Im Zentrum der Digitalisierung, des Zukunftsprojekts Industrie 4.0 und des Internet of Things (IoT) steht die komplett vernetzte Maschine. Doch wie lässt sich der Zugriff der Nutzer auf solch eine hochkommunikative Anwendung sicher gestalten?

In der Vergangenheit hat sich der Schutz des Maschinennetzwerks vor Malware und Schadhandlungen als einfach erwiesen: Es wurde als lokale Insel betrieben, zu der lediglich ein begrenzter Personenkreis – meist Service-Techniker – direkt vor Ort oder per Fernwartung Zugang benötigte. Im Gegensatz dazu können heute viele Menschen auf die vernetzte Maschine zugreifen, weshalb hier neue, sichere Zugriffskonzepte erforderlich sind. Am Beispiel eines WLAN-Zugangs zum Maschinennetzwerk zur Kommunikation mit Smart Devices lassen sich die Herausforderungen und deren Lösung darstellen.

Herkömmlicherweise war das Netzwerk bisher dadurch abgesichert, dass es als lokale Netzwerkinsel arbeitete, auf die man – wenn überhaupt – nur vor Ort im Schaltschrank über einen offenen Ethernet-Port zugreifen konnte. Daher boten einfache mechanische Schutzeinrichtungen wie das Abschließen des Schaltschranks häufig die notwendige Sicherheit. Doch mit der zunehmenden Vernetzung und der Integration weiterer Schnittstellen für einen externen Zugang – zum Beispiel über Wireless LAN – öffnet sich das Netzwerk auch für den entfernten Zugriff. Der Anwender muss also nicht mehr unmittelbar einen mechanischen Zugang zur Maschine haben, sondern kann unbemerkt sowie bei genügender Reichweite sogar von außerhalb des Unternehmensgeländes in das Maschinennetzwerk eindringen. Befinden sich dort Safety-Systeme oder ist das Maschinennetz ungeschützt mit dem Produktionsnetzwerk verbunden, birgt das unkalkulierbare Gefahren für den Maschinenbediener und -betreiber. Daher muss man neue Sicherheitsmaßnahmen im Netzwerk umsetzen.

Neue Passwortvergabe nach jedem vorübergehenden Netzwerkzugang

Die meisten Netzwerkgeräte erlauben einen Zugriffsschutz, indem sich der Nutzer über ein gemeinsames Gerätepasswort authentifiziert. An sich stellt ein solch sicheres Passwort eine hohe Abwehr von unerlaubten Schadhandlungen zur Verfügung. Allerdings führen die Generierung eines entsprechenden Passworts sowie dessen sichere Dokumentation für den Maschinenbediener zu einem großen Aufwand. Da die Nutzer oftmals davon ausgehen, dass der Zugang zum Netzwerk mechanisch geschützt ist, fehlt ihnen oft das Problembewusstsein. Dies zeigt sich darin, dass die Netzwerkgeräte meist lediglich über das herstellerseitige oder ein einfaches Default-Passwort geschützt sind. Diese Aussage trifft oft ebenfalls für das WLAN-Passwort (WPA-PSK) zu, welches den Zugriff über den Access Point auf das Maschinennetzwerk absichert. Wer die Passwörter kennt oder weiß, wo sie abgespeichert sind, hat somit freien Zugang zu allen Geräten im Netzwerk.

WPA-PSK genügt zwar, um den Datenverkehr in Funknetzen sicher zu verschlüsseln. Doch mag sich ein Passwort für sämtliche Nutzer von Heimnetzwerken eignen, schützt das Verfahren in Maschinennetzen mit einer Vielzahl häufig wechselnder Nutzer nicht vor unbefugten Zugriffen. Denn durch die ständige Weitergabe ist das geheime Passwort schnell allgemein bekannt. Spätestens dann, wenn einem Nutzer oder Tablet-PC nur vorübergehend Zugang zum Netzwerk eingeräumt wurde, muss der Administrator das Passwort erneuern, weil sowohl Nutzer als auch Tablet-PC die Zugangsdaten kennen. Smart Devices merken sich diese zudem und verbinden sich automatisch mit dem Netzwerk, sobald sie in Reichweite sind.

In einem IT-Netzwerk weist der Administrator den Nutzern hingegen individuelle Passwörter zentral zu. Anschließend verteilt ein (Radius-)Server diese an die Netzwerkgeräte. Ändern sich die Zugriffsrechte eines Nutzers, passt der Administrator dies im zentralen Server an. Die IT-Netzwerke nutzen für das WLAN daher statt WPA-PSK den Security-Mode WPA Enterprise. Bei diesem Verfahren handelt der Access Point die Verbindungsanfragen der Clients über das Protokoll IEEE 802.1X mit einem nachgelagerten Radius-Server aus. Maschinennetze werden nicht von Netzwerkadministratoren betreut. Die einmal eingerichteten Nutzerrechte und Passwörter bleiben deshalb in der Regel über die gesamte Einsatzdauer der Maschine unverändert gültig. Vor diesem Hintergrund stellt die Implementierung von IT-Diensten – wie die Integration eines Radius-Servers in die Maschine – ebenfalls keine Lösung dar, da sie kein Administrator pflegt.

Durch die SPS lassen sich automatisiert virtuelle WLANs aktivieren, die mit einem Einmal-Kennwort gesichert sind. Bild: Phoenix Contact

Die geschilderte Herausforderung lässt sich umgehen, indem die Maschinensteuerung die Netzwerkadministration automatisiert und übernimmt. Ein solcher Ansatz ermöglicht dem Maschinenbauer darüber hinaus die volle Kontrolle und Flexibilität bei der Umsetzung. Wichtige Voraussetzung ist jedoch, dass das Netzwerkgerät – in diesem Fall der WLAN Access Point – eine Schnittstelle umfasst, über welche es die Maschinensteuerung zur Laufzeit steuern kann. Daher hat Phoenix Contact ein Web-API in seine speziell für den Maschinenbau entwickelten Netzwerkkomponenten eingebaut. Einzelne Funktionen der Netzwerkgeräte lassen sich durch das Versenden von HTTP-GET-Nachrichten zur Laufzeit steuern. Ferner lässt sich das komplette Modul durch die Maschinensteuerung konfigurieren. Die Syntax der Kommandos entspricht dabei der des Standard-CLIs (Command Line Interface). Die neuen Switches der Produktfamilie FL Switch 2000 sowie der WLAN Access Point der Baureihe WLAN 1100 von Phoenix Connect verfügen über eine entsprechende Schnittstelle.

Individuelle Einschränkung des Gerätezugriffs

Der Nutzer, der sich mit dem Maschinennetzwerk verbinden möchte, meldet seinen Zugangswunsch über ein Terminal an. Die Steuerung generiert daraufhin ein zufälliges Einmalpasswort. Anschließend konfiguriert und aktiviert sie einen virtuellen Access Point im WLAN 1100 per HTTP-GET-Nachricht. Das Einmalpasswort zum neuen WLAN wird dem Nutzer danach über das Bedienen-und-Beobachten-Terminal mitgeteilt. Als komfortablere Möglichkeit erweist sich die Ausgabe als QR-Code, der sich mit der Kamera des Tablet-PCs einlesen lässt und dadurch automatisch die WLAN-Verbindung einrichtet. Benötigt der Nutzer die Verbindung nicht mehr, deaktiviert die Steuerung den virtuellen Access Point. Die Kenntnis des WLAN-Passworts sowie die automatische Speicherung im Tablet-PC zeigen sich zukünftig also nicht mehr als Sicherheitsrisiko, weil man beim nächsten Verbindungsaufbau ein neues Einmalpasswort erstellt und verwendet.

Der WLAN 1100 bietet weitere Möglichkeiten für einen sicheren Zugang zum Maschinennetzwerk. So lassen sich gleichzeitig bis zu zwei virtuelle Access Points mit individuellen WLAN-Sicherheitseinstellungen aufbauen. Neben einem einzigartigen WLAN-Passwort kann der Maschinenbetreiber die Anzahl der gleichzeitigen Verbindungen für jeden Zugang begrenzen sowie den Zugriff auf im Netzwerk installierte Geräte durch einen konfigurierbaren IP-Filter einschränken. Auf diese Weise stellt er zum Beispiel einen vollständigen Netzwerkzugang für den Service-Techniker und gleichzeitig einen Zugriff für den Maschinenbediener bereit, der lediglich Einsicht in den Visualisierungs-Server nehmen darf. Darüber hinaus vergibt ein Port-basierter DHCP-Server individuelle und unabhängige IP-Adressen für jeden virtuellen Access Point an die WLAN-Clients.

Einfache Steuerung der Netzwerkkomponenten

Durch die zunehmende Vernetzung der Maschinen steigt auch die Anzahl der Nutzer. Zu diesem Zweck ist ein Sicherheitskonzept für die Vergabe von Nutzerrechten und für das Passwort-Management erforderlich. Im Gegensatz zu IT-Netzwerken kann die Maschinensteuerung die Administration der Passwörter und Nutzerrechte im Netzwerk automatisiert übernehmen. Allerdings müssen sich die Netzwerkkomponenten zur Laufzeit aus der Maschinensteuerung über eine einfache Schnittstelle steuern lassen.

Jürgen Weczerek ist Manager im Produktmarketing Network Technology bei Phoenix Contact Electronics ().