tci GmbH | Blog

HMI und Industrie Computer aus Sicht der Industrial Security

Geschrieben von Gerhard Bäurle | Nov 11, 2020 1:59:00 PM

Im vorhergehenden Beitrag hat mein Kollege René Jung über die Entwicklungsgeschichte der Mensch-Maschine-Schnittstelle – auch als HMI (Human-Machine-Interface) bekannt – geschrieben.

HMI als lohnendes Ziel

Heute greife ich das Thema HMI aus Sicht der Industrial Security auf. Es umfasst im Wesentlichen die beiden Hauptthemen Datensicherheit und Zugriffsschutz. Ein Touchpanel oder ein Industrie-Computer, der als HMI eingesetzt wird, hat prinzipbedingt Zugriff auf alle wesentlichen Anlagendaten, teilweise sind sie auch direkt auf dem Gerät gespeichert. Für Saboteure und Hacker ist er damit ein lohnendes Angriffsziel. 

Apropos Hacker – Dabei denkt man oft zuerst an bösartige Computerfreaks, die mit unredlichen Absichten in fremde Rechnernetzwerke eindringen, um dort Daten zu stehlen oder zu manipulieren. Tatsächlich bedeutet „Hacken“ Tüfteln, geschicktes Ausprobieren, Experimentieren, technische Grenzen austesten und Lösungen finden, an die bisher noch niemand gedacht hat. Oder, einfach gesagt, der kreative Umgang mit Technik. Die überwiegende Motivation ist, etwas Neues zu erfinden oder bestehende Lösungen zu verbessern.

Hacker mit krimineller Energie

Jetzt haben wir das Bild des Menschen im Kopf, der mit ins Gesicht gezogener Kapuze im Dunkeln vor dem Rechner sitzt und in fremde Netzwerke eindringt. Vor solchen kriminellen Hackern gilt es, die Daten zu schützen. Das gilt in Ihrem privaten Umfeld ebenso wie in Ihrem Büro und ganz besonders für Industrieanlagen, Gebäudetechnik und die Versorgungs- und Entsorgungsinfrastruktur.

Vor kriminellen Hackern müssen die Produktionsdaten geschützt werden. Bild: methodshop/pixabay.com

Am empfindlichsten sind die sogenannten kritischen Infrastrukturen (kurz KRITIS). Das sind Einrichtungen und Systeme, die für das Funktionieren unserer Gesellschaft als existenziell wichtig angesehen werden – beispielsweise die medizinische Versorgung, Strom, Wasser, das Transportwesen und die Versorgung der Bevölkerung mit Nahrung.

Auch für Unternehmen kann es existenzbedrohend sein, wenn plötzlich die Unternehmensdaten verschlüsselt sind – oder eine Anlage nur noch Ausschuss produziert, weil Rezepturen oder Anlagenparameter manipuliert wurden.

HMI mit Zugriffsschutz

Grundsätzlich ist es wichtig, dass die gesamte Industrieanlage vor unautorisierten Zugriffen gut geschützt ist. Bei webbasierten Visualisierungen sollte zudem die Möglichkeit bestehen, die Kommunikation zwischen Browser und Server abzusichern, beispielsweise per HTTPS. HTTPS ist die verschlüsselte Variante des im Netzwerk und im Internet üblichen HTTP (Hypertext Transfer Protocol). Der Browser lädt ein serverseitiges Zertifikat und prüft es auf seine Vertrauenswürdigkeit und Gültigkeit. Schlägt die Prüfung fehl, erscheint eine Warnung im Browserfenster. Anhand des Zertifikats werden die übertragenen Daten zwischen Webserver und Browser verschlüsselt.

Die Prozessdaten und Benutzereingaben, die zwischen HMI-Browser und HMI-Webserver ausgetauscht werden, lassen sich so weder manipulieren noch ausspähen. Natürlich gibt es keine 100%ige Sicherheit – aber man sollte die Verbindung so gut sichern wie technisch machbar.

Gesicherte Kommunikation mit der SPS

Das skalierbare Modulsystem von tci bieten die gesicherte Übertragung zwischen Bedienpanel und Web-Visu.  Die Panels verwalten die Anmeldedaten, sodass sich der Bediener mit seinen Zugangsdaten bei mehreren Steuerungen anmelden kann. Die optionale Cloud-Anbindung der Web-Panels ist ebenfalls HTTPS gesichert.

Die SPS-Bedienpanels von tci kommunizieren per HTTPS sicher mit dem Webserver der SPS. Bild: tci GmbH

Jetzt bleibt noch zu sagen, dass die tatsächliche Sicherheit davon abhängig ist, wie die Anwender mit den Passwörtern umgehen. Wenn diese per Post-it auf dem Panel kleben, bringt die Verschlüsselung kaum noch was. Deshalb: Nutzen Sie individuelle und starke Passwörter. Jede Sicherheitseinrichtung ist nutzlos, wenn sie der Mensch aushebelt. Unser Tipp: Ist mein Passwort sicher?