Höchstmaß an Sicherheit im Produktionsnetzwerk - Siemens
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
© Siemens AG 2017
Referenz
Höchstmaß an Sicherheit
im Produktionsnetzwerk
Zellensegmentierung von Produktions-
anlagen sowie gesicherter Internet- und
Intranetzugriff dank Managementplattform
für Remote Networks
Für die Fertigungsautomation hat die Die Festo AG ist ein Global Player im Bereich der pneumatischen und elektrischen
Festo AG in ihrer Technologiefabrik Automatisierungstechnik. Das Unternehmen mit Sitz in Esslingen am Neckar
Scharnhausen eine neue Sicherheits- liefert etwa 33.000 Katalogprodukte und einbaufertige Automatisierungssysteme
plattform eingerichtet. Funktionen an seine Kunden weltweit. Jährlich werden etwa 15.000 maßgeschneiderte
wie Firewall und VPN-Verschlüsse- Lösungen entwickelt und produziert. Neben der Automatisierungstechnik steht
lung bieten erhöhten Schutz bei der bei Festo die Digitalisierung im Mittelpunkt der Betrachtung. Diese beschränkt
Datenübertragung und schotten die sich nicht nur auf intelligente Produkte, sondern umfasst die gesamte Wert-
Produktionsnetze gegen ungewollte schöpfungskette von der Planungsphase über Komponenten und Systeme bis hin
Zugriffe von außen und innen ab. zur Produktion und vorausschauenden Instandhaltung. Hier spielt vor allem die
Dies steigert die Prozesssicherheit Hard- und Software eine wichtige Rolle, um die Fertigungssysteme sicher
und erhöht die Produktivität der miteinander zu vernetzen und damit Industrie 4.0 zu ermöglichen.
gesamten Fertigungsumgebung.
siemens.de/remote-networks
© Siemens AG 2017
„Die Digitalisierung der industriellen Automatisierungs- „Die neue Management-
plattform für die Produktions-
systeme ist verbunden mit zunehmender Vernetzung,
netzwerke hat unsere
großen Datenmengen und der Verwendung offener Stan- Erwartungen voll erfüllt.
dards, mit der Durchgängigkeit erreicht wird“, beschreibt Neben dem integrierten
Albrecht Salm, Chief Information Security Officer bei der Berechtigungsmanagement
können Key-Plug und Ports
Festo AG. „Die Schattenseite dieser Entwicklung ist die
der Router einfach und
Verwundbarkeit der Systeme gegenüber Cyberangriffen. effizient konfiguriert
Die Netzwerke im Produktionsbereich sind zu Angriffszielen werden.“
geworden; das Vorgehen der Angreifer wird zunehmend
Lucia Tandjung,
aggressiver.“ Projektleiterin der Festo
Global IT
Zuverlässige Abläufe im gesamten Fertigungsnetz
„Wir haben eine Lösung „Wir hatten im Bereich Operational Technology (OT) einen
realisiert, mit der ein Punkt erreicht, wo es darum ging, die Produktionsnetze
sicherer Remote-Zugriff auf sicherer und zentral administrierbar zu machen“, erläutert
Maschinen und Fertigungs-
Lucia Tandjung, Projektleiterin der Festo Global-IT.
anlagen gewährleistet ist.“
Albrecht Salm, „Bis zu diesem Zeitpunkt gab es keinen einheitlichen Fern-
Chief Information Security zugriffsstandard. Erklärtes Ziel war, den Zugriff externer und
Officer bei der Festo AG.
interner Servicemitarbeiter auf die Werkzeugmaschinen
deutlich einzuschränken. Produktionsnetze bilden das
Mit Industrial Remote Access hat die Festo AG ihre Vorstel- Rückgrat unserer Automatisierungsumgebungen.
lung einer gesicherten, vernetzten Produktionsumgebung Wenn ein externer Techniker mit seinem Service-Notebook
umgesetzt. Salm weiter: „Mitarbeiter der Bereiche Global-IT unbeabsichtigt einen Virus ins Netz einschleust, gäbe es
und Instandhaltung haben eine Lösung realisiert, mit der unter Umständen einen „Flächenbrand“ und der Anlagenver-
nicht nur Maschinen und Fertigungsanlagen inklusive bund des gesamten Werks würde lahmgelegt“, gibt die
deren Applikationen miteinander kommunizieren, sondern Festo-Projektleiterin zu bedenken.
auch der gesicherte Internet- und Intranet-Zugriff zum
Beispiel auf die Speicherprogrammierbare Steuerung (SPS) „Schon vor Projektstart waren Office- und Produktionsnetze
der Maschinen gewährleistet ist.“ voneinander getrennt, sodass der Zugang aus der Produk-
Eine große Herausforderung für die Werksinstandhaltung tionsumgebung ins Office-Netzwerk nicht ohne weiteres
sind auch die unterschiedlichsten Netzwerkkomponenten möglich war. Mit dem Aufbau der neuen Technologiefabrik
und Router der Anlagen, die nicht „patchbar“ sind und sich wurde zudem die Segmentierung der Produktionsnetze
für Festo als eine unsichere „Black Box“ darstellen. angegangen“, beschreibt Matthias Hieber, Projektleiter der
Festo-Instandhaltung und verantwortlich für die
Anlagenanbindung.
© Siemens AG 2017
„Das Leistungsportfolio der Hersteller haben individuelle Fernwartungslösungen für ihre
Automatisierungskompo- Werkzeugmaschinen und richten Anlagenteile als Netzwerk-
nenten und des Engineering-
Frameworks bietet die komponenten ein, was Wartungsarbeiten immer komplexer
Möglichkeit, unsere macht. Instandhaltungs-Experte Hieber weiter: „Bis zur Ein-
Aufgabenstellungen optimal führung der neuen Sicherheitsplattform konnten sich die
zu lösen.“
Maschinen eigenständig mit dem Internet verbinden.
Matthias Hieber, Hersteller rüsteten ihre Anlagen mit Mobilfunk-Modems aus,
Projektleiter der Festo- über die sie zum Beispiel anhand von Grenzwerten Alarm-
Instandhaltung und meldungen per SMS oder E-Mail versandten. Aber auch für
verantwortlich für die
jede Anpassung wählten sich die Maschinenhersteller direkt
Anlagenanbindung.
in das Festo-Netzwerk ein. Unsere Instandhalter konnten
nicht remote auf interne Anlagenkomponenten zugreifen
und mussten sich teilweise für SPS-Programmänderungen
und Statusabfragen zunächst beim Hersteller einloggen. Von
dort ging die Verbindung zurück auf die jeweilige Maschine
im Werk.“ Dieses Verfahren war sehr unsicher und veran-
lasste das Projekt-Team dazu, Hersteller zur Neuordnung der
IP-Adressen ihrer Maschinen gemäß Festo-Vorgaben aufzu-
„Im Rahmen eines Sicherheitsaudits der bisher eingesetzten fordern. Diese Lösung war aber in den meisten Fällen nicht
Fernwartungslösungen stellte sich jedoch heraus, dass die umsetzbar. Außerdem konnte das Ändern von IP-Adressen
Trennung beider Netzwerke den hohen Sicherheitsanforde- zum Gewährleistungsverlust der Anlagen führen.
rungen alleine nicht gerecht wurde.“
Beseitigung von IP-Adresskonflikten, Segmentierung der
Daher plante das Projekt-Team zeitgleich eine weitere Fein- Profinet-Teilnehmer
segmentierung, um auch einzelne Fertigungsanlagen oder
einzelne Legacy-Komponenten komplett abzuschotten. „Die Einführung der Siemens-Lösung hat die IP-Adress-
„Die erhöhten Sicherheitsanforderungen verlangten einen konflikte beseitigt“, betont Lucia Tandjung. „Der Einsatz der
gemanagten Zugriffspunkt, der durch die Instandhaltung Managementplattform SINEMA Remote Connect bietet uns,
mit internen und externen User-Rechten gepflegt wird und aber auch den Lieferanten der Maschinen, den Vorteil, dass
nicht durch eine Vielzahl verschiedener Gateways, deren sie ihre IP-Adressen nicht mehr modifizieren müssen.
Zugriffsrechte teilweise unbekannt sind“, schildert Hieber. Sämtliche Anlagenzugriffe laufen nur noch über SINEMA
Remote Connect mit einer zentralen IP-Adresse für den
Zugang von außen.“ Die neue Server-Applikation nimmt
sämtliche Tunnelverbindungen (VPN) an und vermittelt so
zwischen den Client-PCs der externen Servicetechniker und
den Maschinen. Die Kommunikation ist dabei protokoll-
unabhängig, herstellerneutral und IP-basiert. Ein direkter
und unkoordinierter Zugriff auf die Produktionsnetzwerke
wird vermieden.
Mit SINEMA RC Client ist zudem eine Adressbuchfunktion
verfügbar, über die sich Maschinen und Anlagen in der
Technologiefabrik eindeutig identifizieren und für den ge-
sicherten Wartungszugriff auswählen lassen. Die Maschinen
werden vom Anlagenbauer mit unveränderten IP-Adressen
installiert und über die Security Appliance SCALANCE S615
mit dem Netzwerk verbunden. SCALANCE S615 übernimmt
auch die Übersetzung der IP-Adressen (Network Address
Für die Herstellung von Präzisionsbauteilen setzt Festo Fertigungsinseln
Translation, kurz NAT), damit sich zwei verschiedene Netz-
ein. Über SCALANCE S615 sind die Maschinen in das Produktionsnetzwerk werke (intern und extern) über eine Firewall miteinander
eingebunden und gegen unbefugte Zugriffe geschützt. verbinden lassen.
© Siemens AG 2017
Die Maschinen in der Fertigung sind nicht direkt von außen Bei der Kombination der Maschinensteuerungen SIMATIC
erreichbar, da sie durch NAT inklusive Firewall versteckt S7-1500 und der HMI-Panels aus dem SIMATIC-Portfolio mit
sind. Eingehende Datenpakete, die von einem externen Netz dem Engineering-Framework TIA Portal stand die hohe
kommen und an eine externe IP-Adresse der Maschine (Ziel- Effizienz und Flexibilität der Lösung im Vordergrund der Ent-
IP-Adresse) gerichtet sind, werden in SCALANCE S615 durch scheidung. Nach extern werden nur Bildschirm- und Tastatur-
die interne IP-Adresse ersetzt. Nur wenige Profinet-Zellen- daten eines Festo-Instandhalters übertragen, denn der
teilnehmer dürfen mit dem Festo-Office-Netz bzw. Applika- Zugriff auf die Anlagenzelle erfolgt für externe User nur über
tionen über IP kommunizieren. Auch der frühzeitige und teil- einen virtuellen Jump Host-Rechner, wo auch z. B. das TIA
weise notwendige Remote-Zugriff auf Neuanlagen, die sich Portal als Floating-Lizenz zur Parametrierung der Anlagen
noch in der Fertigungsphase beim OEM befinden, kann mit zur Verfügung gestellt wird. Die Remote Session wird auch
den Security Appliances realisiert werden. zur Revisionssicherheit auf Video aufgezeichnet, und die
Projekte werden auf einem Festo-Backup-Server zentral ge-
Als erstes rüsteten die Festo-Instandhalter eine Produktions- sichert. Ein externes Field PG bzw. Notebook ist durch dieses
linie zur Ventilfertigung mit SINEMA Remote Connect aus. zweistufige Fernwartungskonzept von dem Festo-Netzwerk
Die Produktionslinie umfasst eine CNC-Rundtakt-Transfer- entkoppelt.
maschine für das Bohren und Drehen der Werkstücke, eine
Maschine für Hochdruck-Entgraten, einen Handling-Roboter Festo-Projektleiter Hieber: „Das Leistungsportfolio der Auto-
und ein System für die Zu- und Abfuhr der fertigen Werk- matisierungskomponenten und des Engineering Frame-
stücke. Die einzelnen Stationen sind mit den Ports der works bietet die Möglichkeit, unsere Aufgabenstellungen
SCALANCE S Security Appliance verbunden. Die Security optimal zu lösen. Durch die einfache Handhabung kommen
Appliance kommuniziert über einen verschlüsselten VPN- wir sehr schnell zu den gewünschten Ergebnissen“, so der
Tunnel mit der Managementplattform. Am SCALANCE S Technische Projektleiter und OT-Spezialist.
kann im Servicefall über einen Schlüsselschalter der VPN-
Tunnel aktiviert werden, oder der Remote User wird auf der Festo Didactic-Trainings mit SINEMA Remote Connect und
Managementplattform SINEMA Remote Connect temporär SCALANCE-Switches
aktiviert. Ähnlich einem USB-Stick, aber ohne die Gefahr,
Viren einzuschleusen, speichert ein Key-Plug sämtliche Parallel zur Einführung dieser Fernwartungslösung in der
Konfigurationsdaten der Security Appliances, was einen Fertigung bietet die Festo Didactic SE basierend auf den
schnellen und unkomplizierten Gerätetausch während des eingesetzten Produkten SINEMA Remote Connect und
Produktionsbetriebs möglich macht. SCALANCE S615 sowie weiterer Komponenten wie managed
Switches der SCALANCE X-Familie ein Schulungsprogramm
für Festo-Mitarbeiter an. Den Angestellten aus der Instand-
haltung und angrenzenden Berufsfeldern werden dabei
Netzwerk- und IT-Security-Inhalte vermittelt, die zum Ver-
ständnis und zum Betrieb der eingesetzten Lösung benötigt
werden. „Um Festo-Mitarbeitern die sicherheitsrelevanten
Aspekte der Fertigungsumgebung näherzubringen, haben
wir das Training am Beispiel des Einsatzes von SINEMA
Remote Connect und SCALANCE entwickelt“, beschreibt
Dr. Matthias Kabatnik, zuständig für IT-Security-Lern-
lösungen im Global Solution Center bei Festo Didactic.
„Wir informieren über die Notwendigkeit, Office- und Pro-
duktionsnetze zu entkoppeln und sensitive Fertigungslinien
vor ungewollten, externen Zugriffen zu schützen. Wir ver-
mitteln die technischen Kompetenzen, um die Sicherheits-
strategien effektiv umzusetzen. Sobald das Verständnis für
Die Security Appliance SCALANCE S615, die Steuerung SIMATIC S7-1500 die Problematik und die notwendige Kompetenz vorhanden
sowie die Stromversorgung SITOP PSU8200 sind bei Festo im sind, steigt auch die Akzeptanz von Sicherheitsmechanis-
Schaltschrank eingebaute Komponenten. men.“ Zunächst nur für den internen Bedarf vorgesehen,
plant Kabatnik, die Schulungen zum Thema IT-Sicherheit in
Produktionsumgebungen zukünftig auch für externe Kunden
anzubieten.
© Siemens AG 2017
Kompetente Beratung in allen Projektphasen Ohne die neue Managementplattform – darin sind sich die
Projektbeteiligten einig – ließe sich das Festo-Portfolio aus
Lucia Tandjung ist mit dem Projektergebnis sehr zufrieden: IP-fähigen Komponenten und Maschinen nicht effizient
„Die neue Managementplattform für Remote Networks hat administrieren. Es besteht auch nicht mehr die Gefahr, bei
unsere Erwartungen voll erfüllt. Wir haben eine verlässliche Eingabe einer falschen IP-Adresse einen Netzausfall zu ver-
Grundlage für den weiteren Ausbau der Produktionsnetz- ursachen. Der Profinet-Zugriff bietet zudem die Grundlage
werke geschaffen. Die Hard- und Software ist sehr gut für weitere Innovationsprojekte wie Energiedaten-Manage-
durchdacht, die Komponenten sind optimal aufeinander ment oder der Einrichtung eines „predictive Maintenance“-
abgestimmt. Bei anderen Alternativen hätten wir die Appli- Cockpits zum Monitoring von Sensorwerten in einer
kationen selbst entwickeln müssen. Die Bediensoftware ist intelligenten Fabrik.
benutzerfreundlich konzipiert, sodass auch wenig erfahrene
Anwender sie mühelos parametrieren können.“ Tandjung
hebt hervor, dass die SCALANCE-Geräte hutschienentauglich
sind, DC 24 V-Anschlüsse haben und sehr kompakt gebaut
sind, was beim Einbau sehr vorteilhaft ist. „Der Key-Plug
ermöglicht eine einfache und effiziente Vorkonfektionierung
der SCALANCE-Router. Unsere Kollegen vom Prüfmittelbau
liefern so ihre Prüfanlagen betriebsbereit an andere Nieder-
lassungen aus.“
Die Stationen der Produktionslinie sind mit den Ports des SCALANCE S615
verbunden.
Screenshot der benutzerfreundlichen Oberfläche von SINEMA RC Client
Zusammenfassung
Die Einführung der Managementplattform ließ sich laut Aus- Gesicherter Internet-/Intranetzugang mit und ohne
sage der Festo-Projektleiterin planmäßig umsetzen, was die virtuellen Jump Host:
Leistungsfähigkeit der Siemens-Lösung beweist. Lucia
Tandjung fasst zusammen: „Wir haben die vier Anlagen mit ◾ Direkter oder nur indirekter Zugang der Instand-
dem SCALANCE S615 ins Produktionsnetzwerk eingebun- halter über Field PG/Notebook (IEC62443)
den, ansonsten waren keine zusätzlichen Schritte erforder- ◾ Akzeptieren der IT-Remote Access AGBs mit
lich. Wir erhielten in allen Projektphasen sehr kompetente SINEMA Remote Connect
Beratung durch die Siemens-Mitarbeiter.“ ◾ Zentrale Vergabe der User-Rechte mit SINEMA
Remote Connect
Die Managementplattform war zunächst nur für das Werk ◾ Keine IP-Adresskonflikte oder doppelte Adressen
Scharnhausen geplant. Nun prüft die IT-Leitung, ob sich das mit NAT (Vorteil bei Serienmaschinen)
Konzept auch für andere Standorte übernehmen lässt. ◾ Kein Gewährleistungsverlust, da keine IP-Adressen
„Was die neue Lösung für die Werksinstandhaltung interes- verändert werden
sant macht, ist der geringe Zeitaufwand für die Anbindung ◾ Einfache Zellensegmentierung mit NAT, Firewall,
einer neuen Anlage, der sich „von zwei Wochen auf einen VLANs und IPsec
halben Tag verkürzt hat“, berichtet Hieber stolz. „Mit dem ◾ Zeitersparnis durch Remote-Zugriff der OEMs,
SINEMA RC Client lassen sich die einzelnen Ports einfach bevor die Anlage angeliefert wird
individuell konfigurieren. „So konnten wir in der Technologie- ◾ Gateway mit „DHCP Service Dose“, um IP-Adress-
fabrik Scharnhausen mit SINEMA Remote Connect sämtliche konflikte zu vermeiden
Use Cases umsetzen.“
© Siemens AG 2017
Festo Didactic Dr. Matthias Kabatnik, verantwortlich
für Lernlösungen zum Themenbereich
Der ständig zunehmende Vernetzungs-
IT-Security bei Festo Didactic, ent-
grad der Fertigung und die damit
wickelt das Trainingsprogramm:
einhergehenden steigenden Anforde-
„Bei der Gestaltung dieses Trainings-
rungen an den Schutz der Infrastruktur
angebots haben wir großen Wert auf
vor Ausspähung und Manipulation
eine enge Verzahnung von theoreti-
erzeugen auch einen Bedarf an zusätz-
schen und praktischen Bestandteilen
lichen Kompetenzen bei den Verant-
gelegt. Um eine möglichst hohe Akzep-
wortlichen in der Fertigung. Festo setzt
tanz der Inhalte und einen guten
hierbei auf die Dienstleistungen des
Lernerfolg zu erzielen, werden die
Schwesterunternehmens Festo
Trainingsbeispiele eng mit dem Projekt-
Didactic, dem weltweit führenden Aus-
team abgestimmt. Auf diese Weise ent-
rüster im Bereich der technischen
sprechen viele Szenarien konkreten
Bildung. Festo Didactic entwirft und
Umsetzungsanforderungen aus dem
implementiert Bildungslösungen, die
Projekt und wir erreichen eine sehr
Menschen systematisch auf das Arbei-
hohe Praxisnähe.“
ten in dynamischen und komplexen
Umgebungen vorbereiten. Ziel ist dabei
Das Trainingsprogramm beinhaltet
die Maximierung von Lernerfolgen in
Ethernet-Kommunikation, geroutete
Schulen und Lernzentren und die nach-
Netzwerke, VLAN-Konzepte und
haltige Kompetenzentwicklung in
Sicherheitsmechanismen zur Authenti-
Industrieunternehmen.
fizierung und zum Aufbau von VPN-
Verbindungen, wie sie im Rahmen der
Parallel zur Einführung der vorgestell-
Fernwartungslösung eingesetzt
ten Fernwartungslösung in der Ferti-
werden. Kabatnik betont, dass neben
gung von Festo wird auf der Basis der
Securityhinweise der Vermittlung technischer Grund-
eingesetzten Produkte SINEMA Remote
lagen auch ein Verständnis für die
Um Anlagen, Systeme, Maschinen und Netzwerke Connect und SCALANCE S615 sowie
gegen Cyber-Bedrohungen zu sichern, ist es erfor- organisatorischen Bestandteile einer
weiterer Komponenten wie managed
derlich, ein ganzheitliches Industrial Security-Kon- Fernwartungslösung als Lernziel
zept zu implementieren (und kontinuierlich auf- Switches der SCALANCE X-Familie ein
wichtig ist, da der sichere Betrieb einer
rechtzuerhalten), das dem aktuellen Stand der Schulungsprogramm für Mitarbeiter
Technik entspricht. Die Produkte und Lösungen von Anlage immer als gesamtheitlicher Pro-
von Festo angeboten. Den Mitarbeitern
Siemens formen nur einen Bestandteil eines sol- zess betrachtet werden muss. Nur
chen Konzepts. Weitergehende Informationen über aus der Instandhaltung und angrenzen-
dieses Verständnis führt letztlich zur
Industrial Security finden Sie unter den Berufsfeldern werden dabei Netz-
http://www.siemens.com/industrialsecurity Akzeptanz von Schutzmechanismen
werk- und IT-Security-Inhalte vermit-
und damit zu deren korrekter Um-
telt, die zum Verständnis und zum
setzung. Das zunächst für die interne
Siemens AG Betrieb der eingesetzten Lösung
Process Industries and Drives Qualifizierung bei Festo entwickelte
benötigt werden.
Process Automation Trainingsprogramm soll voraussichtlich
Postfach 48 48
90026 Nürnberg
im Jahr 2018 auch Kunden angeboten
Deutschland werden.
© Siemens AG 2017
Änderungen vorbehalten
PDF
Referenz
FAV-268-2017-PD-PA
BR 1217 / 6 De
Produced in Germany
Die Informationen in dieser Broschüre enthalten
lediglich allgemeine Beschreibungen bzw.
Leistungsmerkmale, welche im konkreten
Anwendungsfall nicht immer in der beschriebenen
Form zutreffen bzw. welche sich durch Weiterent-
wicklung der Produkte ändern können.
Die gewünschten Leistungsmerkmale sind nur
dann verbindlich, wenn sie bei Vertragsschluss
ausdrücklich vereinbart werden. Liefermöglich-
keiten und technische Änderungen vorbehalten.
Alle Erzeugnisbezeichnungen können Marken oder
Erzeugnisnamen der Siemens AG oder anderer,
zuliefernder Unternehmen sein, deren Benutzung
durch Dritte für deren Zwecke die Rechte der
Inhaber verletzen kann.
siemens.de/remote-networks
Sie können auch lesen
