Wie mit Zenon für Sicherheit in der digitalen Fabrik gesorgt werden kann

In der produzierenden Industrie wird noch oft die Sicherheit vernachlässigt und kein Logging betrieben. Dabei ist Logging die Basis für alle IT-Security-Strategien. Doch mittels zenon können auch inhomogene Komponenten in ein zentrales Logging-Management eingebunden werden und eine Lösung bieten.

Maschinen, Anlagen, Messgeräte und andere Produktionseinheiten werden in Zeiten des IoT digitalisiert und mit der IT-Infrastruktur eines Unternehmens vernetzt. Doch ein zentrales
Log-Management dieser Komponenten wird gerne auf die lange Bank geschoben. Das liegt zum Teil an den heterogenen Systemlandschaften, die im Industriebereich zum Einsatz kommen. Darüber hinaus fehlt es oft am Know-how über die vorhandenen Log-Informationen der eingesetzten Systeme. Zusätzlich haben nicht alle eingesetzten Automatisierungskomponenten entsprechende technische Schnittstellen oder Konfigurationsmöglichkeiten.

Trotzdem bieten moderne Automatisierungssysteme wie zenon Lösungsstrategien für das Logging. Denn auch die operativen Systeme müssen Bestandteil einer zentralen Log-Strategie sein, um übergeordnete Ziele für die Sicherheit erreichen zu können. Immerhin setzen alle relevanten Standards wie ISO 27001 oder IEC62443 dies als integralen Bestandteil voraus.
Viele Datenquellen sind vorhanden. Als Verantwortlicher für IT-Security sollte man sich zunächst einen Überblick über die möglichen Datenquellen verschaffen. Ein typisches HMI/Scada-
System wie zenon bietet in der Regel immer folgende Informationen, die interessant für das Logging sein können:

1. Eventlisten und Betriebstagebücher. Diese Protokolle sind in der Regel in allen Automatisierungslösungen vorhanden und beinhalten neben den Prozessdaten auch
   sicherheitsrelevante Informationen. Dazu gehören zum Beispiel das Log-in und Log-out von Usern oder der Eintrag, wenn sich ein neuer Client am Server anmeldet. In den neuen zenon-Versionen können diese Informationen zusätzlich gefiltert werden.
2. Alarm- und Störmeldelisten. Alarme können gezielt über kritische Systemzustände informieren. Diese können zum einen den eigentlichen Produktionsprozess betreffen, aber auch die IT-Komponenten überwachen. So kann zum Beispiel in zenon gezielt die Hardwareauslastung – zum Beispiel die CPU-Last oder der  Speicherbedarf der Anwendung – überwacht werden. Untypische Überschreitungen der Betriebszustände, wie beispielsweise ein Datendiebstahl nachts bei Produktionsruhe, können so einfach in ein zentrales Logging integriert werden.
3. Kommunikationsstatistiken. zenon bietet viele Möglichkeiten, um die Kommunikation im Netzwerk oder auch die individuellen Treiber von zenon zu überwachen. Mit den Variablen in den Systemtreibern und den pro Treiber vorhandenen Kommunikationsdetails kann die gesamte Kommunikation detailliert im Auge behalten werden. Beispielsweise werden in der chronologischen Ereignisliste die aktiven Netzwerkteilnehmer, Verbindungsversuche oder die Anzahl der Datenpakete im Standardbetrieb aufgezeichnet. Kommt es zu einem atypischen Verhalten, können in zenon über die Module AML oder CEL der Anwender und das zentrale Security-Logging informiert werden.
4. Logfiles der Applikation. Nahezu jede Automatisierungslösung beinhaltet ein meist lokales Logging, das in der Regel ausschließlich für die Fehlerdiagnose verwendet
   wird. Diese Logfiles sind oft sehr umfangreich und sollten vor einer Integration in ein zentrales Log-Management genau analysiert werden. Oft bietet sich diese
   Datenquelle für die forensische Analyse eines Vorfalls an, während sie weniger für dessen Echtzeiterfassung geeignet ist. Auch zenon bietet ein solches Logging. Dabei kann die Tiefe individuell konfiguriert werden.

Vorgangsweise.

Es sollten zu Beginn eines solchen Projektes die vorhandenen Datenquellen identifiziert und kritische Systemzustände definiert werden. Oft ist eine breite Basis an Daten vorhanden, die dafür verwendet werden kann. Zum Teil müssen diese Informationen aber nachgerüstet werden, wenn sie bisher in der Applikation nicht vorhanden sind. Möchte man die bestehende zenon-Applikation nicht grundlegend anpassen, bietet die Mehrprojektverwaltung die Möglichkeit, eigene Logging- oder auch Monitoringprojekte im Netzwerkverbund zu integrieren. Das zentrale Logging-Projekt kann um zusätzliche Logging-Aufgaben auf Industrieebene erweitert werden. So können in zenon ein SNMP-Client integriert werden, der die SNMP-Traps von IT-Geräten – beispielsweise Netzwerkkarten oder Router – empfängt oder deren Ping-Status prüft und in das Logging integriert. Diese Strategie erlaubt die zentrale Wartung der Logging-Instanz und bündelt alle Informationen auf eine Schnittstelle.

zenon integriert Logging.

Wie können Sie als Integrator oder Systembetreiber diese Informationen einfach an die zentrale IT übermitteln? Welche Schnittstellen gibt es, die auch in der IT-Welt vorkommen? zenon bietet dafür zwei Technologien. Beide erfolgen durch einen eigenen Process Gateway. So können beliebige Informationen einer zenon-Applikation auf der Basis von Variablen einfach in ein zentrales Logging integriert werden.

SNMP-Server:

Das Simple Network Management Protocol ist ein Standard-Netzwerkprotokoll, um Netzwerkkomponenten – Router, Server, Switches, Drucker usw. – von einer zentralen Station aus zu überwachen und zu steuern. Das Protokoll regelt dabei die Kommunikation zwischen den überwachten Geräten und der Überwachungsstation. SNMP beschreibt den Aufbau der
Datenpakete, die gesendet werden können, sowie den Kommunikationsablauf. Es kann jedes netzwerkfähige Gerät in die Überwachung aufnehmen. Durch seine Einfachheit, Modularität und Vielseitigkeit hat sich SNMP zum Standard entwickelt, der von den meisten Managementprogrammen und Endgeräten unterstützt wird.

Syslog:

Die aktuelle Version zenon 8.20 bietet auch die Syslog-Integration. Syslog ist ein weltweiter Standard zur Übermittlung von Log-Meldungen in einem IP-Rechnernetz. Das Protokoll ist sehr einfach aufgebaut. Der Syslog-Client sendet eine kurze Textnachricht von weniger als 1.024 Byte an den Syslog-Empfänger. Die Nachrichten werden derzeit in zenon mit einem auf UDP basierenden Protokoll übertragen. Das ermöglicht die leichte Integration von verschiedensten LogQuellen in ein zentrales Gesamtverzeichnis.

Nicht nur in der klassischen IT, sondern auch für die digitale Fabrik gilt, dass jedes Konzept für IT-Security auf einem überzeugenden Logging basiert. Mit zenon kann diese Strategie auf vielen Wegen umgesetzt werden und einen wesentlichen Beitrag zur Sicherheit in der digitalen Fabrik leisten.

>> Mehr aus Ausgabe 02/2021 von IoT4 Industry & Business