Produktionsdaten sicher in der Cloud

IIoT-Daten per Gateway verschlüsseln

Verschlüsselung ist noch immer ein solides Fundament, um die ausgehenden Daten einer Industrial-Internet-of-Things-Applikation (IIoT) vor ungewolltem Zugriff zu schützen. Aktuelle Gateways bringen Funktionen mit, diese Verschlüsselung recht komfortabel und automatisch umzusetzen.
Bild: ©jijomathai/stock.adobe.com

Wo früher die Produktion noch als Insel innerhalb der Unternehmen zu verstehen war, sind viele Fertigungsmaschinen heute an das Internet angebunden. Somit sind sie theoretisch von jedem Punkt der Erde erreichbar. Das bietet Vorteile, andererseits müssen Unternehmer ihre Fertigung nun nicht mehr nur gegen physische Schäden absichern.

Nicht nur im Perimeter sichern

Hier denken viele – abgesehen vom physischen Schutz des Gebäudes – an die unmittelbare Absicherung des Perimeters, über Firewalls, aber auch über die Absicherung von Nutzerkonten. Alle diese Maßnahmen haben ihre Berechtigung. Nur wird oft übersehen, dass auch ohne ein Eindringen von Cyberkriminellen in die eigene Unternehmens-IT ein beträchtliches Risiko besteht, wenn etwa externe Cloud-Dienstleister mit der Produktions-IT verbunden sind.

Ausspähen und Missbrauch

Aus der Auswertung von Daten, die bei der Herstellung anfallen, könnten Wettbewerber Rückschlüsse auf die Fertigungsergebnisse ziehen. Es besteht also das Risiko der Ausspähung – das wäre ein aktiver Prozess von Cyberkriminellen. Das Datenleck könnte aber auch unbeabsichtigt durch nicht ausreichend abgesicherte Systeme seitens des Cloud-Anbieters entstehen. Allerdings können Informationen nicht nur auf der Seite des Service-Providers abhandenkommen, sondern schon auf dem Weg dorthin, indem die Datenübertragung abgegriffen wird. Daneben kann das werkseigene Industrial Internet of Things (IIoT) auch von Angreifern missbraucht werden, um Bitcoins zu schürfen oder eine Distributed-Denial-of-Service-Attacke (DDoS-Attacke) auf ein anderes Unternehmen auszuführen. Dabei werden IoT-Devices gekapert und als Angriffsplattform verwendet. Durch die Generierung und Anonymisierung von Log-File-Daten für Maschinen kann ein entsprechender Schutz erreicht werden. Deep-Learning-Ansätze helfen außerdem bei der Suche nach anormalem Verhalten.

Sabotage

Ein zweites Bedrohungsszenario ist, wenn Produktionsdaten nicht nur ausgelesen, sondern manipuliert werden. Dieses Risiko der Sabotage ist ernst zu nehmen. Allein im Jahr 2019 waren nach der Bitkom-Studie ‚Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie‘ 28 Prozent der befragten Industrieunternehmen Opfer digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Falsche Werte, die aus abgeschlossenen Produktionsschritten in die nächste Etappe geliefert werden, können nicht nur die gefertigten Produkte beeinträchtigen, sondern auch die Produktionslinie selbst schädigen. Ein Cloud-Service ist meist mit einer Black Box vergleichbar – was in ihm geschieht, entzieht sich den Blicken des Anwenders. Der Dienstleister verfügt in aller Regel über Rechte, sich auch Einblick in die gespeicherten Daten zu verschaffen. Einige schließen dies kategorisch aus – technisch machbar ist es dennoch. Wie können sich produzierende Unternehmen also gegen die Risiken des Datenverlusts absichern?

Ohne Verschlüsselung keine Sicherheit

Das Fundament zur Absicherung von in der Cloud gespeicherten Daten ist ihre wirksame Verschlüsselung. Selbst wenn Daten gestohlen werden, kann man mit der richtigen Verschlüsselung verhindern, dass Angreifer die gestohlenen Daten nutzen können. Obwohl diese Methode eine sehr gute Absicherung von vertraulichen Daten darstellt, wird sie in der Praxis manchmal ungenügend umgesetzt. Denn eine Sicherheitsstrategie, die besonders auf Verschlüsselung baut, muss diesen Prozess so flüssig und integriert wie möglich gestalten. Sind die Sicherheitsmaßnahmen zu kompliziert, werden sie womöglich nicht durchgeführt. Und was für den Umgang mit sensiblen Daten in einer klassischen Arbeitsumgebung zutrifft, gilt besonders für das Internet of Things in der Produktion. Hier halten manuelle Zwischenschritte den Informationsfluss auf – daher sollte die Verschlüsselung automatisiert geschehen.

Integriert und automatisiert

Ein vielversprechender Ansatz ist, die Verschlüsselung im Hintergrund ablaufen zu lassen, direkt bevor die Daten die Produktionsstätte verlassen. Hierzu verschlüsselt und tokenisiert ein Gateway die anfallenden Daten in Echtzeit, bevor sie in der Cloud weiterverarbeitet werden. Der Benutzer bzw. die Devices bemerken dabei keinen Unterschied. Wahlweise können einzelne, weniger sensible Daten im Klartext bleiben. Das kann interessant sein, wenn es sich um viele Einzeldaten handelt, die von dritter Seite nicht zugeordnet werden können und ihre Verschlüsselung zu viel Rechenkapazität verbrauchen würde, oder wenn es sich um Nutzdaten handelt, welche in der Cloud für Kalkulationen verarbeitet werden müssen. Das System kontrolliert außerdem, nach welchen Parametern Ersatzwerte erstellt werden.

Vendor Lock-In vermeiden

Produktionsverantwortliche sollten darauf achten, dabei ihre Unabhängigkeit sowohl vom Hersteller der Gateways als auch vom Cloud-Dienstleister zu wahren und Templates vollkommen eigenständig ändern zu können. Selbstverständlich ist es notwendig, dass Verschlüsselungs-Gateways sehr flexibel sind und sich an die Schnittstellen der eigenen Produktionsumgebung anpassen lassen. Nicht zuletzt muss bei der Auswahl eines Verschlüsselungs-Gateways darauf geachtet werden, dass bestehende Workflows weder von der Einführung der Lösung noch im laufenden Betrieb gestört werden. Ein Gateway sollte außerdem keine Client- und Serveranpassung erfordern, sondern als Proxy auf Netzwerkebene fungieren. Die Anpassung der IoT-Geräte sollte auf jeden Fall vermieden werden. Außerdem ist die ständige Überprüfbarkeit der von ihm gebotenen Sicherheit quasi obligatorisch. Für die Flexibilität der Datendefinition ist ferner ein Template-Konzept ratsam. Die Auswahl der Daten, die zu verschlüsseln, pseudonymisieren, anonymisieren oder im Klartext belassen werden können, muss von der Software definiert werden können. Ebenso ist darauf zu achten, dass das System auch bei schnell wechselnder Datenlast gut skaliert. Nicht zuletzt sollte das Deployment in beliebigen virtuellen Umgebungen möglich sein. Die Integration des Gateways kann nahe an der Produktionsstätte stattfinden. Dies hat den Vorteil, dass nur der Inhaber der Daten Zugriff auf den Klartext-Inhalt besitzt.

Zeit zu handeln

Da im Produktionsumfeld viele Digitalisierungsprojekte geplant sind, sollten sich Entscheider bereits jetzt mit der Frage der effizienten Verschlüsselung sensibler Daten befassen. Die Zeit der Anbindung von Produktionsanlagen über Festnetznummern, die durch den Telekommunikationsdienstleister abgesichert wurde, sind jedenfalls vorbei.

Das könnte Sie auch Interessieren

Bild: P.E. Schall GmbH & Co. KG
Bild: P.E. Schall GmbH & Co. KG
Doppeltes Jubiläum

Doppeltes Jubiläum

Sindelfingen, Sinsheim, Stuttgart – die Motek hat in ihren 40 Jahren Messegeschichte schon einige Stationen durchlaufen. Die Geschäftsführerin des Messeveranstalters P.E. Schall, Bettina Schall, berichtet im Interview mit dem SPS-MAGAZIN über den Charakter der Messe, Erfolge und Herausforderungen für einen Messeveranstalter in der Automatisierungsbranche und aktuelle Technologietrends. Außerdem gibt es neben 40 Jahren Motek noch ein weiteres Jubiläum zu feiern: 60 Jahre Schall-Messen.

Bild: TeDo Verlag GmbH
Bild: TeDo Verlag GmbH
„Alle sind am Start“

„Alle sind am Start“

Im Rahmen einer Pressekonferenz hat der Veranstalter Mesago Details zur SPS-Messe 2022 bekannt gegeben, die vom 8. bis 10. November stattfindet. Nach zwei Jahren, in denen die Fachmesse pandemiebedingt ausfiel, sollen dieses Jahr in Nürnberg wieder die neuesten Produkte und Lösungen für die industrielle Automation zu sehen sein.

Bild: TeDo Verlag GmbH
Bild: TeDo Verlag GmbH
Welcome to 
Open Webinar World

Welcome to Open Webinar World

Mit Open Webinar World hat der TeDo Verlag jetzt eine neue Plattform für seine TechTalks gelauncht. Webinar-Teilnehmer profitieren von zahlreichen Vorteilen und können das breite Themenangebot zukünftig noch komfortabler nutzen. Anmeldung und die Teilnahme an den Automation TechTalks bleiben natürlich weiterhin kostenlos.

Bild: Pepperl+Fuchs SE
Bild: Pepperl+Fuchs SE
Schlüsselfertige Vision-Lösungen

Schlüsselfertige Vision-Lösungen

Pepperl+Fuchs bietet neben einem umfangreichen Vision-Produktportfolio nun auch Lösungsunterstützung für seine Kunden. Der 2022 neu gegründete Geschäftsbereich Factory Solutions konzentriert sich auf genau diese schlüsselfertigen Lösungen. Das Leistungsangebot beinhaltet die IIoT-gerechte Digitalisierung von Anlagen und
Prozessen (Neoception), die Projektierung und Realisierung von kompletten Bildverarbeitungs- und Robot-Vision-Lösungen (VMT Bildverarbeitungssysteme), sowie Gesamtautomatisierungslösungen (Polyplan).

Bild: MVV
Bild: MVV
Oberschwingungen im Griff

Oberschwingungen im Griff

Als Reaktion auf den fortschreitenden Klimawandel sind die Versorgungsunternehmen in Deutschland dazu angehalten, auf CO2-neutrale Energien umzustellen. Für die in Bau befindliche Fernwärme-Besicherungsanlage Rheinufer Neckarau liefert Bilfinger die Elektro- und Leittechnik zur Einspeisung der gewonnenen Wärme. Schrankumrichter der Baureihe ACS880-37 von ABB tragen dazu bei, dass das Stromnetz nicht mit Netzoberschwingungen belastet wird.

Bild: ©Bet_Noire/istockphoto.com
Bild: ©Bet_Noire/istockphoto.com
Störungsfreier 
Materialfluss

Störungsfreier Materialfluss

Puffer- und Staustrecken sorgen in stationären Materialflussanlagen für ausreichend Flexibilität und Effizienz. Mit Zero Pressure Accumulation über AS-Interface und einer intuitiv bedienbaren Software von Bihl+Wiedemann lässt sich die Einrichtung solcher Strecken vereinfachen. Und zwar unabhängig von den verwendeten Antrieben, ohne komplizierte SPS-Programmierung und beliebig skalierbar – von der einfachen geraden Förderstrecke über Systeme mit mehreren Ein- und Ausschleusepunkten bis hin zu autarken Lösungen mit Safety.