aber niemand denkt an die Netzwerküberwachung für den Switch im Schaltschrank, der im Verantwortungsbereich der Automatisierung liegt. Viele Betreiber wiegen sich in Sicherheit, weil sie das Maschinennetzwerk autark sehen und Bedrohungen nur ‚von außen‘ erwarten. Studien beweisen das Gegenteil: Nicht selten sind unbeabsichtigte Eingriffe oder unberechtigte Netzzugriffe von innen die Realität. Es folgen Fehlfunktionen, die in Anlagenstillständen münden, weil die wechselnde Netzwerklast die zeitlichen Rahmenbedingungen durcheinander bringen kann. Es gilt daher, unberechtigte Netzwerkzugriffe und Manipulationen rechtzeitig zu erkennen und so Verfügbarkeitseinschränkungen zu verhindern.
Blick in den letzten Winkel
Der erste und möglicherweise auch am einfachsten zu realisierende Schritt dahin ist ein aktueller Topologieplan. Neben der realen Verdrahtungsdarstellung der Netzwerkteilnehmer und deren IP-Adressen gehören auch die aktuellen Portbelegungen, Gerätenamen, Software- und Hardwarestände, Leitungslängen sowie Bedämpfungswerte zu den wertvollen Informationen. Sie sollten stets durch einen Scan in regelmäßigen Zeitintervallen aktuell gehalten werden. Proscan Active von Indu-Sol beispielsweise, lässt sich als schlankes Werkzeug auch ohne Datenbanken nutzen: Installiert auf dem Bedienterminal einer Maschine scannt das System alle Komponenten bis in die unterste Ebene. Unabhängig vom Hersteller und Gerätetyp der eingesetzten Netzwerkkomponenten wie Switches, Hubs, PCs, Drucker oder weitere Controller im Netz wird über Eingabe eines IP-Adressbereichs der Netzwerkscan gestartet. Jede Änderung der Netzwerkverbindungen und Komponenten wird sofort erkannt und über eine Web-Oberfläche grafisch dargestellt. Zusätzliche Visualisierungssoftware der Netzwerkdaten ist somit überflüssig. Bei stetig steigender Ethernet-Vernetzung im industriellen Umfeld entsteht so ein zentrales Hilfsmittel für Einrichtung und Inbetriebnahme.
„Man kann sich beispielsweise den aktuellen Topologieplan ausdrucken und in die Innentür des Schaltschranks heften. In der Automobilindustrie wird das Tool immer häufiger eingesetzt und auch die Bereiche Service und Instandhaltung zeigen großes Interesse“, führt Richter aus. Damit lässt sich mit einfachen Mitteln der Security-Gedanke in der Automatisierungstechnik umsetzen. Dieser Gedanke sollte hier jedoch nicht enden. Letztlich wird wohl kein Profinet-Betreiber darum herumkommen, auch Methoden der Funktionsüberwachung zu nutzen, um Aussagen über die aktuelle Netzwerkqualität treffen und Störungen möglichst im Vorfeld vermeiden zu können. Hierfür hat der Anbieter den Profinet-Inspektor entwickelt. Das Diagnose-Tool ist ein ’stiller Beobachter‘ in Ethernet- und Profinet-Netzwerken, das zu Ereignissen im Netzwerk punktgenau einen Snapshot anlegt, etwa zu Auslastung, Geschwindigkeit, Datendurchsatz, Telegramm-Jitter, Telegrammwiederholungen, Fehlertelegrammen, Gerätediagnosen und Geräteausfällen sowie Aussagen über die Netzwerkqualität ermöglicht.
