Automatisierung und Sicherheit unter einen Hut bringen

Die Automatisierung in der Prozessindustrie gehört seit den ersten pneumatischen und elektrischen Regeleinrichtungen in den 1960er Jahren zu ihrer DNA. Mittlerweile sind unzählige Prozessleitsysteme (PLS) auf dem Markt – und häufig bestehen die Systemlandschaften von großen Anlagen aus mehreren von ihnen. Das macht nicht nur die Kommunikation für das zuverlässige Steuern zur Herausforderung. Auch die Sicherheit wird zur komplexen Angelegenheit. Denn durch die zunehmende Digitalisierung und Vernetzung gebührt der Security im Einklang von Operational Technology (OT) und Information Technology (IT) ein ebenso hoher Stellenwert wie der funktionalen Sicherheit – nicht zuletzt aufgrund gesetzlicher Vorschriften wie der NIS-2-Richtlinie und des Kritis-Dachgesetzes. Und schließlich müssen auch die Mitarbeitenden dabei unterstützt werden, mit der hohen Komplexität sicher und gefahrlos umzugehen.

Um die Realität in der Prozessindustrie und die oben genannten Herausforderungen realitätsnah abzubilden, hat Actemium die Actemium Automation Area (AAA) entwickelt. Das Modell stellt im Kleinen dar, was auch bei großen Anlagen auftritt, und zeigt, wie sich effiziente Automatisierung mit umfassender Sicherheit in Einklang bringen lässt. Zudem stellt die Industriemarke des Systemintegrators Vinci Energies eine Lösung mittels Virtual Reality zur Verfügung. Damit lassen sich nicht nur Einweisungen als 360°-Video erleben, auch Trainings und sogar das lebensechte virtuelle Modell der Anlage remote zu steuern, ist möglich. Das erleichtert neben dem Einarbeiten von Mitarbeitenden auch das Instandhalten sowie Ferndiagnosen und erschließt für die Prozessindustrie neue Potenziale für mehr Produktivität bei zugleich höherer Sicherheit.

Miniaturwunder der Anlagenwelt

Die AAA ist ein Tankmodell, das Prozessabläufe visualisiert und das Steuern von Anlagenkomponenten darstellt. Um ein reales Abbild einer modernen modularen Anlage wiederzugeben, besteht das Modell aus drei Tanks mit den dazugehörigen Schaltschränken. Zum Steuern kommen drei verschiedene PLS der Hersteller Siemens, B&R und Schneider Electric zum Einsatz. Durch die Integration des Module Type Package (MTP) können die PLS einfach untereinander kommunizieren. Zudem ist die AAA mit verschiedenen Kameras und Sensoren ausgestattet, die die Fernüberwachung und -steuerung der Prozessüberwachung erlauben. Außerdem können Daten für Analysezwecke aufgezeichnet werden.

Asset Administration Shell im Einsatz

Die Verwaltungsschale gilt als Schlüsseltechnologie für digitale Zwillinge und den Digitalen Produktpass. Praxisbeispiele zeigen: Der Standard kommt im Maschinen- und Anlagenbau an – und eröffnet effizienteres Engineering und mehr Transparenz.

Neben Prozessdaten zeigen Monitore auch die Aufnahmen der mit Edge-Computing ausgestatteten Kameras. Unmittelbar auf diesen gelingt aufgrund der integrierten Rechenleistung einschließlich Künstlicher Intelligenz auch das Auswerten. Dabei überwacht das Kamerasystem nicht nur die Schaltschränke, die Behälter und die Pumpen- und Messtechnik auf Anomalien, um eine vorausschauende Wartung zu realisieren. Auch wenn Personen ins Blickfeld geraten, werden diese registriert und nach berechtigtem oder unberechtigtem Zugang hin überprüft. Das schließt auch ein zu kontrollieren, ob die Person die erforderliche persönliche Schutzkleidung trägt. Parallel dazu erfolgt das automatische Verpixeln der Gesichter, um auch dem Datenschutz gerecht zu werden.

Die Ergebnisse der Kameraanalysen lassen sich direkt an einen Anwender übertragen oder an eine Schnittstelle von PCS-neo senden. Die AAA zeigt damit im Kleinen, was im Großen Realität ist und etwa in Sicherheitsfragen potenziell möglich ist. Letztgenanntes Thema erfordert angesichts der verschärften Rechtslage besondere Aufmerksamkeit.

Grundlage für Sicherheit schaffen

Vernetzte Anlagen in der Prozessindustrie bringen viele Vorteile mit sich, erfordern jedoch gleichzeitig ein hohes Maß an Cybersicherheit. Die Einhaltung der Richtlinien NIS 2, KAS 51 und TRBS 1115-1 ist von entscheidender Bedeutung, um die Sicherheit und Integrität dieser kritischen Infrastrukturen zu gewährleisten. Indem sie die abgeleiteten technischen und organisatorischen Maßnahmen umsetzen, können Betreiber der Prozessindus­trie ihre Systeme besser vor Cyberangriffen schützen und somit die Kontinuität ihrer betrieblichen Abläufe sicherstellen.

Um diese Anforderungen umzusetzen, bedarf es umfassender technisch-organisatorischer Maßnahmen – sogenannter TOM. Dazu zählen etwa Lösungen für das Asset-Management, Netzwerksegmentierung, Anomalie-Erkennung, Rollen und Rechte und die Zugriffssteuerung. Obwohl sie in erster Linie verhindern sollen, dass ein Risiko tatsächlich eintritt, zahlen sie sowohl auf die Sicherheit als auch auf die Performance ein. So schafft ein Asset-Management nicht nur die Grundlage für eine umfassende Risikoanalyse (Risk Assessment). Eine klare Übersicht und Verwaltung bieten auch die Möglichkeit, vorhandene Assets effizienter einzusetzen.

Zugleich tritt dadurch auch eine Besonderheit von OT-Systemlandschaften zutage: Altsysteme existieren nahtlos neben Neuanlagen mit verschiedenen PLS. Hintergrund ist, dass mit 20 bis 30 Jahren die Zykluszeiten von Anlagen in der Industrie im Schnitt deutlich länger sind als die von Systemen in der IT, die bei maximal fünf bis zehn Jahren liegen. Kurz: Es sind zwei unterschiedliche Welten, die es gilt, smart zusammenzubringen.

Best Practice an der Automation Area

Als Nachbildung der Systemlandschaften der Praxis ist die AAA auch ein optimales Testgelände, um IT/OT-Sicherheitslösungen zu implementieren. So fand Mitte 2024 in der Digitalschmiede des Systemintegrators in Frankfurt am Main, wo das Tankmodell auch besichtigt werden kann, ein Hackathon statt. Mehrere cross-funktionale Teams aus Experten für IT und OT kamen zusammen, um innerhalb von nur drei Tagen maßgeschneiderte Cybersecurity-Konzepte für die AAA zu entwickeln. Unterstützung gab es – wie in der Praxis – von den OT-Partnern der PLS. Das am Ende entwickelte ganzheitliche Konzept berücksichtigte physische, technologische und organisatorische Maßnahmen. Zudem einigten sich die Teams darauf, für den Umfang der Sicherheitsmaßnahmen das Schutzlevel 3 gemäß der Norm IEC 62443 als Maßstab anzusetzen. Aus diesen Konzepten wurden schließlich Gesamtlösungen entwickelt und in der AAA implementiert.

Im Kern machte der Hackathon deutlich: Standardlösungen für die IT/OT-Sicherheit gibt es nicht. Dazu sind die Systemlandschaften in der Praxis viel zu verschieden. Nach dieser Prämisse arbeiten auch die sogenannten Industrial Guardians der Marken des Systemintegrators: Actemium (OT) und Axians (IT). Dabei handelt es sich um einen Ende-zu-Ende-Service für Cybersecurity-Lösungen speziell im Bereich von IT und OT, der von Beraten und Entwickeln über Implementieren bis hin zu Trainings geht. Um bei einem Auftrag alle Erfordernisse in Sachen IT/OT-Sicherheit explizit am Bedarf der vorhandenen Anlagen auszurichten, entwickeln die Industrial Guar­dians daher auch in enger Abstimmung mit dem Kunden jeweils eine individuelle Lösung.

Interview mit Sebastian Mahler, Covestro und Namur

Seit einem Jahr ist Sebastian Mahler im Vorstand der Namur. Im Interview erklärt der Leiter der Prozessleittechnik von Covestro, warum die Namur in wirtschaftlich schwierigen Zeiten als strategischer Kompass dient, welche Schwerpunkte der neue Vorstand setzt und wieso autonome Anlagen und KI der Schlüssel für die Zukunft der Prozessindustrie sind.

Sicherheit in immersiver Umgebung

Höchstes Gut in der Prozessindustrie bleibt die Sicherheit von Menschen. Gerade Auszubildende, aber auch neue Mitarbeitende sind mit den Anlagen an einem Standort nicht vertraut. Statt sich vor Ort potenziellen Gefahren auszusetzen, können Trainings auch virtuell stattfinden. Actemium hat dazu die Lösung Infinity entwickelt. Dafür lassen sich Anlagen entweder vollständig als digitaler Zwilling darstellen oder in einer 360°-Umgebung begehen. 360°-Trainings ermöglichen, niederschwellig in realitätsnahe Lernszenarien auf verschiedensten Endgeräten einzusteigen, während VR-Trainings durch vollständige Immersion und Interaktion besonders dort überzeugen, wo aktives Handeln und Entscheidungsfindung in geschützten Umgebungen trainiert werden sollen – beide Methoden ergänzen sich je nach Lernziel und technischer Ausstattung optimal.

EU-Maschinenverordnung macht Cybersicherheit zur Pflicht

Die EU-Maschinenverordnung soll die Risiken eingrenzen, die durch Künstliche Intelligenz und Digitalisierung entstehen. Dieser Beitrag zeigt, mit welchen Maßnahmen Unternehmen ihre Maschinen vor Angriffen aus dem Cyberraum schützen können.

Die Industriemarke hat auch die AAA komplett in die digitale Welt überführt. Dabei sind alle Funktionen virtuell genauso nutzbar wie in der Realität – einschließlich der Auswirkungen. Werden beispielsweise die Pumpen aktiviert, ändern sich auch beim digitalen Zwilling die Füllstände der Tanks. Tatsächlich können auch die realen Prozessdaten per Schnittstelle angebunden werden. So lässt sich das Modell virtuell bedienen – und in der Realität steuern. Gerade in Gefahrenbereichen ist die Remote-Steuerung in der virtuellen Welt eine sinnvolle Alternative.

Kurzinterview mit Rudolf Preuß, Koordinator IT/OT bei Actemium

CT: Was ist die größte Hürde beim Umsetzen von Cybersicherheitskonzepten in Brownfield-Systemlandschaften?

Rudolf Preuß: Brownfield-Systeme bestehen oft aus jahrzehntealten Infrastrukturen mit Komponenten unterschiedlicher Generationen, Hersteller und Sicherheitsniveaus. Das Fundament zur Härtung und Segmentierung ist hier eine Bestandsaufnahme des As-Built-Stands. Von da aus entwickeln wir individuelle Strategien, um Alt-Anlagen abzusichern.

CT: Welche Anforderungen stellen Sie an den Faktor Mensch in der IT/OT-Sicherheit – und wie können immersive Trainingsmethoden wie VR dabei helfen?

Preuß: Menschen können unachtsam oder unzureichend geschult sein. Um diese Defizite individuell anzugehen, entwickeln wir derzeit Konzepte zur Gamification von Sicherheitsschulungen. Über unsere immersiven Trainingsmethoden mit VR lassen sich Sicherheitsvorfälle realitätsnah und zugleich gefahrlos simulieren. Sie unterstützen situatives Lernen und üben das Verhalten in kritischen Situationen ein. Wir nutzen sie zudem, um praktische Verhaltensweisen zu vermitteln, die ansonsten nur theoretisch behandelt werden.

CT: Was bedeuten die NIS-2-Richtlinie und das Kritis-Dachgesetz für Betreiber von Prozessanlagen im Hinblick auf technisch-organisatorische Maßnahmen?

Preuß: Betreiber sollten Maßnahmen wie ein Risikomanagement, technische Sicherheitssysteme, eine strukturierte Organisation sowie die Schulung von Mitarbeitenden fraglos aus Eigeninteresse implementieren. Rechtliche Vorgaben bieten einen leider notwendigen Anreiz zur Umsetzung. Wir unterstützen sie dann dabei beratend und praktisch.