Erfahren Sie in unserem Whitepaper mehr über die Herausforderungen der Automatisierung, den zukünftigen Anforderungen und wagen Sie mit uns einen Blick auf die Steuerungstechnik der Zukunft.
Michael Langfinger
Ganz sicher vernetzt – auf allen Ebenen
Die Industrie 4.0 bedeutet Vernetzung – mit Zielen wie Steigerung der Produktivität und Erschließen neuer Wertschöpfungspotenziale. Das industrielle Internet der Dinge (IoT) stellt jedoch ganz neue Anforderungen an die Sicherheit und damit auch an Automatisierungslösungen. Da bei Bestandsprodukten Security-Features einzeln integriert werden mussten, war ein durchgängiges Konzept nur schwer umsetzbar. Bei der Automatisierungsplattform ctrlX AUTOMATION konnte Bosch Rexroth moderne Automatisierung „neu denken“ und somit von Grund auf ein ganzheitliches Sicherheitskonzept entwickeln. Dieses ist nach IEC62443 zertifiziert und ein essenzieller Bestandteil der ctrlX AUTOMATION-Plattform.
Die Verknüpfung der Automatisierungswelt mit dem Internet der Dinge zur Fabrik der Zukunft ist mit der Automatisierungsplattform ctrlX AUTOMATION gelungen. Dabei verbindet Bosch Rexroth Steuerungstechnik, IT und IoT sicher zu einem offenen und skalierbaren System. Security wird dabei auf allen Ebenen konsequent umgesetzt.
Secure by Design – integriert und sicher
Bosch Rexroth legt den Fokus bei ctrlX AUTOMATION stark auf IT-Sicherheit und bezieht Hardware und Software gleichermaßen ein. Die Produkte sind gemäß „Secure by Design“ von Grund auf sicher konzipiert. Für Anwendende – gerade im Bereich der Industrie 4.0-Umgebungen – ist es von zentraler Bedeutung, dass die Geräte, die zur Vernetzung genutzt werden, entsprechende Security-Mechanismen mitbringen. Diese Sicherheitsanforderungen bestimmen den Entwicklungsansatz der Lösungen von Bosch Rexroth rund um ctrlX AUTOMATION und bilden das Fundament von ctrlX IOT.
Zur Umsetzung von „Secure by Design“ setzt Bosch Rexroth auf Linux Ubuntu Core als Betriebssystem. Jede Applikation wird in einer Sandbox betrieben. In dieser sind die Apps (Software-Container im Snap-Format) standardmäßig begrenzt. Jede Lösung ist dabei isoliert und nur wenige – pro App definierte – Schnittstellen erlauben Zugriffe auf andere Apps oder Peripherie. Damit schafft Bosch Rexroth den Spagat zwischen sicherem und offenem System. Sollte eine Third-Party-Software Schadcode mitbringen, ist der Rest des Systems geschützt, da der Schadcode in der Sandbox isoliert ist.
Die integrierten Apps wie z.B. ctrlX MOTION und ctrlX PLC sind zudem manipulationssicher und vor Korruption geschützt. Durch unveränderliche Pakete und digitale Signatur wird jede App zum Installationszeitpunkt daraufhin überprüft, ob die Software von Bosch Rexroth verifiziert und herausgegeben wurde. Außerdem bieten Snaps die Möglichkeit von gezielten Updates von einzelnen Apps. Bringt ein Update Probleme mit sich, kann durch ein Rollback einfach auf den alten Stand zurückgegriffen werden.Außerdem bietet Bosch Rexroth mit der Steuerung ctrlX CORE eine integrierte All-in-one-Network-Appliance für höchste Sicherheit und Verfügbarkeit von Router, IoT-Gateway, Firewall und VPN. Die moderne IoT-Software setzt dabei auf vollintegrierte IT-Sicherheitsstandards nach IEC 62443 für Zugriffskontrolle und Fernwartung.
Ein damit verbundenes Security-Feature ist Secure Boot. Es prüft, ob der Bootlader oder das Betriebssystem nicht manipuliert wurden. In Kombination mit den signierten Applikationen kann die Systemintegrität jederzeit sichergestellt werden.
Auch ein TPM 2.0-Chip ist mit an Bord. Der Trusted Platform Module-Chip erweitert die Sicherheitsfunktionen, um beispielsweise kryptografisches Material auf dem Gerät zu sichern. Angreifenden ist es damit nicht möglich, kryptografisches Material vom Gerät zu entwenden und damit zum Beispiel Kommunikation zu entschlüsseln oder die Entität eines Gerätes zu stehlen. Mit Hardware-basierten Schlüsseln und Zertifikaten ist zudem eine nicht abstreitbare Identifizierung gegeben.
Die Benutzerverwaltung der ctrlX CORE ist eine der Basis-Security-Mechanismen des Systems. Sie bietet Anwendenden die systemweite Identifikation und Zugriffskontrolle für alle Apps und dem ctrlX Data Layer. Die konfigurierbare Benutzerverwaltung verhindert somit einen unautorisierten Zugriff auf Daten und Funktionalität.
Darüber hinaus kommt der „Secure Production Mode“ zum Einsatz. Er gewährleistet einen sicheren Produktionsmodus. Alle Anwendungen und Funktionen, die nicht benötigt werden, können mit dem benutzerdefinierten Kontrollmodus abgeschaltet oder deinstalliert werden. So werden potenzielle Angriffsvektoren geschlossen. Durch den Secure Production Mode wird der Netzwerkfußabdruck möglichst klein gehalten.
Secure by Default – standardmäßig sicher
Die Steuerung ctrlX CORE ist nicht nur gemäß „Secure by Design“ konzipiert, sondern auch „Secure by Default“ und bietet damit Sicherheit und Flexibilität bei der Datenintegration in bestehende IT-Fertigungssysteme. Anwendende können somit das Gerät ab der ersten Minute sicher einsetzen und es ohne Konfigurationsaufwand bedenkenlos mit anderen Systemen und dem IoT verbinden.
Firewall und VPN-App geben zusätzliche Sicherheit
Das System kann durch kundenspezifische Apps erweitert werden und ist bereit für neue Standards wie 5G und OPC UA. Um zusätzliche Use Cases zu ermöglichen, können optional eine VPN-Erweiterung oder Firewall-Installation per App vorgenommen werden.
Die Firewall ermöglicht Anwendenden die einfache Konfiguration sowie eine Netzwerksegmentierung und Zugriffsverwaltung. Bosch Rexroth hat hierfür eine auf Nftables basierende Firewall, die ein bedienerfreundliches Web-Frontend mitbringt, entwickelt. Die Firewall kontrolliert fortlaufend sämtlichen Netzwerkverkehr, so dass beispielsweise Ransomware gestoppt werden kann. Endanwendende können die Firewall-Konfiguration beliebig komplex gestalten und auf ihre Bedürfnisse zuschneiden. Durch ein segmentiertes Netzwerk mit erhöhtem Systemschutz wird im Falle eines Virenbefalls die Handlungsfähigkeit der Produktion gesichert und das Produktions-Know-how geschützt.
Die VPN App unterstützt die beiden gängigen und weit verbreiteten VPN-Protokolle OpenVPN und IPSec. Beide Dienste sind sicher verschlüsselt und bieten eine maximale Sicherheit. Sie können beispielsweise für eine sichere Fernwartung einfach an den eigenen Server – falls vorhanden – angebunden werden. Dies spart die Einbeziehung weiterer Hardware.
Alles in allem: Mit ctrlX AUTOMATION lässt sich die Effektivität und Sicherheit, die in Industrie 4.0-Umgebungen heute erforderlich ist, ganzheitlich umsetzen. Damit bildet es einen elementaren sicheren Baustein für die vollvernetzte Fabrik der Zukunft.
Sie haben Fragen oder wünschen weitere Informationen zu ctrlX AUTOMATION, dann kontaktieren Sie uns: