:quality(80)/p7i.vogel.de/wcms/ef/b6/efb652b6e26fd6bbb93dfb91171a05e6/0111866008.jpeg "Dr. Björn Mathes, Geschäftsführer der Dechema Ausstellungsgesellschaft (Bild: Dechema)")
:quality(80)/p7i.vogel.de/wcms/e1/d4/e1d481d406a54c54c0077072c86a8032/0111696328.jpeg "In der Agrana-Anlage in Gmünd wird die neue Walzentrocknung eingebaut. (Bild: APA_Schedl_agrana)")
:quality(80)/p7i.vogel.de/wcms/a4/9a/a49afd549e3e5c9bbc058281611193d6/0110020694.jpeg "In diesem Jahr wird der Best of Industry Award in 30 Kategorien vergeben. (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/7f/8c/7f8ce9a9b71235809bcbda6bc8995ba2/0111725188.jpeg "Die präzise Durchflussregelung der Gleitschieberventile gewährleistet, dass jeder der acht Aktivkohlefilter (hier im Bild) und die 13 Remineralisierungstanks gleichmäßig ausgelastet werden. (Bild: Schubert & Salzer Control Systems)")
:quality(80)/p7i.vogel.de/wcms/55/d9/55d978e705350e045889b4ff6c12ffc9/0111712766.jpeg "Weniger ist zwar nicht mehr, aber beim Thema Ausgaben macht jeder gerne Kürzungen. (Bild: © eyewave - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/79/79791f7ddbdbb9b4e21bc4b53a69946b/0111457746.jpeg "Genau, robust und vor allem unkompliziert: das müssen – und können – Füllstand- und Drucksensoren in der Abwasseraufbereitung sein, wie ein Best-Practice-Beispiel in Belgien zeigt. (Bild: Alekss - stock.adobe.com; Vega)")
:quality(80)/p7i.vogel.de/wcms/84/6f/846ffa84cc37e0fa248472f12c7bbf82/0110618075.jpeg "George Nicholls, Projektmanager, Arla Foods: „Grundfos hat die Natur unseres Geschäfts und die Notwendigkeit der Kontinuität der Abläufe klar verstanden. So konnte unsere Arbeit mit minimalen Einschränkungen vor Ort fortgesetzt werden“. (Bild: Grundfos)")
:quality(80)/p7i.vogel.de/wcms/d3/cf/d3cf3f3220d573ac18c044df1bcb8f08/0112067835.jpeg "Mit den neuen abwaschbaren Vakuumpumpen DV 650 und DV 800 FP-r der trockenlaufenden Dryvac-Baureihe hat Leybold zwei Modelle für hygienische Prozesse entwickelt. (Bild: Leybold)")
:quality(80)/p7i.vogel.de/wcms/55/f8/55f8c0df14f7939825108e8d9b22b5a9/0110644178.jpeg "Die neue Alfa Laval Think Top V20 von hygienischen Ventilanzeigen (Bild: Alfa Laval)")
:quality(80)/p7i.vogel.de/wcms/a4/ee/a4ee66bf76a3d671d25e65aacdfbfbc0/0111576347.jpeg "So kann aus einem nachwachsenden Rohstoff eine flexible Schaumfolie entstehen. (Bild: IKV Aachen/Gefinex)")
:quality(80)/p7i.vogel.de/wcms/16/8d/168ddc7b956d7e522c008521a893c8d8/0112002078.jpeg "Mit Jumo Care+ erhalten Kunden ein Rundum-sorglos-Paket. (Bild: sidorovstock - stock.adobe.com, JUMO)")
:quality(80)/p7i.vogel.de/wcms/39/35/3935d5ef697899e06de91d6db266effc/0112005337.jpeg "Hochgenaue Messumformer Rotronic Hygro Flex HF3 (Bild: Process Sensing Technologies (PST))")
:quality(80)/p7i.vogel.de/wcms/ff/7b/ff7bf588c60f5b1bee7203131957d362/0112004035.jpeg "Neue Vakuummessröhre von Pfeiffer Vacuum sorgt für mehr Prozesskontrolle und Betriebssicherheit. (Bild: Pfeiffer Vacuum)")
:quality(80)/p7i.vogel.de/wcms/3f/1b/3f1becdc65ce27ab4c222b3a19d7a538/0112003091.jpeg "Drucktransmitter 21Zio (Bild: Keller)")
:quality(80)/p7i.vogel.de/wcms/80/df/80df7aa0d87638a392fc77742e45adca/0112007191.jpeg "Aris Stellantriebe präsentiert den neuen ExTensor. (Bild: Aris)")
:quality(80)/p7i.vogel.de/wcms/ae/be/aebe5ce2b83732d0ab8da7d15a37a1ef/0111994626.jpeg "Der neue Druckmessumformer DMU 30 ist eigens für kommende Wasserstoffapplikationen ausgelegt. (Bild: Afriso)")
:quality(80)/p7i.vogel.de/wcms/d4/a4/d4a4db5d2cd8516b8579baf1c788da9c/0111649353.jpeg "Als integriertes Leit- und Sicherheitssystem bieten DeltaV und DeltaV SIS von Emerson eine gemeinsame Umgebung für Engineering, Wartung und Betrieb. (Bild: Emerson)")
:quality(80)/p7i.vogel.de/wcms/ce/ba/ceba481869a66df1048e29e9c02eeaf6/0111979849.jpeg "David Sudolsky, CEO bei Annelotech (Bild: Annelotech)")
:quality(80)/p7i.vogel.de/wcms/6a/bf/6abf7518251c91f6f120c9b9d4d9ebe4/0111744711.jpeg "Die Anlage kann bei Erreichen der angestrebten technischen Parameter jährlich 250.000 Tonnen Stroh verarbeiten, um 50.000 Tonnen Zellulose-Ethanol (Nennkapazität der Anlage) zu produzieren. (Bild: Clariant)")
:quality(80)/p7i.vogel.de/wcms/fd/ba/fdbacaaa11a49f24491cdf2d3c3740f4/0111744655.jpeg "Gruppenbild vor den enthüllten Kraftwerkstafeln, v.l.n.r.: Dr. Christof Günther, Geschäftsführer InfraLeuna GmbH, Hartmut Handschak, Landrat des Saalekreises, Ministerpräsident Dr. Reiner Haseloff, Frank Bommersbach, Mitglied des Landtages Sachsen-Anhalt, Prof. Dr. Markus Krabbes, Rektor an der Hochschule Merseburg, Sebastian Müller-Bahr, Oberbürgermeister der Stadt Merseburg. (Bild: Tilo Weiskopf/ Infra Leuna)")
:quality(80)/p7i.vogel.de/wcms/ea/34/ea3452401d41bce439179f2d449d9b94/0111808482.jpeg "Die Chemienormpumpen der Baureihe MegaCPK wurden um 19 Baugrößen erweitert. (Bild: KSB)")
:quality(80)/p7i.vogel.de/wcms/9a/a1/9aa1f3ead43839332a6dc19963fd65e1/0112098948.jpeg "Der Öl-Wasser-Trenner Qwik-Pure ist ein völlig neuartiges System für die Kondensataufbereitung. (Bild: Beko Technologies)")
:quality(80)/p7i.vogel.de/wcms/a8/23/a82343337b6c49fada7e60dcd273d9d3/41728766.jpeg "Auf der sicheren Seite: Wenn Komponenten unvorhergesehen versagen, greift das Konzept funktionale Sicherheit, um Betrieb, Personal und Umwelt vor Schaden zu bewahren. (Bild: © anuphadit - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/b9/d1/b9d1aa79d5a671a6c33f0cb0dbf2e64c/0111064157.jpeg "Autor Alexander Goller ist Senior Systems Engineer bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/4e/b7/4eb7a81f44693dcdc6c4eeac8c3b8420/0111571217.jpeg "Jumo Nesos: Überfüllsicherung mit Standgrenzschalter für Behälter zur Lagerung wassergefährdender Flüssigkeiten (Bild: Jumo)")
:quality(80)/p7i.vogel.de/wcms/29/92/2992d34e491185ab22c6f0b5bf7914ab/0108902218.jpeg "Gea liefert an AS Utilitas Tallinn drei XB-Schraubenverdichter und einem neuen Hocheffizienz-Schraubenverdichter L XHP 70 bar. Damit bekommen mehrere hundert Haushalte Versorgungssicherheit, was die Fernwärme betrifft. (Bild: AS Utilitas Tallinn)")
:quality(80)/p7i.vogel.de/wcms/9e/54/9e54cb1f6f9c0c494f5919830fedeb1c/0104834592.jpeg "HDPE- und PP-Flakes vor der Sortierung mittels Nahinfrarot-Spektroskopie (NIR) (Bild: Pla.to Technology)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944400/1944458/original.jpg "Triastek und Siemens haben eine strategische Zusammenarbeit zur Beschleunigung der digitalen Transformation in der Pharmaindustrie vereinbart. (Triastek)")
:quality(80)/p7i.vogel.de/wcms/f2/38/f23897e25be52aa79705c21363ae47ec/95665313.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a6/35/a6353c9f7620a784c77fe9fd9076b63d/0112019016.jpeg "Im Fokus der aktuellen Investition von Merck steht eine neue, 1200 Quadratmeter große Anlage in Glasgow (Bild: Merck)")
:quality(80)/p7i.vogel.de/wcms/fb/31/fb31c06f5e135ab3d5af3ca9bbef3305/95665313.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f2/c4/f2c445404c01ab15691d09a1480839d0/0110956962.jpeg "Die neue Generation der Differentialdosierer mit Vibrationsrinne ermöglicht eine schonende Behandlung des Schüttguts, eine höhere Genauigkeit und kürzere Umrüstzeiten. (Bild: Coperion)")
:quality(80)/p7i.vogel.de/wcms/9e/05/9e059810327d78cf8a329ab199dd0dbc/0112016748.jpeg "Hier wurde der weltweit größte pneumatische Klopfer K160 zweimal unterhalb eines Sand-Split-Bunker am Auslauftrichter montiert. Dieser ist vier mal vier Meter groß, die Wandstärke beträgt 20 Millimeter und der Auslass 500 mal 500 Millimeter. (Bild: Singold Gerätetechnik)")
:quality(80)/p7i.vogel.de/wcms/69/28/6928148c0e9dc98347516f85f8cb573d/0111007298.jpeg "Das Anschlusssystem sorgt für staubdichtes Andocken und sicheres Entleeren. Ein integriertes Vibrationssieb verhindert, dass Fremdkörper in die Produktion gelangen. (Bild: Azo)")
:quality(80)/p7i.vogel.de/wcms/c8/33/c8335f557b0bb6cae2faa7f33ef45643/0111006458.jpeg "Mit der neuen, modularen Bauweise sind in allen Anlagen nun gleiche oder ähnliche Komponenten und Module verbaut. (Bild: Beumer)")
Security in der vernetzten Automatisierung Wirkungsvoller Zugriffsschutz setzt Spitzel vor die Tür
Webbasierte Konfigurationsschnittstellen werden von unzähligen Automatisierungs-Baugruppen genutzt, damit Anwender möglichst einfach auf eine integrierte Benutzerschnittstelle zugreifen können. Weil sie aber meistens völlig unzureichend gesichert sind, steht qualifizierten Angreifern Tür und Tor offen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/67000/67026/65.jpg "Logo.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/125100/125181/65.jpg "HECHT_Logo_Redesign_CMYK.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/57/5e57af7611787/dinnissen-logo-2017---fc---medium.png "Dinnissen Logo 2017 - FC - medium.png (.)"){kind=logo}
Durch das Internet der Dinge, Cyber-physikalische Systeme und Industrie 4.0 wird die Anzahl der vernetzten Baugruppen in der Automatisierung in den nächsten Jahren sehr stark anwachsen. Da praktisch jedes System zumindest eine webbasierte Benutzerschnittstelle für Inbetriebnahme- und Serviceaufgaben besitzt, steigt auch die Anzahl möglicher Angriffspunkte. Um derartige Schnittstellen besser zu schützen, besteht aus Expertensicht akuter Handlungsbedarf.
Mithören bei Ethernet-Netzwerken ist ganz leicht
In einer typischen Netzwerkkonfiguration bildet ein Ethernet-LAN-Switch die zentrale Infrastrukturbaugruppe. Alle Systeme eines Netzwerks sind sternförmig mit den einzelnen Switch-Ports verbunden. Im Switch existiert eine Adresstabelle, in der festgehalten wird, welches System bzw. welche Ethernet-MAC-Adresse mit welchem Port verbunden ist. Mit Hilfe dieser Tabelle laufen die Datenpakete bei der Kommunikation zweier Rechner im LAN nur über die jeweiligen Kabelverbindungen zwischen dem betreffenden System und dem Switch-Port. Alle anderen Rechner am gleichen Switch bekommen diese Datenpakete nicht zu sehen.
:quality(80)/images.vogel.de/vogelonline/bdb/790100/790139/original.jpg "Bild 2: Durch die sternförmige Topologie typischer Ethernet-LANs läuft ein Datenpaket, das von System C an B gesendet wird, nur über die betroffenen Ports des Ethernet-Switch. Mit einem Angriffswerkzeug wie Arpspoof lässt sich das aber ändern, um zum Beispiel System A als Men-in-the-Middle in die Kommunikation einzufügen. Von diesem System aus lässt sich die Kommunikation dann abhören und verändern.")
:quality(80)/images.vogel.de/vogelonline/bdb/790100/790140/original.jpg "Bild 3: Bei einem Cross-Site-Scripting- (XSS-) Angriff versucht ein Webclient einem Server per Request ein Codefragment zu übermitteln. Falls der Webserver den Request nicht hinsichtlich der XSS-typischen Kriterien prüft, wird ausführbarer Schadcode entweder in einer Datenbank bzw. in einem Konfigurationsbereich dauerhaft gespeichert oder ungefiltert an den Client zurückgeschickt und dort ausgeführt.")
:quality(80)/images.vogel.de/vogelonline/bdb/790100/790141/original.jpg "Bild 4: Der Schutz einer webbasierten Benutzeroberfläche durch eine Benutzername-Password-Kombination ist in der Praxis vielfach völlig unzureichend. Eine deutlich bessere Zugriffssicherheit ist mit einem zusätzlichen Security-Dongle realisierbar, der erst nach einer erfolgreichen Challenge-Response-Authentifizierung den Benutzerzugriff auf die Weboberfläche einer Automatisierungsbaugruppe (AT-Baugruppe) zulässt. Man spricht dann auch von einer Zwei-Faktor-Authentifizierung (having something + knowing something).")
Aus dem Switch-Verhalten sollte man nicht schlussfolgern, dass die Kommunikation zwischen zwei LAN-Systemen nicht ohne weiteres durch ein drittes System abhörbar ist. Es existiert zum Beispiel mit Arpspoof ein Werkzeug, mit dem jeder entsprechend vorgebildete Angreifer von einem dritten Rechner aus die Kommunikation zweier anderer Systeme im gleichen LAN abhören kann und jederzeit durch einen Men-in-the-Middle-Angriff manipulieren kann, ohne das die anderen Systeme im LAN etwas davon mitbekommen.
Ein Eingriff in die LAN-Verkabelung ist nicht erforderlich. Es wird lediglich das Packet-Forwarding aktiviert und auf dem anzuhörenden Rechner die ARP-Tabelle manipuliert. Letztes erfolgt mit Arpspoof vom Rechner des Angreifers aus. Mit einer solchen Vorgehensweise lässt sich die Kommunikation zwischen dem eingebetteten Webserver einer Automatisierungsbaugruppe und einem Benutzer-PC innerhalb des gleichen LANs abhören, aufzeichnen, manipulieren und sogar ins Internet übertragen.
Die Angriffsmethode XSS ist weit verbreitet
XSS ist die Abkürzung für Cross-Site Scripting. Gemeint ist damit eine Angriffsform, bei der einem HTTP(S)-Server innerhalb einer Anfrage (HTTP-Request) ein ausführbares Codefragment übermittelt wird, um mit diesem Code einen Speicherbereich des Servers zu infizieren (persistentes XSS) oder dafür zu sorgen, dass der Code in der Serverantwort (HTTP-Response) direkt an den Client zurückgeschickt wird (reflektierendes bzw. nicht persistentes XSS). Im ersten Fall wird der Code zu einem späteren Zeitpunkt als Antwort auf eine Abfrage an den Client geschickt – zum Beispiel in einem Forumseintrag. In beiden Fällen führt der Client – typischerweise ein Webbrowser – den Code aus.
Um XSS-Angriffe auf Automatisierungsbaugruppen zu unterbinden, muss der jeweilige Server jeden eingehenden Request systematisch nach den XSS-typischen Zeichenfolgen durchsuchen und alle kritischen Sequenzen ausfiltern. Das gilt auch für alle Erweiterungen, die in Form von CGI-Modulen oder sonstigen serverseitigen Skripten erstellt werden und die Antworten für Clientsysteme erzeugen. Darüber hinaus sollten alle Webschnittstellen einer Automatisierungsbaugruppe mit professionellen Testwerkzeugen, wie zum Beispiel ZAP durch entsprechend geschulte Fachkräfte geprüft werden.
In den USA betreibt die Regierung ein ICS-CERT (Industrial Control Security Computer Emergency Response Team). Es ist dem US Department of Homeland Security unterstellt und veröffentlicht auf der Website fortlaufend Schwachstellen in Automatisierungsprodukten. Hier findet man auch etliche namhafte deutsche Hersteller, die mit den XSS-Schwachstellen in ihren Produkten aufgefallen sind.
Zwei-Faktor-Authentifizierung ist der bessere Zugriffsschutz
Nur durch Benutzername-Passwort-Kombinationen geschützte Weboberflächen in Automatisierungsbaugruppen sind aus Security-Sicht völlig unsicher und praktisch für jedermann zugänglich.
Ein deutlich besserer Zugriffsschutz für Weboberflächen in Automatisierungsbaugruppen lässt sich mit Hilfe einer Zwei-Faktor-Authentifizierung realisieren. Bei dieser Authentifizierungsmethodik erfolgt der Identitätsnachweis eines Nutzers durch die Kombination zweier voneinander unabhängiger Komponenten (Faktoren). Dabei unterscheidet man zwischen:
- Etwas, was der Nutzer besitzt (having something), z.B. einem Dongle bzw. Token.
- Etwas, was der Nutzer weiß (knowing something), z.B. eine Benutzername-Passwort-Kombinationen bzw. eine PIN.
- Etwas, was als körperliches Charakteristikum untrennbar zum Nutzer gehört (being something), z.B. ein Fingerabdruck.
So funktioniert ein wirkungsvoller Zugriffsschutz
Ein recht wirkungsvoller Zugriffsschutz lässt sich etwa durch einen Security-Dongle mit Challenge-Response-Authentifizierung realisieren, der zunächst einmal mit einer Schnittstelle der Automatisierungsbaugruppe verbunden werden muss. Dadurch wird die Weboberfläche überhaupt erst freigeschaltet, um die Benutzername-Passwort-Kombination einzugeben.
Bei der Challenge-Response-Authentifizierung teilen sich beide Seiten – in diesem Fall die Automatisierungsbaugruppe und der Security-Dongle – ein Geheimnis bzw. einen Schlüssel. Dieser ist, in der Regel durch einen Ab-Werk-Setup, in einem speziellen Speicherbereich hinterlegt. Der Schlüssel selbst wird niemals ausgelesen und über einen Übertragungskanal gesendet oder visualisiert.
Abbildung 4 illustriert die Funktionsweise. Nach dem Aufstecken des Dongles auf die Automatisierungs-Baugruppenschnittstelle wird eine einmalige Zufallszahl (Nonce) gebildet und als Challenge an den Dongle übertragen. Dieser ermittelt aus der Zufallszahl und dem hinterlegten Schlüssel über eine geeignete Hashfunktion einen digitalen Fingerabdruck. Der wird als Response vom Dongle an die Automatisierungsbaugruppe zurückgeschickt. Die kennt ebenfalls den Schlüssel und die Hashfunktion des Dongles. Somit kann die Automatisierungsbaugruppe selbst den digitalen Fingerabdruck für die Challenge erzeugen und das Ergebnis mit der vom Dongle erhaltenen Response vergleichen. Sind beide Fingerabdrücke identisch, wird die Challenge-Response Authentifizierung erfolgreich abgeschlossen. Nun kann der Nutzer die Benutzername-Passwort-Kombination eingeben.
SPS IPC Drives: SSV, Halle 10, Stand 301
Der Beitrag erschien zuerst auf dem Portal unserer Schwestermarke elektrotechnik.
* Stefan Klünder, Sales- und Project Manager, SSV Software Systems
(ID:43055677)
:quality(80)/images.vogel.de/vogelonline/bdb/1943100/1943171/original.jpg "Version 5.70 des OPC UA C++ SDK unterstützt jetzt Reverse Connect und den GDS-Zugriff. (Bildausschnitt) (Softing Industrial)")
:quality(80)/images.vogel.de/vogelonline/bdb/1943100/1943132/original.jpg "Sic vis pacem: Wenn die Industrie auf das virtuelle Schlachtfeld gezogen wird, gilt es, Vorbereitungen zu treffen. (gemeinfrei)")