Web

Hannover Messe: Roboter mit SAP-Anschluss

17.04.2007

Allerdings steigen mit der Vernetzung der Office- und Fertigungsbereiche auch die Sicherheitsanforderungen: Hacker und Viren könnten prinzipiell auch im Maschinenpark ihr Unwesen treiben, denn auch auf den mit Netzzugängen ausgestatteten Anlagen laufen Computer mit Betriebssystemen wie DOS und Windows. Anders als bei PCs im Büro kann dort aber nicht eben mal ein Patch eingespielt werden. Der Grund: Aus vertraglichen Gründen darf in der Regel nur der Leasing-Geber oder ein Wartungstechniker des Maschinenherstellers Software verändern. Zudem arbeiten zahlreiche Produktionssysteme noch mit alten Systemsoftware-Releases wie etwa Windows 95, die bekanntlich zahlreiche Sicherheitslücken aufweisen. Noch größer ist indes die Gefahr, dass Service-Techniker vor Ort oder über eine Remote-Verbindung durch Bedienfehler Schaden anrichten. So wundert es nicht, dass so manches Industrieunternehmen dankend abwinkt, wenn Anbieter sie für eine komplette Vernetzung ihrer Office- und Industriebereiche begeistern wollen.

Dies hat Sicherheitsspezialisten auf den Plan gerufen. Sie bieten zum Beispiel "gehärtete" Firewall-Appliances an, die auch in staubigen, heißen Umgebungen genutzt werden können. "Allein schon wegen der Fernwartung von Maschinen durch den Hersteller ist eine Abschottung der Maschine empfehlenswert", erläutert Wolfgang Blome von der Unternehmensberatung Blome + Partner aus Bonn. Für Fertigungsumgebungen hat beispielsweise Enterasys einen Ethernet-Switch ("I-Series Industrial Switch") entwickelt, der eine Authentisierung pro Port zulässt. Damit ist es möglich, auf einem Netzanschluss nur eine bestimmte Anlage beziehungsweise Person zuzulassen. Zudem lässt sich festlegen, welche Protokolle über den Port möglich sind und zu welchen IP-Adressen Verbindungen aufgebaut werden dürfen.

Um Remote-Zugriffe von Wartungsfirmen abzusichern, liefert Innominate eine spezielle Firewall ("Mguard") für das Maschinenumfeld. Der Druckmaschinenhersteller König und Bauer stattet seine Erzeugnisse mit Komponenten für den externen Wartungszugriff aus, die vorkonfigurierte Firewall-Module von Innominate beinhalten. Zugreifen kann der Maschinenexperte nur, wenn der Druckmaschinenbetreiber die VPN-Verbindung aus seiner Umgebung heraus eröffnet. Nach Angaben des Firewall-Spezialisten nimmt die Aufmerksamkeit für solche Konzepte zu. In Hannover zeigte Innominate eine neue Firewall-Firmware, die Authentifizierungsverfahren über Public-Key-Infrastrukturen (PKI), X.509-Zertifikate und RSA-Schlüssel vereinfacht. Eine in der Verwaltungssoftware "Innominate Device Manager" eingebettete Certificate Authority soll das Verteilen von Schlüsseln an die Geräte vereinfachen. Bisher mussten Zertifikate manuell installiert werden. (fn)