3. VDMA-Technik-Benchmark
3. VDMA-Technik-Benchmark. Zum dritten Mal veranstaltete der Verband Deutscher Maschinen- und Anlagenbau den „VDMA-Technik-Benchmark“. Am Beispiel einer Produktionsstätte – diesmal...
3. VDMA-Technik-Benchmark. Zum dritten Mal veranstaltete der Verband Deutscher Maschinen- und Anlagenbau den „VDMA-Technik-Benchmark“. Am Beispiel einer Produktionsstätte – diesmal eine Spanplattenanlage – wurden sechs IT-Konzepte für Automatisierungsnetzwerke vorgestellt. Dr. Peter Wratil, der Moderator der Veranstaltung in Frankfurt am Main, berichtet.
Schon die Einladung machte es deutlich: „Security“ und nicht „Safety“ war das Thema dieses VDMA-Technik-Benchmarks. Der Unterschied zwischen den beiden sicherheitstechnischen Basisbegriffen wurde gleich zu Beginn geklärt: „Safety“ umfasst Techniken, die den Menschen, die Umwelt und die Maschinen schützen sollen. „Security“ kümmert sich dagegen um Zugriffsrechte, Manipulation und nicht zuletzt um Verfügbarkeit bei Netzwerken und Anlagen.
Wie letzteres in einem Automatisierungsnetzwerk sichergestellt werden kann, war die Aufgabe, die die eingeladenen Hersteller zu lösen hatten. Dies sollte einen Beitrag dazu leisten, so Birgit Sellmaier vom VDMA-Fachverband Elektrische Automation, „dass sich Automatisierer und IT-Leute in Zukunft besser verstehen“.
Die Aufgabe: IT-Sicherheit im Regenwald
Ulf Könekamp von Dieffenbacher und Matthias Dehof von Dehof Ingenieur und Technik führten zunächst sehr anschaulich in die Materie ein. Sie stellten die IT-Sicherheit beim Ausbau der Steuerungstechnik einer Anlage zur Spanplattenfertigung zur Diskussion, die die Firma Dieffenbacher in einem Regenwaldgebiet aufgebaut hat. Wie bei allen modernen Produktionseinrichtungen erfolgt hier die gesamte Planung, Steuerung und Ablaufsverwaltung über vernetzte Rechner.
Eine laufende Anpassung an die Produktionsgegebenheiten führt zu umfangreichen Umbauten und Erweiterungen aller vorhandenen Rechnerstrukturen. Die bereits installierten Netzwerke müssen sich flexibel allen Veränderungen anpassen, ohne dass bestehende Strukturen auch nur kurzzeitig ausfallen. Die eingeladenen Hersteller (Phoenix Contact, Innominate, Inat, Rockwell, Wonderware, Siemens, SAP und Cisco) stellten anhand dieses Beispiels ihre Konzepte vor.
Zu erreichen war die Erhaltung der Verfügbarkeit und der Datensicherheit unter folgenden Bedingungen:
- Umbau der Netzwerkstruktur
- Ferndiagnose während aller Umbauphasen
- Abschätzung der Risiken
- Klärung der organisatorischen Maßnahmen
- Gewährleistung der Langlebigkeit
- Unterbindung von unerlaubten Fremdzugriffen während der Umbauphasen
Lösung in Varianten
- Alle Hersteller machten den Zuhörern klar, dass man die vorgestellten Probleme mit ihren speziellen Netzwerken und Systemlösungen bewältigen könne. In erster Linie konzentrierten sich die meisten Anbieter darauf, vorliegende Probleme zu identifizieren und Abhilfen im Fehlerfall zu schaffen. Hierbei gab es eine Reihe von Rezepten:
- Stabile Netzwerkstrukturen sind nach Möglichkeit beizubehalten
- Veränderte Teile müssen zuerst separiert und alleine getestet werden
- Bereits installierte Architekturen sind von neuen Einheiten über Netzwerkkomponenten zu trennen
- Eine Diagnose der Datenraten hat zu erfolgen
- Die Kommunikationsbeziehungen müssen bekannt und nachvollziehbar sein
Einige Anbieter brachten jedoch einen neuen Gesichtspunkt ein: Es gehe nämlich darum, jegliche Veränderung so zu organisieren, dass es überhaupt nicht zu Problemen kommen könne. Damit werde der Schwerpunkt von der Symptombekämpfung auf die systematische Planung verschoben. Die Firmen konnten auch bereits mit Werkzeugen aufwarten, die eine optimale Planung von Netzwerkprojekten zulassen.
Im Ergebnis sind zwei Aspekte beim Umbau und bei der Erweiterung unbedingt zu berücksichtigen. Erstens muss man das gesamte Projekt planen. Hierzu gehören insbesondere folgende Vorgehensweisen:
- Genaue Analyse der bestehenden Anlage
- Spezifikation und Zielsetzung des Umbaus oder der Erweiterung
- Klärung und Dokumentation aller Netzwerkbeziehungen mit Darstellung der notwendigen Dienste
- Festlegung der Zugriffsrechte mit Vergabe von Netzwerkschlüsseln zur Vermeidung von willkürlichem Zugriff und Manipulation
- Schrittweise Installation mit laufender Prüfung aller Tätigkeiten
- Soll-/Ist-Vergleich nach jeder Veränderung mit Dokumentation
- Schulung aller beteiligten Personen
Zweitens sind Werkzeuge und Hilfsmittel zur Verfügung zu stellen, falls es dann doch einmal zu Netzwerkabstürzen oder unerlaubten Eingriffen kommt.
Insbesondere: Die Planung
Die besonderen Probleme bei der Planung wurden auch von dem zusätzlichen Vortrag über IT-Sicherheit durch Claus Oetter (VDMA) herausgestellt. Nach einer Umfrage des VDMA machen sich nur die wenigsten Anwender exakte Vorstellungen über eine bevorstehende Vernetzung oder einen geplanten Umbau.
Bei einem Großteil der befragten Firmen gibt es keine einheitliche Vorgehensweise bei der Erstellung von Netzwerktopologien und nur in den seltensten Fällen sind die Anwender und Betreiber hinreichend geschult. Spätestens zu diesem Zeitpunkt kristallisierte sich der wesentliche Unterschied zwischen „Safety“ und „Security“ heraus.
Alle Safety-Konzepte müssen bis ins Detail geplant, die Durchführungen überwacht und die Ergebnisse verifiziert werden. Die involvierten Personen sind zu schulen, eine geeignete Organisation ist zu etablieren. Das alles gibt es bei „Security“ noch nicht oder nur in Ansätzen. Allerdings führt dieser Unterschied wahrscheinlich auch zu den genannten Problemen.
Bei der Anwendung von Maschinen- und Anlagenapplikationen, bei denen die Gesundheit und das Leben von Personen im Vordergrund stehen, kann man sich mangelnde Sicherheit einfach nicht leisten. Insofern kann der Bereich „Security“ von „Safety“ noch erheblich lernen, zumindest wenn es darum geht, Fehler von vornherein zu vermeiden.
Meist gelesen
Konzernsicherheit und Krisenmanagement bei Carl Zeiss
Risikobasierter Sicherheitsansatz: "Wer alles schützen will, schützt nichts." GIT SICHERHEIT im Interview mit Sven Franke, Head of Security, Crisis Management & BCM bei Carl Zeiss.
Globale Konzernsicherheit bei der BMW Group
CSO Alexander Klotz ist für die globale Konzernsicherheit bei BMW Group zuständig. GIT SICHERHEIT hat sich mit ihm über Aufgaben und potentielle Bedrohungen unterhalten.
Phoenix: der erste Barfuß-Sicherheitsschuh auf dem Markt
Baak bringt mit "Phoenix" nach fünf Jahren Entwicklungsarbeit den ersten Barfuß-Sicherheitsschuh auf den Markt.
Kommunale Sicherheit: Gespräch mit der Düsseldorfer Ordnungsdezernentin Britta Zur
Öffentliche Sicherheit der Stadt Düsseldorf im Zusammenspiel von Ordnungsamt und Polizei: Ordnungsdezernentin Britta Zur im Interview über die Kriminalitätsentwicklung, Gefahrenabwehr und Fußball-EM 2024.
Vieles ist noch ungeklärt: Justizvollzug als Bestandteil der kritischen Infrastruktur
Ein Beitrag von Wilfried Joswig, Geschäftsführer beim Verband für Sicherheitstechnik VfS.