Anzeige
Anzeige
Anzeige
Beitrag drucken

Machine-2-Machine-Kommunikation

Maschinendaten in der Kapsel

Ohne Machine-to-Machine- beziehungsweise Sensor-Aktor-Kommunikation kommen Produzenten auf ihrem Weg zur Industrie 4.0 an Grenzen. Ohne IT-Sicherheit im Netzwerk aber auch. Zwar lässt sich der Transfer von Produktionsdaten auch vertikal absichern, aber eine sinnvolle Abgrenzung von Anlagen, Zellen und Linien spart unnötigen Aufwand und verringert Risiken.

M2M-Kommunikation

Bild: ©Moreno Soppelsa/Adobe Stock

Die Vernetzung der Komponenten im Fertigungsnetz sowie die Öffnung des Produktionsnetzes in Richtung Office-IT führen dazu, dass vermehrt auch Datenverkehr in die Produktion fließen kann, der dafür nicht vorgesehen ist. Andersherum kommt es vor, dass direkt von einem Steuerungs-PC im Produktionsnetz ein Zugriff auf das Internet möglich ist. Dadurch kann es zu unerwünschten Kommunikationsbeziehungen kommen, für die nur unzureichende Sicherungsmaßnahmen bestehen.

Status Quo Anlagenschutz

Um Anlagenerweiterungen zu schützen, werden häufig neuere Protokolle entwickelt. Diese können sich aber als ungeeignet erweisen, da sie auf die vorhandene Technik nicht anwendbar sind. Eine Möglichkeit, Altsysteme vor Missbrauch zu schützen ist wiederum, sie weitestgehend vom restlichen Netzwerkverkehr zu isolieren. Daraus ergeben sich jedoch Anforderungen hinsichtlich der Gewährleistung der Authentizität als auch von Integrität der Steuerungsdaten. Eine besondere Herausforderung im üblichen Mischbetrieb von Bestandsanlagen und neuer Technik stellen die neuen Anlagen dar: Auch wenn diese den aktuellen Stand der Technik aufweisen sollten, liefern Anlagenbauer oft teils veraltete oder nicht mehr vom Hersteller unterstütze Systeme mit aus und untersagen dem Betreiber zudem, diese Bestandteile der Anlage während der Garantiezeit zu verändern. Dadurch kann es passieren, dass der Altbestand besser abgesichert ist als neue Anlagen. Dies resultiert unter anderem daraus, dass versucht wird, bestehende Systeme im stabilen Betrieb abzusichern, während neuen Anlagen im fragilen Anlauf-Prozess keinerlei Änderungen zuzumuten sind.

Abschottung ist keine Lösung

Eine Schutzmöglichkeit wäre die Rückkehr zu einem geschlossenen Produktionssystem und sowohl alte als auch neue Systeme mit zusätzlichen Gateways oder Firewalls so voneinander abzuschotten, dass keine problematischen Netzwerkzugriffe möglich sind. Dies wiederspricht jedoch dem Industrie-4.0-Ansatz, der einen weitreichenden Datenaustausch beschreibt – sogar über die Grenzen der Organisation hinweg. Dabei hat sich eine vollständige Kontext- und Datenflussanalyse für die Kommunikation innerhalb der Produktion und über deren Grenzen hinweg sowie die Erarbeitung entsprechender Maßnahmen zur sicheren Bereitstellung der Daten etabliert.

Offen oder proprietär

Beim internen Einsatz von kabellosen Technologien muss zwischen proprietären, also eigenen, und offenen Standards unterschieden werden, wobei sich dabei die Frage nach den übergeordneten Protokollen und angeschlossenen Endgeräten ergibt. Wird auf WLAN gesetzt, sollte auch eine entsprechende Absicherung (IT-Sicherheit) erfolgen. Sind andere Standards der Maschinenkommunikation oder proprietäre Technologien geplant, können diese häufig nur durch ebenso proprietäre Mechanismen abgesichert werden. Bei der Bereitstellung von Daten für Kooperationspartner wurde bisher oft auf Standards wie EDI /EDIFACT gesetzt, was aber häufig zu hohem Aufwand bei der Änderung oder Anpassung der Schnittstellen auf allen Seiten geführt hat. Bei offeneren und flexibleren Anbindungen mit mehr Sicherheitsoptionen können sogenannte APIs (Application Programming Interfaces) helfen. Diese lassen sich oft schneller anpassen und Betreiber sind in der Lage, mehrere Versionen parallel laufen zu lassen, um die Kommunikationspartner bei der Migration nicht unter Druck setzen zu müssen. Der Vorteil der Nutzung von APIs nach außen (published API) liegt also darin, die eher langsamen Entwicklungszyklen in der eigenen Infrastruktur und Produktions-IT von den sich schneller ändernden Anforderungen der Lieferanten oder Kunden abzukoppeln. Intern kann somit weiterhin mit langsameren Verfahren zur SAP-Anbindung gearbeitet werden, während man nach außen auch moderne Apps für Smartphones anbieten kann.

Authentizität durch Zertifikate

Neben der Vertraulichkeit von Informationen spielt auch die Authentizität von Sender und Empfänger eine Rolle. Je nach Leistungsfähigkeit der Kommunikationspartner (in diesem Fall ein Ausschlusskriterium für einfache Sensornetze) können Zertifikate bei der Sicherung der Authentizität helfen. Diese haben sich im privaten Bereich bereits etabliert – etwa beim Onlinebanking. Diese Art der Absicherung kann auch auf Maschinen übertragen werden. Eine entsprechende Speicherausstattung und grundlegende Verschlüsselungsfunktion der Hardware vorausgesetzt, sind Zertifikate derzeit ein sehr sicheres Verfahren zur Absicherung der Maschinenkommunikation. Eine klare Abgrenzung muss jedoch bei Betrachtung der Kommunikation auf Busebene erfolgen: Die dort angewendete Signalisierung kann nicht durch gängige Mittel der IT-Sicherheit geschützt werden, da die Übermittlung der Informationen proprietär erfolgt. Ein Nachteil von Zertifikaten ist jedoch die begrenzte Lebensdauer von etwa ein bis drei Jahren. Zudem basiert die Sicherheit des Gesamtsystems darauf, dass alle beteiligten Partner einer Dritten Partei vertrauen (in dem Fall der die Zertifikate ausgebenden Public-Key-Infrastruktur). Zudem kann im schlimmsten Fall die Kommunikation zusammenbrechen, wenn die jeweiligen Knoten den Ursprung der Zertifikate oder deren Gültigkeit nicht prüfen können. Dies kann insbesondere dann passieren, wenn die Zertifikate der jeweiligen Knoten in der Kette ablaufen oder die Lebensdauer des Vertrauensankers erreicht wird. Kommerzielle Anbieter von Zertifikaten sind daher bereits dazu übergegangen, für solche Einsatzszenarien nur Zertifikate mit erweiterter Lebensdauer von bis zu 30 Jahren einzusetzen.

Absicherung unumgänglich

Eine wirksame Absicherung der M2M-Kommunikation ist unumgänglich. Dazu gilt es, lokale Daten und lokale Kommunikation von dem zu trennen, was den Einflussbereich der Organisation verlassen darf. Als erste Schutzmaßnahme steht also die Abgrenzung der jeweiligen Anlagen, Zellen, Linien und Maschinen untereinander auf dem Plan, damit nur noch der gewünschte Datenverkehr aus der Anlage herauskommen und nur noch validierte Steuerungsinformationen in die Anlage hineingelangen. Zunächst kann dies nur auf Basis einfacher Firewalls und Netzwerkfilter erfolgen, da die zur tieferen Analyse des Verkehrs notwendigen Kenntnisse der Protokolle erst in die Sicherheitstechnik einfließen müssen. Dabei besteht Nachholbedarf, da sich die Stabilität der angeschlossenen Maschinen hinsichtlich Angriffen aus dem Netz bislang als eher unterdurchschnittlich erweist.


Das könnte Sie auch interessieren:

Als ein Unternehmen bei einem Digitalprojekt auf eine Maschine stieß, die sich zwar technisch, aber nicht wirtschaftlich sinnvoll in das Zielsystem integrieren ließ, installierte es kurzerhand Kamera und Minirechner. Diese Lösung fotografiert nach Bedarf das HMI und verarbeitet das Bild zu den benötigten Systeminformationen.‣ weiterlesen

In die Entwicklung von KI-Anwendungen fließen weltweit Multi-Milliarden-Dollar-Beträge. Ganz vorne dabei: Die großen Plattform-Betreiber aus den USA und China. In weiten Bereichen außen vor sind die Europäer. Im folgenden Beitrag geht es um Technologien, Trends und Player, welche die globale Wirtschaft in den kommenden Jahren nachhaltig prägen werden.‣ weiterlesen

Produzierende Unternehmen stellt die Digitalisierung vor einen grundlegenden Wandel. Kennzeichen hierfür ist die systematische Integration von Informations- und Kommunikationstechnologie sowie Automatisierungstechnik in industriellen Wertschöpfungsstrukturen.‣ weiterlesen

Der ERP-Anbieter Proalpha übernimmt Tisoware, ein Anbieter für Zeitwirtschaftssoftware. Gemeinsam wollen beide Unternehmen ihre Kunden noch besser bei der Digitalisierung unterstützen.‣ weiterlesen

Wenn Werkzeuge ihre Halter- und Werkzeugrevolver-Daten zielgerichtet erheben und austauschen würden, ließen sich viele Mängel, etwa infolge von Schwingungen, vermeiden. Eine digitale Lösung rund um die Auswerteeinheit IQ Box des Werkzeugträgerspezialisten Sauter soll das und mehr möglich machen.‣ weiterlesen

Wenn der weltweit agierende Softwarehersteller IFS sein größtes Kundentreffen der Welt organisiert, geht es um Strategien, neue Produkte und Releases. So zeigte der ERP-Anbieter mit schwedischen Wurzeln im Oktober in Boston die neue durchgängig gestaltete Benutzerführung, ein neues Schnittstellenpaket und ein gestärktes Portfolio für das Field Service Management - unter anderem durch die Akquisition des Konkurenten Astea. Skateboard-Legende Tony Hawk war auch dabei.‣ weiterlesen

Die Bandbreite an Analyseanwendungen reicht von klassischen Reports und Kennzahlen über Self Service Analytics bis hin zu künstlicher Intelligenz. Bei aller Vielfalt sollte der Zweck nicht aus dem Fokus geraten: transparenter und effizienter fertigen zu können. Zumal immer wieder neue Manufacturing-Analytics-Instrumente entwickelt werden.‣ weiterlesen

Trotz schwieriger Marktbedingungen befindet sich die Fertigungsindustrie weiter im Wachstum. Dies zeigt der Global Growth Index des Softwareanbieters Epicor. Demnach betrug das Wachstum im Vergleich zur Vorjahresbefragung ein Prozent.‣ weiterlesen

Mit der Inititative 'Industrie 4.0' versuchen Wirtschaft, Politik und Wissenschaft seit 2012, die hiesigen industriellen Wertschöpfungsnetzwerke wettbewerbs- und zukunftsfähig zu erhalten. KI und Machine Learning spielen dabei eine immer wichtigere Rolle.‣ weiterlesen

Die Richtlinie VDI/VDE/NAMUR 2658 Blatt 1 'Automatisierungstechnisches Engineering modularer Anlagen in der Prozessindustrie - Allgemeines Konzept und Schnittstellen' wurde im Oktober 2019 in deutsch und englisch veröffentlicht. Darin wird das Engineering der Automatisierungstechnik modularer Anlagen vorwiegend in der Verfahrenstechnik beschrieben.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige