Logo Bihl+Wiedemann GmbH

Was ASi-5 so (zukunfts-)sicher macht

Bihl+Wiedemann bietet mit ASi-5 ein von Grund auf neu konzipiertes System. Es ist langfristig zukunftsfähig, da es optimal auf die Anforderung von Industrie 4.0 abgestimmt ist – vor allem in Bezug auf die Auslegung der Übertragungsdaten. Zudem erhöht das System, in Zeiten in denen immer mehr Geräte direkt miteinander kommunizieren, die Sicherheit. Denn der kommunikative Bruch zwischen ASi-5 und TCP/IP isoliert viele Netzwerkteilnehmer und schließt so Sicherheitslücken. Für mehr Sicherheit sorgt Bihl+Wiedemann zudem durch ausführliches Testen der Software-Komponenten sowie durch unkomplizierte Software-Updates. Dieser Artikel behandelt vier Aspekte des ASi-5 Systems: die Struktur der Datenübertragung, die umfangreichen Sicherheits-Features, Security-Maßnahmen von Bihl+Wiedemann sowie die Bedeutung einfacher In-System-Updates.

Feldbusse, wie PROFIBUS, EtherCAT oder ASi, sind heutzutage weit verbreitet. Sie ersetzen vielerorts eins-zu-eins die konventionelle, direkte Verkabelung von Sensoren und Aktuatoren. Aus diesem Grund sind sie für zyklisch zu übertragende Daten optimiert, die zur Steuerung einer Maschine unverzichtbar sind. Im Zuge der fortschreitenden Digitalisierung und den Anforderungen von Industrie 4.0 gewinnen aber andere Daten zunehmend an Bedeutung:

 

  • Messende statt schaltende Sensorik
  • Steuerung von Antrieben über Drehzahl statt einfaches An/Aus
  • Erfassung von sekundären Messgrößen zusätzlich zu den primären
  • Erfassen von abgeleiteten Größen wie Schalthäufigkeit
  • Überprüfung von Software-Ständen und gegebenenfalls Einspielen von Updates
  • Diagnosedaten

Höhere Bandbreiten erforderlich

Dieser Wandel der Anforderungen macht in erster Linie höhere Bandbreiten zur Datenübertragung notwendig und hat darüber hinaus weitere Konsequenzen: Je nach Applikation ist eine sehr unterschiedliche Aufteilung der Bandbreite in schnelle, zyklische Daten (typischerweise wenige Bits) und langsamere azyklische Daten mit großem Volumen notwendig.

 

Zudem sind aktuelle intelligente Feldgeräte mit einer IO-Link-Schnittstelle ausgerüstet, die ebenfalls zyklische und azyklische Daten unterstützt. Um jetzt ASi-5 Module mit mehrfachen IO-Link-Master-Ports zu realisieren, ist es wichtig, zu jedem IO-Link-Port exklusive azyklische Verbindungen aufbauen zu können. Und zwar ohne umständlich auf Applikationsebene den Zugriff zwischen den verschiedenen Ports regeln zu müssen.

Bedarfsgerechte Aufteilung von zyklischen und azyklischen Diensten

ASi-5 hat daher ein flexibles System implementiert, mit dem einerseits die Bandbreite eines Teilnehmers zwischen 1 und 4 Transportkanälen skaliert werden kann. Darüber hinaus lässt sich die Aufteilung zwischen zyklischen und azyklischen Diensten bedarfsgerecht handhaben. Die Vordefinition geeigneter Sets übernimmt Bihl+Wiedemann als Hersteller von ASi-5 Devices. Dazu werden dem Anwender eine Reihe einfach auswählbarer Profile zur Verfügung gestellt. So können einerseits klassische EA-Boxen mit einem Bit pro Eingangs-Punkt als auch z. B. Displays, die "Streaming-Daten" benötigen, adäquat bedient werden.

ASi-5 ermöglicht als flexibles System die bedarfsgerechte Aufteilung der zyklischen und azyklischen Dienste pro Device

TCP/IP Monokultur als Sicherheitsrisiko

Überlegungen zur Datensicherheit werden auch in der Automatisierungstechnik immer wichtiger. Dies gilt umso mehr, da für Industrie 4.0 eine hohe Daten-Transparenz erforderlich und folglich immer mehr Geräte direkt miteinander kommunizieren. Ein grundsätzlicher Schwachpunkt ist dabei die TCP/IP 'Monokultur'. So einfach der Informationsaustausch durch die immer gleichen, standardisierten TCP/IP Services ist, so leicht können auch gleiche Sicherheitslücken in vollkommen verschiedenen Geräten versteckt sein. Das wird durch die an sich wünschenswerte Wiederverwendung von bewährten Software-Source-Codes begünstigt.

 

Dieser Effekt zeigt sich eindrucksvoll am Beispiel des sogenannten Heartbleed-Bugs, der 2012 entstand und erst 2014 gefixt wurde. Bei der Entdeckung zeigte sich, dass nicht nur Web-Server betroffen waren, sondern unter anderem auch Android, einige VoIP-Telefone, NAS Systeme und vieles mehr. Es braucht nicht viel Fantasie um sich vorzustellen, wie viel größer die Auswirkungen eines vergleichbaren Fehlers heute oder in Zukunft wären – in einer immer stärker vernetzten Welt mit zig Millionen IoT Devices.

Steigende Anzahl von Geräten erschwert die Netzwerksicherheit

Der Heartbleed-Bug war „nur“ ein klassischer Programmierfehler. Man kann sich aber auch Alptraum-Szenarien vorstellen, in denen Kriminelle IoT Geräte mit manipulierter Software ausstatten. Diese erfüllen dann nicht nur ihre eigentliche Funktion. Sie suchen im erreichbaren Firmen-Netzwerk außerdem nach Sicherheitslücken und spüren z. B. Passwörter auf, die sie dann an einen externen Server senden.

 

Natürlich sorgt die in den letzten Jahren gewachsene Aufmerksamkeit für die potenziellen Probleme der Vernetzung auch für mehr Sicherheit – gerade im hochprofessionellen Umfeld der Automation. Aber die Herausforderung durch eine exponentiell steigende Anzahl TCP/IP-fähiger Feldgeräte ist sehr hoch. Schließlich müssen die für die Netzwerksicherheit Verantwortlichen für jedes Gerät nicht nur die erlaubten und die notwendigen Dienste definieren. Sie müssen diese Definitionen dann auch fehlerfrei in den Firewalls und anderen Sicherheitsgeräten umsetzen. Das ist keine leichte Aufgabe und sie wird durch die steigende Anzahl der Geräte zunehmend schwieriger.

Kommunikativer Bruch zwischen ASi-5 und TCP/IP erhöht die Sicherheit

Im Sinne der Sicherheit ist es daher sehr hilfreich, dass mit ASi-5 und IO-Link ein Logikbruch zu TCP/IP erfolgt. Hohe Sicherheitsanforderungen müssen nur noch an den ASi-5 Master gestellt werden, der die Verbindung zu TCP/IP herstellt. ASi-5 Slaves sind dagegen sicherheitstechnisch sehr viel harmloser, da sie nicht in TCP/IP Netze kommunizieren können. Die für die Netzwerksicherheit Verantwortlichen können sich somit auf deutlich weniger Geräte konzentrieren und diese sorgfältiger prüfen.

Der kommunikative Bruch zwischen den einzelnen Kommunikationsebenen - vor allem zwischen ASi-5 und TCP/IP - erhöht die Sicherheit

ASi-5 erschwert das Mitschneiden ausgetauschter Nachrichten

Für mehr Sicherheit sorgt auch eine weitere Besonderheit von ASi-5: Durch die Datenübertragung mittels OFDM bei dynamischer Frequenzzuweisung ist das Mitschneiden der ausgetauschten Nachrichten sehr aufwendig. Benötigt wird nämlich der gesamte Kontext des Verbindungsaufbaus zwischen Master und Slave. Zudem ist eine genaue Synchronisierung der Taktfrequenzen, wie sie zwischen Master und Slave gemäß ASi-5 Protokoll stattfindet, notwendig. Nur so können Signale überhaupt decodiert werden. Ein wichtiger Punkt ist auch, dass die Signalstärke frequenzabhängig nicht an allen räumlichen Positionen gleich gut ist. Master und Slave handeln dies miteinander optimiert aus, aber das Mithören wird hierdurch deutlich erschwert. Im Vergleich dazu ist das Mitschreiben von Ethernet-Telegrammen mit käuflichen Ethernet-TAPs oder Standard-Mirror-Ports extrem einfach.

Die Datenübertragung mittels OFDM bei dynamischer Frequenzzuweisung erschwert unerwünschtes Mithören

Ausführliche Sicherheitstests, bewusste Komponentenauswahl

Um eines hohes Sicherheitsniveau zu gewährleisten, arbeitet auch die Entwicklung von Bihl+Wiedemann mit großer Sorgfalt. Alle verwendeten Software-Komponenten werden unter Berücksichtigung von Sicherheitsaspekten ausgewählt. Darüber hinaus beobachten die Entwickler permanent die Fehler- und Sicherheitsmitteilungen. Open-Source-Software kann nach den Erfahrungen von Bihl+Wiedemann aufgrund einer großen, aktiven Community häufig eine sehr gute Alternative sein.

 

Darüber hinaus führt Bihl+Wiedemann regelmäßig umfangreiche Sicherheitstests mit verschiedenen Tools durch. Hierzu gehören Testsysteme wie die Achilles Test Platform von General Electric. Dieses Testsystem stresst den Prüfling in einer Mischung aus zufälligen Testmustern, aber auch bekannten problematischen Mustern – z. B. Unterschiede zwischen tatsächlicher und deklarierter Länge von Datenblöcken, Überschreitung von erlaubten Längen und vieles mehr. Für weitere Tests setzt Bihl+Wiedemann Lastgeneratoren ein, die es ermöglichen, hohe Netzwerklasten zu simulieren. Diese können z. B. einzelne Tasks im Prüfling stoppen, was unerwartete Reaktionen zur Folge haben kann.

 

In der Praxis zeigen diese Tests in der Entwicklung immer wieder verblüffende Effekte. Diese bereits im Labor zu entdecken – bevor sie also beim Kunden auftreten – ist ein entscheidender Faktor der Qualitätssicherung. Der vergleichsweise hohe Aufwand an Zeit und finanziellen Mitteln lohnt sich nach den Erfahrungen von Bihl+Wiedemann in jedem Fall.

Einfache In-System-Updates erhöhen die Sicherheit

Unkompliziert Software-Updates durchführen zu können, ist für ein hohes Maß an Sicherheit ebenfalls unverzichtbar. Wie das Beispiel des Heartbleed-Bugs zeigt, können Fehler auch in sehr gut bewährten Paketen und erst nach sehr langer Zeit auftreten. Ist das der Fall, muss unverzüglich reagiert werden können. Am besten ist es, dem Anwender ein einfaches, zuverlässiges In-System-Update anzubieten. So kann er nicht nur dringend benötigte Sicherheitsupdates einspielen, sondern als „Nebeneffekt“ gleichzeitig auch funktionale Erweiterungen und Verbesserungen.

 

Bihl+Wiedemann bietet diese Möglichkeit für alle ASi-5 Master und Slaves direkt über die Bihl+Wiedemann Software Suite an. Dabei wird die Software der Geräte am ASi Bus mit den für die entsprechenden Seriennummern freigegebenen Softwares auf dem Update-Server verglichen. Gibt es eine neuere Version, kann direkt upgedatet werden – natürlich nur nach ausdrücklicher Zustimmung des Anwenders. Um die Sicherheitskette hier nicht zu unterbrechen, sind im Update-Prozess mehrere Sicherheitsmerkmale integriert:

 

  • Jedes TCP/IP-fähige Gerät erhält in der Produktion ein individuelles Zertifikat zur SSL-Kommunikation
  • Die Software auf dem Update-Server ist signiert und die Signatur kann von den Geräten verifiziert werden
  • Updates sind nur über den Update-Server und verschlüsselte Verbindung möglich

Das Firmware-Update wird durch mehrere Sicherheitsmechanismen im Hintergrund sicher

 

 

Der ideale Feldbus für Industrie 4.0

ASi-5 besitzt für die Umsetzung von Industrie 4.0-Projekten also beste Voraussetzungen: eine hohe Bandbreite, die bedarfsgerechte Aufteilung von zyklischen und azyklischen Diensten und die nötigen Sicherheits-Features. Allein der kommunikative Bruch zwischen ASi-5 und TCP/IP erhöht die Sicherheit durch die vieler Netzwerk-Teilnehmer deutlich. Des Weiteren unternimmt Bihl+Wiedemann vieles, um für noch mehr Sicherheit zu sorgen. Dazu zählen z.B. die beschriebenen umfangreichen Tests mit einer breiten Palette an Werkzeugen aus dem Bereich der Cybersicherheit sowie eine strukturierte In-System-Updatebarkeit der Bihl+Wiedemann-Produkte, gesichert mit kryptografischen Zertifikaten.