Von Ralf Keuper
Der Datenaustausch im Industriellen Internet der Dinge (IIoT) stützt sich momentan noch auf Kommunikationsprotokolle und -standards, die in die Jahre gekommen sind. Das gilt vor allem für die klassischen Feldbussysteme wie Profibus. An ihre Stelle rücken die industriellen Ethernet-Busse wie Profinet, Ethercat oder Ethernet/IP. Diese sind jedoch mehr oder weniger proprietär ausgelegt. Das gilt besonders für Ethercat. Dadurch wird die herstellerübergreifende Kommunikation in den Fabriken erschwert, wie in dem informativen und lesenswerten Beitrag Datenaustausch im Zeitalter des IIoT zu erfahren ist. Nur wenn es gelingt, die Maschinen- und Fertigungsdaten hersteller- und ebenenunabhängig zu erfassen und auszutauschen, können sie auf wirtschaftliche Weise in übergeordnete Analysesysteme überführt werden. Neben der Datenkommunikation über Feldbussysteme und Industrial Ethernet verbreiten sich in der Industrie (OT) verstärkt die aus der IT stammenden Application Programming Interfaces (API).
Erst in den nächsten Jahren ist damit zu rechnen, dass ein Großteil der industriellen Datenkommunikation über OPC UA abgewickelt wird. Dabei handelt es sich weniger um ein weiteres Kommunikationsprotokoll, als vielmehr um ein Kommunikations–Framework, “das neben der Datenübertragung auch die Bedeutung von und den Zugriff auf Daten beschreibt und gleichzeitig Sicherheitsmechanismen mitbringt. Die Sicherheit wird hierbei über Zertifikate und eine Zertifikats-Zugriffsverwaltung realisiert”. Im Vergleich zu OPC-UA sind MQTT und AMQP an Funktionsumfang deutlich geringer. MQTT ist ein reines Übertragungsprotokoll, das kein erweitertes Framework für die semantische Datenbeschreibung enthält. Es eignet sich besonders für den Einsatz auf ressourcenarmen Geräten. AMQP weicht von MQTT insoweit ab, als es damit möglich ist, die Nachrichten um Metadaten zu ergänzen.
Im Bereich der Cloud-Kommunikation bilden MQTT, AMQP und REST APIs den de facto Standard.
Welches Protokoll letztlich den Vorzug erhält, hängt stark davon ab, wohin die Daten übertragen werden bzw. in welchem übergreifenden IIoT-Ökosystem gearbeitet wird. “Innerhalb des Cloud-Levels ist aktuell ein Datenaustauschs via REST API am wahrscheinlichsten“. Die Autoren des erwähnten Beitrags gehen davon aus, dass die von OPC UA definierte semantische Datenbeschreibung in JSON das Potenzial hat, der durchgehende quasi Standard zu werden.
Die Frage nach der Sicherheit stellt sich spätestens beim Übergang von der OT- in die IT-Welt der Unternehmen. Ohne moderne Verschlüsselungstechnologien geht hier wenig bis gar nichts[1]Sicherer Austausch im IIoT. Ein weiterer Ansatz ist Zero-Trust.
In der heutigen Unternehmensumgebung sind die Grenzen zwischen intern und extern fließend – Mitarbeiter können von überall aus arbeiten, oft mit ihren eigenen Geräten. Gleichzeitig benötigen Anbieter und andere Dritte mehr Zugriff auf das Unternehmensnetzwerk. Statt der alten Devise “Vertraue, aber überprüfe” lautet der neue Ansatz: “Überprüfe alles, vertraue nichts und niemandem”: Zero Trust. Dabei fällt dem Identitätsmanagement eine entscheidende Rolle zu.
Ein Zero Trust-fähiges Identitätsmanagement muss in der Lage sein, Risikobewertungen aus einer Vielzahl von Informationsquellen zu berechnen, die über die Benutzeridentität und das Quellgerät hinausgehen. Faktoren wie Geräteeigentum, die Frage, ob dieser Benutzer dieses Gerät üblicherweise für eine Anfrage verwendet, der Standort des anfragenden Geräts, die Tageszeit und andere historische, assoziative oder verhaltensbedingte Faktoren können die Risikobereitschaft für die Genehmigung der Transaktion beeinflussen.
Der Zero Trust – Ansatz in der IT-Security wurde von Forrester im Jahr 2010 in die Diskussion gebracht. Er ist bewusst datenzentrisch ausgelegt. Jede Person und jedes Gerät, die auf Unternehmensdaten zugreifen wollen, müssen zuvor kontrolliert und überprüft werden. In der Industrie machen sich u.a. Siemens und Zscaler für Zero Trust stark[2]Zscaler und Siemens adaptieren die Vorteile von Zero-Trust für Industrie-Umgebungen..
References