Als Weltneuheit betrachtet MB Connect Line sein Gerät 'mbEagle' zur unmittelbaren Erkennung von Viren und Malware wie Stuxnet oder Duqu in S7-Steuerungen. Das Gerät war auf der SPS IPC Drives 2013 erstmals zu sehen.
Lange Zeit galten Automatisierungssysteme als proprietäre Gebilde und damit sicher vor Viren und Malware. Spätestens seit dem Bekanntwerden des Stuxnet-Wurms Mitte 2010 ist diese Sichtweise überholt. Stuxnet war die erste Schad-Software, die speziell zur Manipulation von Automatisierungssystemen und den damit gesteuerten Prozessen entwickelt wurde. Konkret waren das Prozessleitsystem PCS7 und das SCADA-System WinCC von Siemens betroffen. Das Ziel des Wurms waren aber nicht die Windows-Systeme, sondern die Prozessdaten in S7-300- und S7-400-Steuerungen. Experten zufolge hatte Stuxnet mit der Störung einer Atomanlage im Iran ein konkretes Ziel. Allerdings zeigen Stuxnet und auch der zwischenzeitlich aufgetauchte Nachfolger Duqu deutlich, dass sich die Automatisierungswelt und die Betreiber von Maschinen und Anlagen generell auf derartige Bedrohungen einstellen müssen.
"Speicherprogrammierbare Steuerungen wie die 'Simatic S7-300' und 'Simatic S7-400' von Siemens haben offene Schnittstellen", erläuterte Werner Belle, Geschäftsführer von MB Connect Line in Ilsfeld, auf der Messe-Pressekonferenz des Unternehmens. "Es gibt keine Schutzmechanismen für einen kontrollierten Zugriff auf Programme und Daten in der Steuerung. Wer direkt oder über Netzwerk Zugang zur Steuerung hat, kann ohne jegliche Authentifizierung auf deren System- und Arbeitsspeicher einschließlich aller Programm- und Prozessdaten lesend und schreibend zugreifen." Dies betreffe das SPS-Programm, die aktuellen Prozesswerte und die hinterlegten Verfahrens- oder Rezepturdaten. "Die SPS erkennt in der Kommunikation keinen Unterschied, ob das Service-Personal eine Software-Änderung macht, der Bediener einen neuen Sollwert vorgibt oder eine Schad-Software beliebige Ausgänge setzt", so Belle. "Je nach Art der Manipulation kann das zur Zerstörung der Anlage führen, etwa durch Übertemperatur oder mechanische Überlastung, oder zur Produktion fehlerhafter Teile. Wenn sich im Arbeitsbereich der manipulierten Anlagen Menschen aufhalten, sind diese ebenso gefährdet."
Das Gerät 'mbEagle' wird über Ethernet oder MPI/Profibus mit einer S7-300- oder-S7-400-Steuerung verbunden. Im ersten Schritt erstellt es ein sogenanntes Referenz-Backup. Dazu werden der komplette Programmspeicher (OB, FC, FB, DB, SFC, SFB, SDB), die Bestellnummer und die Seriennummer aus der SPS ausgelesen und im angegebenen Speichermedium dauerhaft abgelegt. Anhand dieser Referenzdaten überwacht 'mbEagle' den statischen Speicherbereich der Steuerung kontinuierlich. Manipulationen durch Malware und Viren werden ebenso erkannt wie Änderungen am Steuerungsprogramm, die "mal kurz" in der Nachtschicht gemacht werden. Bei Änderungen der Programmdaten wird der Verantwortliche je nach Einstellung per E-Mail oder SMS alarmiert, oder es wird ein Ausgang gesetzt, der eine Warnleuchte oder Hupe aktiviert. Alle Funktionen sind über die Konfigurationsoberfläche des Geräts per Browser steuerbar. Einzelne Aktionen lassen sich auch über die digitalen Eingänge auslösen, etwa per Schlüsselschalter.
Eine weitere Funktion ist die kontinuierliche Sicherung der Aktualdaten. Sie sorgt dafür, dass beispielsweise fortlaufende Optimierungen an Rezepturen und Reglern erhalten bleiben, falls die SPS-Hardware wegen eines Defekts ausgetauscht werden muss. Die Wiederherstellung des Steuerungsprogramms und der Aktualdaten erfolgt direkt aus den gesicherten Daten von 'mbEagle'. Die Software des SPS-Herstellers ist dazu nicht erforderlich. Mit 'mbEagle' können Anwender bestehende Sicherheitskonzepte sinnvoll ergänzen. Sollte trotz aller anderen Maßnahmen ein digitaler Schädling die Steuerung befallen, wird er gemeldet, bevor er Schaden anrichten kann.
Quelle: http://www.computer-automation.de/steuerungsebene/steuern-regeln/artikel/104109/
Andreas Knoll
