atvise® und Security

Matrix2

22.07.2016

Security im Bereich Industrie ist spätestens seit Anlagen im Iran mittels Stuxnet stillgelegt worden sind, in den Fokus der Anwender und Betreiber gerückt. Durch den nun verstärkten Einzug von IT relevanten Themen in die Industrie, um Anlagen transparenter und zugänglicher zu machen, hat das Thema Security eine weitere, umfassendere Dimension erhalten. Da atvise ein Teil dieser globalen Veränderung ist und im Bereich HMI und SCADA eine Vorreiterrolle - mit all seinen Herausforderungen - eingenommen hat, möchten wir hier das Thema Security aus der Sicht der Visulisierung objektiv betrachten.

Mögliche Bedrohungen für Anlagen können einfacher Natur sein, bei der kein oder nur geringer Schaden entstehen kann. Aber in Abhängigkeit wie systemkritisch eine Anlage ist, müssen auch ernste, kriminelle Hintergründe ins Kalkül einbezogen und bewertet werden. Basierend auf einer umfassenden Analyse kann das Gefahrenpotenzial aufgezeigt und der entsprechende Aufwand, mit dem man zu Werke geht, definiert werden. Dies kann auf mehreren Ebenen geschehen.

Auf der HMI/SCADA-Ebene einer Anlage bietet atvise scada standardmäßig Basisabsicherungen/Sicherheitsmechanismen wie https, Protected Calls, Benutzerberechtigungen, Login-Mechanismen wie DIGEST/NTML, etc. an. Diese sollten in jedem Fall in Anwendung gebracht werden, um die Gefahr einer nicht autorisierten Verwendung von atvise – und somit der Anlage - bestmöglich einzuschränken. Wenn nicht, wäre dies vergleichbar, in einem unversperrtem Fahrzeug den Schlüssel stecken zu lassen - tut man nicht. Weitere Mechanismen für die Absicherung einer gesamten Infrastruktur sind auch auf der Betriebssystem-Ebene zu finden. Hierfür gibt es unsererseits für Anwender und Betreiber Anleitungen in der atvise Dokumentation sowie ein „Best Practice“ Security Dokument.

Andererseits ist es absolut empfehlenswert, IT-technische Strukturen aufzusetzen, die mit den üblichen Werkzeugen wie einer Firewall sowie einem VPN Zugang die meisten Infrastruktur bedingten Probleme abfangen. Sollte all das seitens des Betreibers nicht ausreichen, beziehungsweise ein Maximum an Security erwünscht sein, können weitere spezielle Applikationen zum Einsatz gebracht werden, wie zum Beispiel „IRMA“, ein Industrie-Computersystem zur Identifikation und Abwehr von Cyberangriffen in Produktionsnetzwerken.

Zusammenfassend kann man sagen, das bei einem so einfach zu betreibenden, trotzdem vollständig frei anpassbaren System wie atvise und den damit verbundenen unendlichen applikatorischen Möglichkeiten, in Bezug auf Security immer die Mitarbeit der Anlagenbetreiber bzw. Anlagenersteller erfordert und vom Hersteller oft nicht beeinflusst werden kann. Grundsätzlich gilt, das nach aktivieren der eingebauten Sicherheitsfeatures eine Vielzahl von Gefahren beim Zugriff über das Internet ausgeschlossen werden können.

Wir verfolgen das Thema Security sehr genau, speziell auch die neue Gesetzgebung in Deutschland und dem damit verbundenen Standard IEC 62443, Abschnitt 4. Security ist ein in der atvise Roadmap fix verankerter Punkt und Informationen dahingehend erfolgen laufend.