Neue Siemens-Datendiode auf dem Markt: So überwachen Sie Ihre Netzwerke sicher

Das Internet der Dinge (IoT) ist fast überall – und es wächst täglich weiter. Straßen und Schienen, Gebäude und Maschinen, Produkte und Prozesse erhalten Sensoren und tauschen Informationen aus. Damit öffnen sich lange verschlossene Türen zu einem wahren Datenuniversum. Für Hersteller, Betreiber und Endnutzer hält dieses Universum unzählige neue Möglichkeiten bereit. Geschäftsmodelle verändern sich. Mobilität wird zunehmend zum Service; intermodales Reisen zur Realität. Industrielle Prozesse könnten aus der Ferne überwacht und gesteuert werden.

Eine ganzheitliche, branchen- und unternehmensunabhängige Betrachtung ist dabei wesentlich; der Schutz von Personen, Daten und Systemen unabdingbar. Entscheidend für eine sichere Anbindung von intelligenten Geräten an eine Cloud-Lösung sind daher geschützte Schnittstellen und Übertragungswege. Denn alles ist Teil der Kette: von der Entwicklung, zur Produktion bis hin zum Betrieb und der Nutzung von Anlagen. Erst, wenn funktionale Sicherheit (Safety) und der Schutz von Daten und Systemen (IT-/Cyber-Security) vom Beginn der Produktionskette an durchgehend gewährleistet sind, werden Unternehmen ihr volles digitales Potenzial ausschöpfen. Es geht um den Schutz von Menschen ebenso wie um die Informationssicherheit.

Besonders relevant ist dies für die Vernetzung in sicherheitskritischen Branchen wie etwa Energie oder Mobilität und wichtigen Produktionszweigen. Traditionell sind die Netzwerke in diesen Bereichen durch Firewalls geschützt und/oder durch so genannte „Air-Gaps“, was bedeutet, dass sie vollständig isolierte Dateninseln sind. Beide Lösungen haben ihre Schwächen. Air-Gaps – wie sie beispielsweise bei Kraftwerksnetzen eingesetzt werden – ermöglichen keine Übertragung von Live-Daten aus dem Netz heraus und das Potenzial der vorhandenen Datenfülle wird nicht ausgeschöpft. Wären Anwendungen wie diese sicher vernetzt, könnten die Kunden die Vorteile wie Live-Monitoring, umfassende Datenanalyse und eine vorausschauende Wartung der Anlagen nutzen.

Firewalls dagegen sind anfällig für Fehlkonfigurationen und Hintertüren. Die Filterregeln einer Firewall sollten zum Beispiel bei Maschinen mit hoher Kommunikationsfähigkeit und Funktionsvariabilität häufig überprüft und angepasst werden. Daher empfehlen Experten wie die Autoren des IT-Security-Leitfadens des Verbands Deutscher Maschinen- und Anlagenbau e.V. (VDMA) den ergänzenden Einsatz von Datendioden „für besonders gefährdete Netzsegmente“, da die Informationen „ausschließlich in eine vordefinierte Richtung fließen.“

Siemens ist marktführender Lösungsanbieter in der Verkehrsinfrastruktur. „Wir haben die Kompetenz, die nötige Erfahrung und somit eine Verantwortung, den digitalen Wandel, der uns alle betrifft, zu begleiten und sicher zu gestalten. Dieser Verantwortung werden wir gerecht. Aus diesem Grund investieren wir unablässig in Forschung und Entwicklung“, betont Siemens Mobility CEO Michael Peter. Ein Ergebnis ist eine der neuesten Entwicklungen aus dem Hause Siemens: eine kleine, einfach zu installierende, aber hochwirksame Datendiode. Sie ermöglicht umfassende Konnektivität und kontrolliertes Monitoring auch von sicherheitsrelevanten Netzwerken. Die „Data Capture Unit“ (DCU) verbindet ein geschlossenes Netzwerk über einen unidirektionalen Datenkanal sicher mit einem Speichermedium, Server oder eben dem IoT. Das Potenzial dieser Dateneinbahnstraße ist enorm und eröffnet ganz neue Möglichkeiten.

In der Verkehrsinfrastruktur kann die Diode – eingebettet in die Hard- und Software-Lösung MindConnect Rail oder Road – angeschlossene Systeme wie Leit- und Sicherungstechnik der Schienen- und Straßeninfrastruktur verbessern. Operative Zugdaten können die Kunden via MindSphere, das IoT-System von Siemens, beispielsweise mit historischen Verbrauchsdaten, Wettervorhersagen oder Informationen zu Großereignissen in einer Stadt verknüpfen. Das Ergebnis ist ein reibungsloser Verkehrsfluss und die perfekte Reise von A nach B. Dank vernetzter Technologie kann das schon in naher Zukunft zum Standard werden. MindConnect Rail ist bereits auf dem Markt und bietet Konnektivität in einem nach dem höchsten Sicherheitsintegritätslevel (SIL4) geschütztem Umfeld.

Die neue Siemens „Data Capture Unit“ (DCU) sorgt für hohe Systemsicherheit und Flexibilität bei gleichzeitig kontrolliertem Zugang von außen. Als passiver Netzwerkzugang lässt sie die gewünschten Daten “live“, jedoch nur in eine Richtung – von der Hardware in die Cloud – fließen. Verkabelt im System des Kunden, kann die DCU den gesamten Full-Duplex-Datenfluss zwischen zwei Systemen unabhängig von den verwendeten Protokollen „mitlesen“ – etwa zwischen einem Verkehrsmanagementsystem und einem Stellwerk – und diese Daten zu Monitoring- oder Analysezwecken an ein Speichermedium weiterleiten oder definierten Anwendungen beziehungsweise Nutzern zur Verfügung stellen, die sich außerhalb des kritischen Netzwerks befinden (die genaue Erklärung der Anwendungsmodi finden Sie auf unserer Homepage).

Die neue Hardware-Netzwerkkomponente gewährleistet eine sichere physische (galvanische) und rückwirkungsfreie Trennung zwischen dem kritischen und dem offenen Netzwerk. Die Datenübertragung findet induktiv statt.. Das hat den Vorteil, dass es nur einen sehr geringen Einfluss auf die Signalgüte des angezapften Signales hat. Es gibt keine direkte Leitung zwischen beiden Netzwerken. Jeder Versuch, Daten über die DCU zurück in das kritische Netzwerk zu schicken, würde also scheitern. Ein weiterer entscheidender Vorteil: Der Datenverkehr und die Funktionalität des kritischen Netzwerkes werden so in keiner Weise von der DCU beeinflusst. Auch dann nicht, wenn die Diode ohne Strom sein oder komplett ausfallen sollte. Gleichzeitig bleibt die Integrität der abgehörten Daten stets gewährleistet. Siemens Mobility CEO Peter: „Bei der Entwicklung der DCU haben wir der Sicherheit von Mensch und Technik absoluten Vorrang gegeben.“

Die Diode sendet die Daten unidirektional, hat keine eigene IP-Adresse und ist als sogenannter „Ethernet Tap“ (TAP = terminal access point) im Kundensystem für Dritte nicht auffindbar. Einmal installiert, kann mit der DCU der gewünschte Datenverkehr transparent, schnell und einfach für verschiedene Monitoring-Anwendungen bereitgestellt und weiterverarbeitet werden.
Neben dem sehr guten Preis-Leistungsverhältnis überzeugt das robuste Design der Diode. Geschützt vor Erschütterungen, Vibrationen, Temperaturschwankungen und elektromagnetische Schwingungen, ist sie zudem perfekt für den Einsatz in rauen Umgebungen wie etwa in Zugfahrzeugen oder Fabriken geeignet. Damit eröffnen sich vielfältige Anwendungsgebiete für die DCU.

“Intrusion Detection”-Systeme: Ein sogenanntes „Intrusion Detection“-System (IDS) ist eine Sicherheitstechnologie, die das unbefugte Eindringen in ein Netzwerk erkennt. Etwa, wenn Schadsoftware mit Hilfe sogenannter „Exploit“-Codes Sicherheitslücken eines Systems ausnutzt. Mittels der sicheren und vertrauensvollen Netzwerkverbindung durch die DCU können IDS die betreffenden Netzwerke effektiv und kontrolliert nach abnormalen oder böswilligen Aktivitäten absuchen. Neben einer Firewall bietet die Diode zusätzlichen Schutz des Netzwerks.

Datenaufzeichnung: Ein System zur Datenaufzeichnung für juristische Zwecke („juridical recording system“, JRS) erfasst zum Beispiel Betriebsdaten von Signalanlagen. Die aufgezeichneten Daten lassen im Falle eines Unfalls Rückschlüsse auf mögliche technische Ursachen zu und ermöglichen die juristische Auswertung der Betriebsdaten. Eine DCU stellt eine TLS-gesicherte Verbindung zur Aufzeichnungskomponente her, und kann die Daten zum frühestmöglichen Zeitpunkt erfassen. Für jede Aufzeichnung kann belegt werden, welche DCU die Daten erfasst hat und dass die Daten nicht manipuliert wurden.

Ferndiagnose und Monitoring: Unternehmen benötigen wertvolle Daten von verschiedenen sicherheitsrelevanten Kontrollsystemen in Fabriken, Anlagen, Zügen oder Bahnsignalanlagen. Sie benötigen sie für die Fernüberwachung des Systemzustands, den ferngesteuerten Betrieb oder, um die Effizienz durch Datenanalytik zu verbessern.

Die DCU unterstützt die gängigsten applikationsspezifischen Protokolle wie „File Transfer“ oder OPC UA. Darüber hinaus ermöglicht Siemens seinen Kunden, ihre eigenen proprietären Protokolle zu implementieren. Dadurch bietet die DCU eine vertrauensvolle Verbindung zu sicherheitskritischen Netzwerken, ohne Cyber-Kriminellen eine weitere Angriffsfläche zu bieten.

Die DCU bedeutet für Siemens einen echten Paradigmenwechsel, werden doch 150 Jahre alte Grundsätze, wie die Trennung sicherheitsrelevanter Systeme, aufgebrochen. Und das in rasantem Tempo: Beispielsweise sollen alle Stellwerke, die deutsche Kunden ab Anfang 2018 bei Siemens bestellen, bereits „ready to connect“, also hardwareseitig für einen sicheren und kontrollierten Anschluss an das IoT gerüstet sein.

Siemens versichert Ihnen: Unsere IT-Experten, Forscher, Entwickler und Ingenieure der Zukunft integrieren Tag für Tag ihre Erfahrungen und geballte digitale Expertise schon ab der Designphase in unsere Produkte und Lösungen. Unser Ziel ist es, Security nicht nachträglich herzustellen, sondern als eine Funktion zu etablieren. So können wir den Schutz der Menschen sowie die Integrität und Vertraulichkeit bei gleichzeitiger Verfügbarkeit von Daten gewährleisten. Wir helfen Ihnen, Ihr digitales Potenzial voll auszuschöpfen!

Mehr Daten und Fakten zur DCU etwa zu Übertragungsgeschwindigkeit, Reichweite und Verschlüsselung finden Sie auf dieser Internetseite.

20.12.2017

Marc Ludwig