SONDERTEIL

NETZWERK UND

KOMPONENTEN

Hardware - Protokolle - Infrastruktur

www.it-production.com

Bild: © Xantaro /Fotolia.com

E-PAPERSONDERTEILE, BRANCHENSPECIALS, THEMENSCHWERPUNKTE

NETZWERKE UND KOMPONENTEN |

Das Sigfox Netz ist ein sogenann-tes Low Power Wide Area Netz(LPWAN), das Funkdaten von

Geräten auch dann noch empfangenkann, wenn diese mehrere Kilometervom nächsten Funkmast entfernt sind.LPWA-Netze sind daher eine Alternativezu Mobilfunkverbindungen, die eine be-grenztere Zellenreichweite aufweisen.Innerhalb des LPWA-Netzwerkes könnenDaten ohne ‘Handshake’ der Geräte ge-sendet werden. Seitens des Netzbetrei-bers werden für die Nutzung desLPWANs zudem keine Nutzungsentgelteerhoben. Der Gerätehersteller zahlt diegewünschten Verbindungen vielmehrbeim Erwerb der Device-Lizenz. Da keineRoaming-Gebühren anfallen, kann die

Technologie weltweit ohne Zusatzkos-ten eingesetzt werden. Wie kann dieTechnologie nun im Maschinen- und An-lagenbau zum Einsatz kommen?

Anwendung der Technologie

Ein Anwendungsfeld sind M2M-Schnitt-stellen, bei denen über kleine Datenpa-kete Betriebs- und Zustandsinformatio-nen übertragen werden. Da das Netz bi-direktional ist, können auch Nachrichtenan die Sigfox-Devices zurückgesandtwerden, beispielsweise für Parametrier-und Steuerungsfunktionen. Durch dengeringen Energieverbrauch können Sen-soren und Aktoren autark an bestehen-den Anlagen angebracht werden – eine

externe Stromversorgung wird nicht be-nötigt. Aufgrund der langen Batterielauf-zeit können Daten über mehrere Jahrehinweg erhoben werden. Beispielsweisehaben so Motorenhersteller die Möglich-keit, ihre Getriebemotoren mit Vibrati-onssensoren auszustatten, die ihre Datendann an zentrale Clouds übermitteln. Sokönnen sie ihr Predictive Maintenance-Angebot verbessern. Das Datenvolumensowie die Anzahl der erlaubten Verbin-dungen ist allerdings begrenzt: Bis zu 140Nachrichten a 12 Byte Nutzdaten kannein Device pro Tag senden; bis zu vierNachrichten können täglich empfangenwerden. Dies hat zur Folge, dass die Da-tenanalyse für ein Alarmmanagementvor Ort bleiben muss (Mist Computing)..

Das Sigfox-Netz

Ein Funknetz extra für die Anbindung von IIoT-Geräten will das Sigfox-Netz sein. Das Be-sondere dabei ist, dass nach dem Erwerb der Geräte keine laufenden Kosten für Daten-übertragung und weltweites Roaming anfallen. Der Wermutstropfen: Das maximal über-tragbare Datenvolumen schränkt die Nutzungsmöglichkeiten ein. Doch für viele Anwen-dungen reicht es allemal.

INTERNET OF THINGS

IT&Production 4/2018

Datentransfer weltweit ohne Roaming-Gebühr

Halle 6Stand G18

Bild: Sig

fox Ge

rmany G

mbH

052_ITP_April_2018.pdf 26.03.2018 16:25 Seite 52

Kombination mit Mobilfunknetz

Bei einigen M2M-Applikationen werdenLPWAN- und Mobilfunknetz kombiniert.Alarm-, Zustands- und Betriebsdaten wer-den dabei zunächst per LPWAN alsDefault Setting gesendet. Müssen großeDatenmengen ausgetauscht werden, wirdeine LTE- oder GSM-Verbindung herge-stellt. So können LTE/GSM-Verbindungs-entgelte reduziert und die Batterielaufzeitder Geräte erhöht werden.

Gegenstände verfolgen

Ein weiteres Einsatzfeld des Sigfox-Netzesist die Materiallogistik und dabei im Be-sonderen die Ortung von Gegenständen.Die Lokalisierung erfolgt durch komplexeBerechnungen und Routinen der empfan-gen Funksignale im Sigfox Cloud-Backend.Für die Genauigkeit der Ortung werdendie Funksingale mit den Standorten dervom Gerät georteten WLAN-Knoten imCloud-Backend abgeglichen. Die Positions-

daten werden dann an den Anwenderübertragen. Die Integration eines Satelli-tennavigationsempfängers entfällt.

Mit und ohne GPS

Des Weiteren gibt es Tracker mit integrier-tem GPS. Die Positionsbestimmung erfolgtdadurch nochmals genauer. Ein ange-schlossenes Gerät kann nun alle zehn Mi-nuten seine Position versenden. Bei be-sonders hohen Anforderungen sind auchIntervalle von 3:20 Minuten möglich. DieÜbertragung erfolgt dann ohne Sende-Re-dundanz. Die Lokalisierung dient dabeiauch als Diebstahlschutz: Entfernt sich dasentsprechende Objekt vom zugelassenenStandort, kann es geortet werden.

Geräte melden sich bei Bedarf

Bei den genannten Anwendungsfällen istimmer auch die Sicherheit ein Thema. EinMerkmal der Kommunikationsschnittstellefür Geräte ist dabei, dass über sie eine di-

rekte Ansprache über das Internet nichtmöglich ist. Die Kundencloud kann nur überdie Geräte-Cloud, die bereits Bestandteildes Sigfox-Netzes ist, mit den Gerätenkommunizieren. Ab der Device-Cloud istdie Kommunikation nicht mehr IP-basiert,sondern proprietär und erstreckt sich vonder Device-Cloud über die Funkstationenzum Netzwerkteilnehmer - also dem Gerät..Dadurch ist ein IP-basierte Zugriff auf dieDatenquelle nicht möglich. Geräte undNachrichten werden zudem authentisiertund verschlüsselt. Darüber hinaus bestehteine Verbindung nur, wenn sich die Geräteaktiv melden. Sie sind somit die meiste Zeitoffline. Zudem betreibt der LPWAN-Betrei-ber ein eigenes NOC (Network OperationCenter), das das Netzwerk überwachenund durch Firewalls, Virenschutz- und Intru-sion Detection Systeme schützen soll. �

Der Autor Aurelius Wosylus ist Country & SalesDirector Germany bei Sigfox.

www.sigfox.com

| NETZWERKE UND KOMPONENTENINTERNET OF THINGS

Nürnberg, Germany 9.-11. Oktober 2018 it-sa.de

NETWORKING@IT-SA

Seien Sie Teil der it-sa 2018 und knüpfen Sie

Verbindungen für die Zukunft Ihres Unternehmens.

Nur auf Europas führender Fachmesse für IT-Security

trifft sich jährlich das Who is Who der Branche!

- Anzeige -

053_ITP_April_2018.pdf 26.03.2018 16:25 Seite 53

NETZWERKE UND KOMPONENTEN |

Jeder Standort der Leitz GmbH & Co.KG – 36 Vertriebesgesellschaften,sechs Produktionsstandorte und 120

Servicestationen – ist an das zentrale Re-chenzentrum des Unternehmens in Ober-kochen angeschlossen. Von dort aus stelltein 15-köpfiges Team alle erforderlichenServices über eine virtualisierte Server-Umgebung bereit. Für den Schutz desNetzwerks ist seit 2006 ein UTM(UnifiedThreat Management)-Cluster von Watch-guard im Einsatz. Hinsichtlich der Anbin-dung der Standorte gab es bei Leitz bisherunterschiedliche Ansätze: Bei der Mehr-zahl der Außenstellen erfolgte der Zugriffvon Beginn an über abgesicherte VPN-

Tunnel. Bei den größeren Niederlassungenkommt eine MPLS-Umgebung der BritishTelekom zum Einsatz.. Dieser Status quowurde jedoch überdacht.

Das Rechenzentrum entlasten

Ein wichtiges Kriterium war dabei dieBandbreite: „Bei unseren VPN-Standortenlief der Datenverkehr vollständig überunser Rechenzentrum in der Zentrale, in-klusive des externen Internet-Traffics dereinzelnen Lokationen“, berichtet RolandBerndt, Abteilung technische EDV beiLeitz. Um für Entlastung zu sorgen, wurdeein Local-Breakout-Konzept geprüft: „Der

Servicequalität unseres zentralen Netz-werks kommt es deutlich zugute, wennder allgemeine Internetverkehr direkt vorOrt erfolgen kann, ohne den Schritt überdas Rechenzentrum in Oberkochen.“

Nur relevante Anwedungen

Zukünftig sollen ausschließlich unmittelbarrelevante, interne Prozesse auf der Basisvon VPN-Tunneln über die Zentrale laufen– beispielsweise der ERP-Zugriff. Wenigergeschäftskritische Anwendungen via In-ternet sollen parallel dazu über lokale Pro-vider ermöglicht werden – mit den ent-sprechenden Sicherheitsvorkehrungen

Sicherer Datentransfer rund um den Globus

Entlastung durch Local Breakouts

Die Leitz GmbH & Co. KG, ein Hersteller von Holzbearbeitungswerkzeugen, setzt beimSchutz der Kunden- und Produktivdaten auf eine IT-Sicherheitsstruktur, die vom Hauptsitzin Oberkochen aus administriert wird. Auf Basis der Unified-Threat-Management-Lösungenvon Watchguard und zusammen mit dem IT-Dienstleister Fornax, wurden die Produktions-anlagen und die elektronische Abwicklung von Zollanmeldungen sorgfältig gegen unge-wollte Zugriffe abgesichert.

Bild: Leitz Gm

bH & Co

. KG

SECURITY APPLIANCES

IT&Production 4/2018

054_ITP_April_2018.pdf 26.03.2018 16:28 Seite 54

Zukünftig sollen ausschließlich relevante, interne Prozesse per VPN-Tunnel über die Zentrale laufen.

Bild: Leitz Gm

bH & Co

. KG

und Multi-WAN-Möglichkeit für zusätzli-chen Ausfallschutz. „Im Rahmen der Break-outs ist es wichtig, dass alle Unterneh-mensvorgaben jederzeit erfüllt werden“,sagt Marko Bauer, Geschäftsführer derFornax EDV-Service GmbH. Sein Unterneh-men unterstützt Leitz seit 2008 im Bereichder IT-Sicherheit.

Alte Plattformen ausgetauscht

Insbesondere die Möglichkeiten der zen-tralen Verwaltung und Konfigurationüber Templates spielten bei der Neuaus-richtung der Sicherheitslandschaft eineentscheidende Rolle. Im Zuge dessenwurde auch der bisherige Hersteller aufHerz und Nieren geprüft und die allge-meine Anbieterlandschaft näher betrach-tet. „Einen Schnitt brauchten wir in jedemFall. Es stellte sich jedoch die Frage, obwir auf die jüngste Modell-Generationvon Watchguard bauen oder komplettwechseln“, sagt Berndt. Am Ende ent-schied man sich für die Hardware des

Herstellers und hat mittlerweile fast allealten 120 Plattformen ausgetauscht. Jenach Größe und Anforderung der Nieder-lassungen kommen unterschiedliche

Hardware-Modelle zum Einsatz. Diese las-sen sich jedoch über den System Mana-ger zentral von Oberkochen aus bedie-nen. Der Rollout erfolgte innerhalb kurzer

| NETZWERKE UND KOMPONENTENSECURITY APPLIANCES

IT&Production 4/2018

- Anzeige -

Spectra GmbH & Co. KG

KontaktSpectra GmbH & Co. KGMahdenstr. 3 • 72768 ReutlingenTel.: +49 7121 1432-10 • Fax: 07121 1432-190vertrieb@spectra.de • www.spectra.de

Industrielle Netzwerklösungen – Ethernet Switches von Planet Standard Switches

• Mit 4, 8 oder 16 Ports• 24 VDC, Hutschienenmontage• 10/100/1000TX, managed, unmanagedPoE & LWL Switches• Full Gigabit, max. 60 W PoE-Leistung• Splitter, Injector, ExtenderWall Mount Switches• extrem flach, managed über LCD Touch• 10/100/1000TX, Gigabit-SFP

www.spectra.de/switches

Spectra Gm

bH & Co

. KG

140379_WatchGuard Technologies GmbH_RIUS_HAW_ITP 27.03.2018 09:42 Seite 55

Leitz liefert seine Produkte weltweit aus. Die Security Appliances sind daher Atlas-zertifitiert, um Zollan-meldungen zu erleichern.

Bild:

Leitz

GmbH

& Co

. KG

Zeit. Die Hardware musste lediglich anden jeweiligen Standort verschickt unddort verbunden werden. Die Konfigura-tion erfolgt automatisch entsprechendder zentral hinterlegten, individuell an-passbaren Einstellungsvorgaben. Ein IT-Mitarbeier muss nicht vor Ort sein.

Aus für MPLS-Verbindungen

Im Zuge der Umstellung sollen nach undnach auch die kostenintensiven MPLS-Verbindungen abgelöst werden. Zu die-sem Zweck wurde im Frühjahr 2017 in derösterreichischen Vertriebszentrale in Rie-dau das erste UTM-Hochverfügbarkeits-cluster jenseits des zentralen Rechenzen-trums in Oberkochen in Betrieb genom-men. Die darüber erzeugte VPN-Verbin-dung mit dem zentralen Rechenzentruminklusive der Option lokaler Breakouts solldas MPLS-Konstrukt mittelfristig ersetzen.Nach erfolgreicher Pilotphase sollen so bis2019 alle bestehenden MPLS-Anbindun-gen weltweit abgelöst werden. MarkoBauer verdeutlicht den Einspareffekt desUmstiegs: „Unsere Kalkulation hat gezeigt,dass der Return-on-Invest bei diesemWechsel bereits nach knapp einem Jahrerreicht ist. Dafür haben wir dann die

Hardware inklusive der Lizenz für die ein-gesetzten Security-Services für drei Jahre.“

Verschiedene UTM-Dienste

Neben der reinen Firewall-Funktionalitätsetzt das Unternehmen verschiedeneUTM-Dienste wie Intrusion Prevention,Gateway Antivirus, Application Control,Spamblocker, Webblocker oder/und Re-putation Enabled Defense ein. An ausge-wählten Standorten greift darüber hinausein APT-Blocker als Sandbox-Technologiezum Erkennen und Blockieren von Mal-ware und Zero-Day-Angriffen. Ein weitererMPLS-Standort des Unternehmens befin-det sich im holländischen Elst. Auch dortwird inzwischen ein UTM-Cluster einge-setzt. Aufgrund von Sicherheitsbedenkenkommt dabei ein Segmentierungsansatzfür das Netzwerk zum Tragen: „Bisher warin Elst nur die Verwaltung ansässig, jetztkommt jedoch die Produktion hinzu“, er-läutert Roland Berndt. „Da vernetzte Ferti-gungsanlagen immer öfter als Ziel fürÜbergriffe auserkoren werden, wollten wirhier eine zusätzliche Sicherheitsschichteinziehen.“ Der Datenverkehr der CNC-Ma-schinen wird mit der Watchguard-Platt-form über separate VLAN-Strukturen iso-

liert, zudem ist das Maschinennetz überSwitches von anderen Bereichen abge-trennt. Der gesamte Netzwerkverkehr inRichtung Produktivdaten muss erst die Fi-rewall und weitere Scan-Module passieren.An den Übergabepunkten können zudemBenutzerberechtigungen auf Basis vonActive Directory kontrolliert werden. Sokann nicht nur der Datenzugriff durch un-autorisierte Nutzer unterbunden, sondernauch verhindert werden, dass sich von Pro-duktionsanlagen ausgehende Gefahren imganzen Netzwerk ausbreiten. Zudem wirddurch unterteilte Netzwerkbereiche eineschnellere Identifizierung von Schwach-stellen möglich. Nach Test der Netzwerk-segmentierung soll das Konzept in allenweiteren Produktionsstandorten Einzughalten und sukzessive verfeinert werden.

Zertifiziert für Atlas

Leitz konnte mit seinem IT-Security-Sys-tem ein weiteres Problem lösen und dieKommunikation im Rahmen von Zollan-meldungen absichern: „Leitz liefert seineProdukte in nahezu jeden Winkel derErde, entsprechend hoch ist der Aufwandder Zollabfertigung“, sagt Berndt. Um diedamit einhergehenden Prozesse zu ver-schlanken, sollte Atlas (AutomatisiertesTarif- und Lokales Zollabwicklungssystem)genutzt werden. Dabei handelt es sich umeine vom InformationstechnikzentrumBund bereitgestellte Lösung zur elektro-nischen Abwicklung und Überwachungdes grenzüberschreitenden Warenver-kehrs. Die Übermittlung der Daten erfolgtvia VPN-Tunnel – jedoch nur, wenn derdafür verantwortliche Hersteller entspre-chend zertifiziert ist. Diese Zertfizierungerhielt der Hersteller der Security-Applian-ces im Juni 2017 und liefert für die VPN-Anbindung an das Atlas-Zollverfahrenauch eine vollständige Dokumentation.„Natürlich lässt sich hier und da immernoch weiter optimieren, aber da arbeitenwir ja gemeinsam mit Fornax konsequentdran. Mit den Möglichkeiten, die unsWatchguard in dem Zusammenhang bie-tet, sehen wir uns auch langfristig auf dersicheren Seite“, sagt Berndt. �

Die Autorin Rebecca Hasert ist Redakteurin bei Press'n'Relations in Ulm.

www.watchguard.de

NETZWERKE UND KOMPONENTEN | SECURITY APPLIANCES

IT&Production 4/2018

056_ITP_April_2018.pdf 26.03.2018 16:28 Seite 56

PDPA-A10132-00_AZ_Scalance_X_500_HMI.pdf; s1; (210.00 x 297.00 mm); 21.Mar 2018 09:30:19; PDF-1.3-CMYK für TeDo-Verlag; L. N. Schaffrath DruckMedien

Bild: ©M

oreno So

ppels

a/Ado

be St

ock

NETZWERKE UND KOMPONENTEN |

Die Vernetzung der Komponen-ten im Fertigungsnetz sowie dieÖffnung des Produktionsnetzes

in Richtung Office-IT führen dazu, dassvermehrt auch Datenverkehr in die Pro-duktion fließen kann, der dafür nicht vor-gesehen ist. Andersherum kommt es vor,dass direkt von einem Steuerungs-PC imProduktionsnetz ein Zugriff auf das Inter-net möglich ist. Dadurch kann es zu un-erwünschten Kommunikationsbeziehun-gen kommen, für die nur unzureichendeSicherungsmaßnahmen bestehen.

Status Quo Anlagenschutz

Um Anlagenerweiterungen zu schützen,werden häufig neuere Protokolle entwi-ckelt. Diese können sich aber als ungeeig-net erweisen, da sie auf die vorhandene

Technik nicht anwendbar sind. Eine Mög-lichkeit, Altsysteme vor Missbrauch zuschützen ist wiederum, sie weitestgehendvom restlichen Netzwerkverkehr zu isolie-ren. Daraus ergeben sich jedoch Anforde-rungen hinsichtlich der Gewährleistungder Authentizität als auch von Integritätder Steuerungsdaten. Eine besondere He-rausforderung im üblichen Mischbetriebvon Bestandsanlagen und neuer Technikstellen die neuen Anlagen dar: Auch wenndiese den aktuellen Stand der Technik auf-weisen sollten, liefern Anlagenbauer oftteils veraltete oder nicht mehr vom Her-steller unterstütze Systeme mit aus unduntersagen dem Betreiber zudem, dieseBestandteile der Anlage während der Ga-rantiezeit zu verändern. Dadurch kann espassieren, dass der Altbestand besser ab-gesichert ist als neue Anlagen. Dies resul-

tiert unter anderem daraus, dass versuchtwird, bestehende Systeme im stabilen Be-trieb abzusichern, während neuen Anla-gen im fragilen Anlauf-Prozess keinerleiÄnderungen zuzumuten sind.

Abschottung ist keine Lösung

Eine Schutzmöglichkeit wäre die Rück-kehr zu einem geschlossenen Produkti-onssystem und sowohl alte als auch neueSysteme mit zusätzlichen Gateways oderFirewalls so voneinander abzuschotten,dass keine problematischen Netzwerkzu-griffe möglich sind. Dies wiederspricht je-doch dem Industrie-4.0-Ansatz, der einenweitreichenden Datenaustausch be-schreibt – sogar über die Grenzen der Or-ganisation hinweg. Dabei hat sich einevollständige Kontext- und Datenflussana-

Maschinendaten in der KapselMachine-2-Machine-Kommunikation

Ohne Machine-to-Machine- beziehungsweise Sensor-Aktor-Kommunikation kommen Pro-duzenten auf ihrem Weg zur Industrie 4.0 an Grenzen. Ohne IT-Sicherheit im Netzwerkaber auch. Zwar lässt sich der Transfer von Produktionsdaten auch vertikal absichern, abereine sinnvolle Abgrenzung von Anlagen, Zellen und Linien spart unnötigen Aufwand undverringert Risiken.

M2M-KOMMUNIKATION

IT&Production 4/2018

Halle 6Stand D02/7

058_ITP_April_2018.pdf 26.03.2018 16:30 Seite 58

lyse für die Kommunikation innerhalb derProduktion und über deren Grenzen hin-weg sowie die Erarbeitung entsprechen-der Maßnahmen zur sicheren Bereitstel-lung der Daten etabliert.

Offen oder proprietär

Beim internen Einsatz von kabellosenTechnologien muss zwischen proprietä-ren, also eigenen, und offenen Standardsunterschieden werden, wobei sich dabeidie Frage nach den übergeordneten Pro-tokollen und angeschlossenen Endgerä-ten ergibt. Wird auf WLAN gesetzt, sollteauch eine entsprechende Absicherung(IT-Sicherheit) erfolgen. Sind andereStandards der Maschinenkommunikationoder proprietäre Technologien geplant,können diese häufig nur durch ebensoproprietäre Mechanismen abgesichertwerden. Bei der Bereitstellung von Datenfür Kooperationspartner wurde bisheroft auf Standards wie EDI /EDIFACT ge-setzt, was aber häufig zu hohem Auf-wand bei der Änderung oder Anpassungder Schnittstellen auf allen Seiten geführthat. Bei offeneren und flexibleren Anbin-dungen mit mehr Sicherheitsoptionenkönnen sogenannte APIs (ApplicationProgramming Interfaces) helfen. Dieselassen sich oft schneller anpassen undBetreiber sind in der Lage, mehrere Ver-sionen parallel laufen zu lassen, um dieKommunikationspartner bei der Migra-tion nicht unter Druck setzen zu müssen.Der Vorteil der Nutzung von APIs nachaußen (published API) liegt also darin, dieeher langsamen Entwicklungszyklen inder eigenen Infrastruktur und Produkti-ons-IT von den sich schneller änderndenAnforderungen der Lieferanten oder Kun-den abzukoppeln. Intern kann somit wei-terhin mit langsameren Verfahren zurSAP-Anbindung gearbeitet werden, wäh-rend man nach außen auch moderneApps für Smartphones anbieten kann.

Authentizität durch Zertifikate

Neben der Vertraulichkeit von Informatio-nen spielt auch die Authentizität von Sen-der und Empfänger eine Rolle. Je nachLeistungsfähigkeit der Kommunikations-partner (in diesem Fall ein Ausschlusskrite-rium für einfache Sensornetze) könnenZertifikate bei der Sicherung der Authen-

tizität helfen. Diese haben sich im privatenBereich bereits etabliert – etwa beim On-linebanking. Diese Art der Absicherungkann auch auf Maschinen übertragen wer-den. Eine entsprechende Speicherausstat-tung und grundlegende Verschlüsselungs-funktion der Hardware vorausgesetzt, sindZertifikate derzeit ein sehr sicheres Ver-fahren zur Absicherung der Maschinen-kommunikation. Eine klare Abgrenzungmuss jedoch bei Betrachtung der Kommu-nikation auf Busebene erfolgen: Die dortangewendete Signalisierung kann nichtdurch gängige Mittel der IT-Sicherheit ge-schützt werden, da die Übermittlung derInformationen proprietär erfolgt. Ein Nach-teil von Zertifikaten ist jedoch die be-grenzte Lebensdauer von etwa ein bisdrei Jahren. Zudem basiert die Sicherheitdes Gesamtsystems darauf, dass alle be-teiligten Partner einer Dritten Partei ver-trauen (in dem Fall der die Zertifikate aus-gebenden Public-Key-Infrastruktur).Zudem kann im schlimmsten Fall die Kom-munikation zusammenbrechen, wenn diejeweiligen Knoten den Ur-sprung der Zertifikateoder deren Gültigkeitnicht prüfen können. Dieskann insbesondere dannpassieren, wenn die Zerti-fikate der jeweiligen Kno-ten in der Kette ablaufenoder die Lebensdauer desVertrauensankers erreichtwird. Kommerzielle Anbie-ter von Zertifikaten sinddaher bereits dazu über-gegangen, für solche Ein-satzszenarien nur Zertifi-kate mit erweiterter Le-bensdauer von bis zu 30Jahren einzusetzen.

Absicherung un-umgänglich

Eine wirksame Absiche-rung der M2M-Kommuni-kation ist unumgänglich.Dazu gilt es, lokale Datenund lokale Kommunika-tion von dem zu trennen,was den Einflussbereichder Organisation verlas-sen darf. Als ersteSchutzmaßnahme steht

also die Abgrenzung der jeweiligen Anla-gen, Zellen, Linien und Maschinen unter-einander auf dem Plan, damit nur nochder gewünschte Datenverkehr aus derAnlage herauskommen und nur noch va-lidierte Steuerungsinformationen in dieAnlage hineingelangen. Zunächst kanndies nur auf Basis einfacher Firewalls undNetzwerkfilter erfolgen, da die zur tiefe-ren Analyse des Verkehrs notwendigenKenntnisse der Protokolle erst in die Si-cherheitstechnik einfließen müssen. Dabeibesteht Nachholbedarf, da sich die Stabi-lität der angeschlossenen Maschinen hin-sichtlich Angriffen aus dem Netz bislangals eher unterdurchschnittlich erweist. �

Die Autoren sind Sebastian Rohr, technischerGeschäftsführer der Accessec GmbH,

und Markus Soppa, Research Consultantder Accessec GmbH.

www.accessec.com

| NETZWERKE UND KOMPONENTEN

IT&Production 4/2018

M2M-KOMMUNIKATION

SEBASTIAN SCHREIBERGESCHÄFTSFÜHRER

Nur wer um die Lücken weiß, kann diese auch wirksam schließen.Im Bereich Penetrationstest sind wir Marktführer in Deutschland.

Durch einen Sicherheitstest IhrerIT-Infrastruktur können Sie sichumfangreich vor Angriffen, demVerlust von Informationen und derStörung von Maschinen schützen.Wir testen Ihre Systeme durchsimulierte Angriffe, finden heraus,wie sicher die eingesetzten IT-Systeme und Infrastrukturen sind,und erreichen so maximale Trans-parenz der Schwachstellen.

· Beugen Sie Hackerangriffen undEinbrüchen in Ihre Systeme vor

· Schützen Sie Ihre wertvollenUnternehmensdaten undErkenntnisse

· Bauen Sie dem Ausfall digitalgesteuerter Anlagen vor

· Behalten Sie die Kontrolle überIhre Systeme

T H E P E N T E S T E X P E R T SSySS GmbH Schaffhausenstraße 77 72072 Tübingen+49 (0)7071 - 40 78 56-0 info@syss.de www.syss.de

- Anzeige -

059_ITP_April_2018.pdf 26.03.2018 16:30 Seite 59

NETZWERKE UND KOMPONENTEN |

SPSen, Industrie-PC und unzähligeEmbeddedcontroller steuern undregeln die technischen Prozesse in

den Produktionshallen und Anlagen zuver-lässig und höchst effizient. Die Kommuni-kationswege, Feldbusse und Protokollesind für jede Maschine und jeden Anlagen-teil auf Geschwindigkeit und Durchsatzoptimiert. Dort, in der heterogenen Weltder Operational Technology (OT) entste-hen die Daten, die dem Anwender – nachdem Ansatz von Industrie 4.0 und dem In-dustrial Internet of Things (IIoT) – neuenNutzen bringen sollen: Fertigungslose bisrunter auf Losgröße 1, vorausschauenderService, automatisierte Verknüpfungen bisins Auftrags- und Bestellwesen. Doch dazumüssen die Daten die OT verlassen und indie homogene Welt der Information Tech-

nology (IT) transformiert werden, denndort sind Qualitätsanalyse, Produktionssta-tistik, Manufacturing Execution-Systemeund Enterprise Resource Planning-Anwen-dungen (MES/ERP) angesiedelt. Die Ver-mittler zwischen den beiden Welten sindIoT-Gateways, die an der Nahtstelle zwi-schen OT und IT am Rand (Edge) aufge-stellt sind. Sie bieten Konnektivität inBezug auf die Hardwareschnittstellen unddie Softwareprotokolle.

Daten sammeln mit Gateways

IoT-Gateways sammeln die Daten vonden unterschiedlichen Geräten der OT.Über Ethernet oder Feldbus stellen sieVerbindungen zu Industrie-PC und SPSher. Auf der anderen Seite leiten sie

diese an Cloud-Dienste weiter. Zur Kate-gorie der IoT-Gateways zählen beispiels-weise Smart-Sensoren, Edge-Controllerund Edge-PCs. Smart-Sensoren erfasseneinzelne Messwerte wie Temperaturoder Feuchte und leiten diese unverar-beitet in die Cloud weiter. Der Edge-Controller ist auf einzelne E/A-Systemespezialisiert und leitet deren Daten wieein Router lediglich 1:1 weiter. Ein Edge-PC ist hingegen mit Programmen ausge-stattet, die die Daten verdichten und be-reits vorverarbeiten. Zudem schützt erden Datenstrom vor fehlender Band-breite und temporärem Verbindungsver-lust, einem Manko des Cloud-Compu-tings. Diese Eigenschaften definieren denEdge-PC als eigenständige Geräteklassein der Automation.

Daten in die Cloud gebracht

IoT-Gateways, in Form von Smart-Sensoren, Edge-Controllern und intelligenten Edge-PCskönnen die Sensor- und Aktordaten gezielt und abgesichert in eine Public oder eine Private Cloud transportieren. Ihnen kommt damit bei der Realisierung von Industrie 4.0-beziehungsweise IoT-Projekten eine zentrale Bedeutung zu.

Per IoT-Gateway gelangen dieDaten vom Sensor in die Cloud.

HARDWARE

IT&Production 4/2018

Bild: Spectra GmbH & Co. KG

Tore zum Internet of Things

060_ITP_April_2018.pdf 26.03.2018 16:32 Seite 60

Universell einsetzbar

Der Smart-Sensor hat z.B.über eine eSIM direktenZugang zum Mobilfunk-netz und zum Internet. Ervereint OT, IT und IoT-Gateway in einer einzigenKomponente. Wer diesendirekten Weg in die PublicCloud nicht gehen undbeispielsweise aus Sicher-heitsgründen nicht alleDaten in die Cloud schi-cken möchte, der bleibtweiterhin beim klassi-schen Sensor mit ange-bundenem Edge-Control-ler. Vertreter dieses Typsvon E/A-Modulen sindbeispielsweise die digita-len E/A-Module der MQ-7200 Serie von Spectra,deren Datenkommunika-tion über das IoT-Proto-koll MQTT erfolgt.

Retrofit für die Digitalisierung

Beim Retrofitting soll möglichst nicht tief in die bestehenden Struk-turen eingegriffen werden. In diesem Fall setzt man nicht direkt amSensor an, sondern am übergeordneten Feldbus-Controller bezie-hungsweise der Steuerung. Auf diese greift das Edge-Gateway zuund leitet die Daten weiter Richtung Cloud. Möglich ist das unteranderem mit dem IoT-Controller Wise-5231 von Spectra. Dieserkommuniziert per Modbus-RTU/TCP-Protokoll mit der SPS und gibtdie Daten im MQTT-Format an den Cloud-Dienst weiter.

Freiheit mit Industrie-PCs

Größere Freiheiten bei der Implementierung eines IoT-Gatewaysbietet jedoch ein Industrie-PC, der die notwendigen Schnittstel-len und auch schon eine Softwareumgebung für die Entwicklungvon I4.0/IoT-Projekten mitbringt, oft Edge-PC genannt. Ein Ver-treter dieser Gruppe ist beispielsweise die lüfterlose Mini-PC-Serie Spectra Powerbox 100-IoT. Abhängig vom Leistungsbedarfstehen Modelle mit unterschiedlichen Prozessoren zur Verfügung.Eine entsprechende Software ist für IoT-Anwendungen vorinstal-liert. Die Softwareumgebung basiert auf einem Linux-OS. Die IoT-Enwicklungsumgebung Node-Red ist ebenfalls vorinstalliert. �

Der Autor Uwe Hollarek ist Produktmanager Automation & Industrielle Kommunikation

bei der Spectra GmbH & Co. KG

www.spectra.de

IoT-Controller Wise-5231. Dieser kommuniziertper Modbus-RTU/TCP-Protokoll mit der SPS

Bild:

Spec

tra Gm

bH &

Co. K

G

“

Unsere Industriepartner:

Steuerungs- und Schaltschrankbauer erlebenpraxisorientierte Beiträge mit technischem Tief-gang statt allgemeingültiger Aussagen. Es gehtum die alltäglichen Fragen, wie sich heutige An-forderungen methodisch optimal lösen sowieArbeitsschritte und Abläufe effizienter gestaltenlassen und wie man insgesamt das Ergebnis inseiner Qualität verbessern kann. Letztlich gehtes um die Frage: Wie wird man mit seinem An-gebot technologischer Vorreiter und damit

wettbewerbsfähiger? Die Ant-worten können die Steuerungs-und Schaltanlagenbauer nichtalleine herausfinden, deshalbdient die Veranstaltung den Teilnehmern als ausgezeichneteAustausch-Plattform.

Holger MichalkaGeschäftsbereichsleiter Vertrieb EuropaRittal GmbH & Co. KG

„

Anlagenbau, Industrie und Gebäude

SCHALTSCHRANKBAUMethoden - Komponenten - Workflow

ssb-magazin.de/network16

Jetzt Anmelden

NETWORK 2018SCHALTSCHRANKBAU

A061_ITP_April_2018.pdf 26.03.2018 16:32 Seite 61