Zugang im Fokus
22.04.2024 - Ganzheitliche Sicherheitskonzepte gewährleisten Safety und Industrial Security an der Maschine
Der Zugang zur Maschine ist ein kritischer Faktor, der sich auf die Sicherheit des Menschen und der Maschine (Safety) sowie – meist – sensibler Daten (Industrial Security) auswirkt. Ein umfassendes Identification and Access Management, das Zugriffs- und Zugangsberechtigungen klar regelt, trägt zu einem ganzheitlichen Sicherheitskonzept bei.
In der Produktionsumgebung geben trennende Schutzeinrichtungen dem Menschen das klare Signal, dass sich hinter der Schutztür ein hochsensibler Bereich befindet und daher Vorsicht geboten ist. Hier erhalten Personen über ein Human Machine Interface (HMI) oder einen Schlüssel Zugang zum Prozess hinter dem Schutzzaun. Was aber, wenn die Person dafür nicht qualifiziert respektive autorisiert wäre und sich oder andere Personen in Gefahr bringen würde? Beim Thema Zugangsberechtigung zeigt sich, dass Safety und Industrial Security eng ineinandergreifen sollten. Weiter noch: Industrial Security stellt an der Maschine die Integrität der Safety sicher. Sie bietet in der Fertigung beispielsweise Maschinen oder Anlagen Schutz vor unbefugtem Zugriff und Zutritt von außen und schützt sensible Prozess- und Maschinendaten vor Verfälschung, Verlust und unbefugtem Zugriff im Innenverhältnis. Dazu zählen sowohl explizite Angriffe als auch unbeabsichtigte Security-Vorfälle.
Bisher basierten Security-Lösungen auf Freiwilligkeit. Dass Safety und Security eng ineinandergreifen, hat der Gesetzgeber jedoch inzwischen erkannt. Deshalb gibt die neue Maschinenverordnung Security-Maßnahmen verpflichtend vor. Zudem sehen verschiedene C-Normen bereits heute vor, dass unterschiedliche Betriebsarten auch entsprechende Sicherheitsfunktionen enthalten müssen. Betriebsarten können beispielsweise der Automatikbetrieb, manuelles Eingreifen unter eingeschränkten Bedingungen oder Servicebetrieb sein. Die EN ISO 16090-1 für Bearbeitungszentren und Sondermaschinen schreibt mindestens zwei Betriebsarten für Maschinen verbindlich vor, um funktionale Sicherheit zu gewährleisten. Wichtig ist, dass immer nur eine Betriebsart ausgewählt und aktiv ist und diese klar angezeigt wird.
Anonymen Zugriff verhindern
Um den Zugang und den Zugriff zu regeln, werden unterschiedliche Personengruppen, die mit der Maschine in Berührung kommen, definiert. Zu diesen gehören zum Beispiel das Bedienungs-, Reinigungs- oder Wartungspersonal. Anschließend erfolgt entsprechend ihrer individuellen Aufgabe oder Qualifikation eine Zuordnung zu einer Gruppe. Je nach Unternehmensgröße können Freigaben oder Zugriffsrechte für unterschiedliche Benutzergruppen oder beispielsweise für einen Maschinentyp, der konzernweit eingesetzt wird, vergeben werden. Im Zuge einer Risikobeurteilung schätzen Sicherheitsexperten für jede Gefährdung das Risiko des anonymen Zugriffs ein und bewerten es. Anschließend werden Maßnahmen nach dem Stand der Technik und unter Beachtung der harmonisierten Normen festgelegt, die das Risiko reduzieren.
Benutzerfreundlichkeit contra Manipulation
Bei der Umsetzung der Maßnahmen ist es wichtig, die Handhabung und Gebrauchstauglichkeit für Anwender im laufenden Betrieb sicherzustellen, um Manipulation auszuschließen. Für Konstrukteure gilt das bereits für den Entwicklungsprozess: Intuitiv bedienbare Systeme verhindern, dass Sicherheitsvorkehrungen ausgehebelt oder Maschinen falsch bedient werden. Zudem spielt ein durchdachtes Sicherheitssystem effizienten Abläufen ohne unnötige Stillstandszeiten zu. Das Thema „Umgehen von Schutzeinrichtungen“ ist daher auch ein zentraler Punkt der EN ISO 14119: Die Norm definiert Leitsätze für die Gestaltung und Auswahl von Schutztürsystemen und bietet so konkrete Hilfestellung, wie Manipulation vermieden werden kann.
Maßgeschneidertes Sicherheitskonzept
Damit mutwilliges oder versehentliches Öffnen von Zugangstüren nicht zu Gefährdungen führt, sind diese mit Schutztürsystemen gesichert. Modular aufgebaute Schutztürsysteme erlauben maßgeschneiderte Lösungen und vereinen mit den passenden Erweiterungen Safety und Industrial Security. Damit bieten sie die Flexibilität und eine dezentrale Intelligenz, um vielfältige Anwendungen abzusichern. So ein Baukasten für Schutztürabsicherung kombiniert Sensoren, Fluchtentriegelung, Türgriffe sowie Bedien- und Taster-Unit. Je nach Applikation können für die Anwendung die erforderlichen Komponenten zur individuell passenden Lösung zusammengestellt werden.
Eindeutige Nutzer-Authentifizierung durch individuell kodierte RFID-Transponder
Modulare Schutztürsysteme bieten ein Plus an Industrial Security, wenn sie das Thema Zugangsberechtigung einschließen. Grundsätzlich sind es intuitive Bediensysteme, die hier mit ins Spiel kommen. Der Schutz vor unberechtigtem Zugriff wird hierbei im Verbund mit einem Betriebsartenwahl- und Zugangsberechtigungssystem realisiert. Eine solche Lösung stellen die Geräte der Produktgruppe PITmode von Pilz dar, die ein Umschalten zwischen definierten Betriebsarten und die Regelung der Zugangsberechtigung ermöglichen. Jeder Anwender erhält seinen individuell kodierten RFID-Transponder, der eine eindeutige Nutzer-Authentifizierung ermöglicht und so Manipulation vermeidet.
Tracking für den Ernstfall
Gut ist, wenn auch Security-Aspekte mit Blick auf Benutzerauthentifizierung, Qualifizierung und Zugriffsschutz berücksichtigt sind. Sollte sich trotz aller Sicherheitsmaßnahmen ein Unfall oder Security-Vorfall an der Maschine ereignen, ist etwa bei Pilz über das Auslesen des RFID-Transponders nachvollziehbar, wer welche Änderung vorgenommen hat. Ist diese optionale Funktion gewünscht, erfasst das Steuerungssystem anhand der Authentifizierung auch die Zeit des Zugangs im internen, nicht veränderbaren Audit Trail (Ereignislog).
Damit Safety und Industrial Security über den gesamten Lebenszyklus der Anwendung gewährleistet sind, stecken Administratoren viel Sorgfalt in die Pflege der Berechtigungen. Um die Administration einfach zu gestalten, unterstützen passende Software-Werkzeuge die Anwender- und Transponderorganisation. So können sich – wie bei Pilz – hinter einem kleinen RFID-Schlüssel komplexe Berechtigungsmatrizen oder konzernweit geregelte Vorgaben verbergen. Mit dem integrierten PITreader-Webserver programmieren Administratoren die zu PITmode oder PITreader gehörigen RFID-Transponder und hinterlegen darauf die Benutzerdaten und Berechtigungen. Alle wichtigen Einstellungen erfolgen direkt an der Ausleseeinheit, was die Inbetriebnahme inklusive Konfiguration von Schnittstellen beschleunigt.
Eingeschränkter Zugang zu Schnittstellen
Die Möglichkeiten des Identification and Access Managements von Pilz reichen bis hin zur Freigabe von speziellen Industrie-USB-Ports, einem der Haupteinfallstore bei Security-Vorfällen. Dafür wird das Zugangsberechtigungssystem PITreader mit einem Bedienelement wie PIT oe USB, das über eine aktivierbare USB-2.0-Host-Schnittstelle verfügt, kombiniert. Diese Lösung macht das manipulationssichere Einspielen von Programmen, Abziehen von Daten sowie den Anschluss einer Tastatur oder Computermaus möglich. Denn die Aktivierung der Schnittstelle erfolgt ausschließlich bei entsprechender Berechtigung und schützt damit den Datenfluss einer Fertigung. Gemeinsam mit einer industriellen Firewall wie SecurityBridge des Unternehmens, die die Datenkommunikation innerhalb eines industriellen Automatisierungsnetzwerks kontrolliert, können Maschinen so vor unautorisierten Zugriffen und Manipulation geschützt werden.
Für ein hohes Maß an Safety und Industrial Security ist es erforderlich, Sicherheitskonzepte ganzheitlich zu gestalten und regelmäßig auf Aktualität zu hinterfragen. Ein wichtiger Baustein ist ein Identification and Access Management, das Berechtigungen und Zugänge in einem Unternehmen klar regelt. Dazu gehören organisatorische Maßnahmen und Vorgaben genauso wie passende Sicherheitsfunktionen. Ein Zugangsberechtigungssystem wie PITreader von Pilz stellt dabei den passenden Hardware-Baustein dar, der eine ganzheitliche Safety und Industrial Security Lösung bietet.
Autor
Christoph Baumeister, Product Management Operating and Monitoring and Tools