Bei der Verlagerung von Diensten in die Cloud handelt es sich um eine Tendenz, die in den klassischen IT-Bereichen mit hoher Geschwindigkeit voranschreitet. Viele Unternehmen verfolgen mittlerweile sogar eine Cloud-First-Strategie, bei der die Nutzung extern bereitgestellter Dienste gegenüber dem Eigenbetrieb bevorzugt wird. Cloud-Dienste werden typischerweise in die Bereiche Infrastruktur (Infrastructure as a Service, IaaS), Plattform (Platform as a Service, PaaS) und Applikation (Software as a Service, SaaS) unterteilt, wobei industrielle Cloud-Dienste auf die Applikationsebene abzielen.

In der IT verwendete Cloud-Dienste fokussieren sich häufig auf bestimmte Anwendungsfälle, die für das gesamte Unternehmen genutzt und zentral durch die IT-Abteilung verwaltet werden. Industrielle Cloud-Dienste sind meist dezentral angelegt, zum Beispiel als Services eines Herstellers für seine Produkte. In einer Automatisierungslösung, die sich aus Elementen unterschiedlicher Anbieter zusammensetzt und verschiedene Funktionen der Cloud-Lösungen einsetzen möchte, ergibt sich ein komplexes Gesamtbild. Darüber hinaus ist die Frage zu beantworten, wer die Verwaltung übernehmen kann. Dementsprechend erfordert die Verwendung industrieller Cloud-Dienste ein gut organisiertes Vorgehen.

Die Wirkung industrieller Cloud-Dienste resultiert aus dem Zusammenspiel der Feldgeräte und den zur Verfügung gestellten Diensten (SaaS). Dazu müssen Daten zwischen diesen beiden Endpunkten ausgetauscht werden. Grundsätzlich ist dabei eine direkte Kommunikationsverbindung vom im Automatisierungssystem installierten Feldgerät zum Cloud-Dienst möglich. Alternativ kann ein Cloud-Gateway genutzt werden, das die Kommunikationsverbindung eines oder mehrerer Feldgeräte zum Cloud-Dienst bündelt.

Aufgrund der Unterschiedlichkeit der Dienste entsteht hieraus eine Vielfalt an Ankopplungslösungen. So wird ein Condition Monitoring zur Zustandsüberwachung einer Maschine oder Komponente mit einseitigem Datentransfer anders umgesetzt werden müssen als beispielsweise eine Fernwartungsverbindung, die einen aktiven Durchgriff des Servicepersonals auf die Maschine oder Komponente anstreben.  

Auslösung von Schadwirkungen im Feld
Wegen der unterschiedlichen Einsatzszenarien ergeben sich jeweils andere Bedrohungen. Aus einem einseitigen Informationstransfer vom Feld in die Cloud folgt das Risiko, dass die Inhalte unerwünscht offengelegt werden. In diesem Kontext lassen sich schon vom Feldgerät mehr Informationen abrufen als erlaubt, der Datenaustausch könnte abgehört oder in der Cloud gespeicherte Informationen könnten preisgegeben werden. Die Manipulation der Daten hätte in diesem Fall Auswirkungen auf die Verwendung im Cloud-Dienst, würde den Betrieb im Feld jedoch nicht sofort beeinträchtigen.

Soll der Cloud-Dienst außerdem aktiv in das Feldgerät eingreifen, resultieren zusätzliche Bedrohungen daraus, dass Daten oder Befehle manipuliert werden könnten und sich damit eine Schadwirkung auf der Feldebene auslösen lässt. Ebenso wäre es denkbar, dass der Angreifer eine unabgestimmte Veränderung auf der Feldebene vornimmt, zum Beispiel außerhalb eines Wartungsfensters.

Vertrag mit Dienstanbieter hinsichtlich der Zusicherungen
Um den genannten Bedrohungen entgegenzuwirken, stehen verschiedene Möglichkeiten zur Verfügung. In jedem Fall ist das Cloud-Angebot zu betrachten: Welche Daten sind betroffen? Welche Angebote sollen genutzt werden? Hat die Kommunikation durch das Unternehmensnetzwerk zu erfolgen oder werden dedizierte Anbindungen eingesetzt?

Die Security-Eigenschaften des Cloud-Dienstes und des entsprechenden Anbieters sind gemäß der Kritikalität zu bewerten: Wird der Dienst in einem sicheren Entwicklungsprozess betrieben? Steht ein Sicherheitsmanagement bereit? Dabei muss auch die Security der darunterliegenden Plattform und Infrastruktur in die Evaluierung einbezogen werden.

Große Anbieter für IaaS-/PaaS-Lösungen sind in diesem Zusammenhang meist gut aufgestellt, doch nicht jeder SaaS-Provider kann diese Rahmenbedingungen auf gleichem Niveau erfüllen. Bekanntermaßen ist hier jede Kette lediglich so stark wie ihr schwächstes Glied. Deshalb sollten passende Zusicherungen des Dienstanbieters vertraglich geregelt sein.

Kommunikationsbeziehungen durch das Internet müssen grundsätzlich verschlüsselt sein. Dieses Vorgehen dient nicht nur dem Schutz der Daten, sondern insbesondere den eventuell zeitgleich übertragenen Kennungen, Passwörtern oder Zugriffs-Token. Direkt verschlüsselte Verbindungen von Feldgeräten in die Cloud erweisen sich insofern als problematisch, weil der Betreiber keine Kontrolle mehr hat, was innerhalb der Verbindung passiert. Dieser Zustand kann insgesamt akzeptabel sein, wenn sich das notwendige Vertrauen zwischen den Vertragspartnern im Rahmen der Security-Bewertung aufbauen lässt und der Betreiber eine entsprechende Parametrierung des Feldgeräts durchführen kann.

Beispiele für die Absicherung von Cloud-Diensten
Nachfolgend seien einige Beispiele für industrielle Cloud-Dienste und deren Absicherung aufgeführt:

Cloud-Gateway: Handelt es sich um Monitoring-Anwendungen, bei denen Daten unidirektional aus der Feldebene in die Cloud übertragen werden, bietet sich die Verwendung eines Cloud-Gateways an. Im Gateway kann der Betreiber das Sammeln der Daten sowie die lokale Verarbeitung und weitere Kommunikation kontrollieren. Auf diese Weise entlastet und entkoppelt das Cloud-Gateway ebenfalls die Feldgeräte. Im Bereich der Prozessindustrie hat der internationale Verband Namur in seiner Empfehlung 177 (NE 177: NAMUR Open Architecture – NOA Security Zones and NOA Security Gateway. Leverkusen : NAMUR, 2021) ein Security-Gateway definiert, das durch seine technischen Eigenschaften sicherstellt, dass aus der Monitoring-Applikation keine Rückwirkungen auf die Feldebene auftreten – wie in Bild 1 verdeutlicht.

Überwachung von Verschleißzuständen: Bild 2 zeigt die Überwachung von Elementen zum Schutz vor Überspannungen. Das Schutzgerät unterliegt bei seiner Auslösung einem Verschleiß, weshalb eine Zustandsüberwachung für den rechtzeitigen Austausch des Schutzgeräts sorgt. Die Daten werden durch ein Cloud-Gateway rückwirkungsfrei ausgelesen.

Energie-Monitoring: In einem Energie-Monitoring-System lassen sich viele Daten sammeln und auswerten, die nicht den höchsten Vertraulichkeits-Level benötigen und daher die Nutzung eines Cloud-Dienstes ermöglichen. Bild 3 veranschaulicht das Konzept: Die Messgeräte erfassen die Energiedaten und übertragen sie mit dem unidirektional ausgeführten MQTT-Protokoll (Message Queuing Telemetry Transport) zum Cloud-Service. Dort können sie analysiert und vom Anwender abgerufen werden.

Device Management: Bei einem Device Management, wie es in Bild 4 dargestellt ist, ergeben sich höhere Sicherheitsanforderungen, weil eine Einflussnahme auf das Feldgerät erfolgt. Entsprechend sind die Security-Anforderungen im Kontext der Anwendung zu evaluieren, bevor der Einsatz des Cloud-Dienstes gestartet werden kann.

Fazit
Im industriellen Umfeld erweist sich die Verwendung von Cloud-Diensten unter Betrachtung der zugehörigen Security-Anforderungen als möglich. Bei der Auswahl der Dienste sowie von deren Anbietern ist jedoch eine Security-Bewertung erforderlich. Die technische Umsetzung muss sich an den Rahmenbedingungen orientieren und bestenfalls die Security-Anforderungen erfüllen. 

Zertifikate und Signatur als weitere Sicherheitsmaßnahmen
PLCnext Technology erweitert die Zuverlässigkeit der klassischen Steuerungstechnik um die Offenheit von Smart Devices und bündelt so einzigartige Eigenschaften auf einer offenen Steuerungsplattform. Neben der Möglichkeit per App oder klassischen Funktionsbausteinen eine Kommunikation zu den Cloud-Diensten von ­Microsoft Azure und AWS herzustellen, bietet PLCnext Technology ebenfalls eine sichere Datenübertragung zu Proficloud.io. Hier stehen Smart Services zur Verfügung, beispielsweise Time Series Data Service zur Visualisierung von Prozessdaten oder Device Management Service für das Verwalten und Aktualisieren der Firmware der PLCnext-Steuerungen.

Im Rahmen der Entwicklung dieser Kommunikation über das öffentliche Internet wurde explizit ein Schwerpunkt auf die Sicherheit und Vertraulichkeit der Daten gelegt. Allerdings reicht nur eine Verschlüsselung der Daten nicht aus. Aufgrund der Anforderungen und Prozesse der IEC 62443 basiert die Authentisierung der Geräte zu Proficloud.io auf Zertifikaten. Zudem sind sämtliche Kommandos im Datentransfer zwischen Proficloud.io und PLCnext-Steuerung eindeutig signiert. 

Mehr Informationen zum Thema finden Sie hier: