News rund um das Thema Industriecomputer| Seite 9 von 9

Neuigkeiten der InoNet Computer GmbH

Leistungsstarker Embedded PC Concepion-tXf-L mit Grafikkarte für anspruchsvolle industrielle Anwendungen

26. April 2018/von Paul Jensen

Vor dem Hintergrund des Internet of Things (IoT) gewinnt neben der zentralen Rechenleistung in der Cloud auch die dezentrale, maschinennahe Rechenleistung im industriellen Umfeld immer mehr an Bedeutung. Mit der leistungsstarken Concepion-tXf-L bietet InoNet ein Embedded-System an, welches den hohen Anforderungen in industrieller Umgebung mehr als nur gerecht wird und sich dabei als äußerst flexibel erweist.

Im rauen Umfeld von industriellen Applikationen verschiedenster Branchen herrschen strikte Anforderungen an die eingesetzten Computersysteme. Besonders im Rahmen des maschinennahen Edge Computing spielt neben dem Einsatz industrieharter und langzeitverfügbarere Komponenten ein ausfallsicherer Dauerbetrieb eine ebenso große Rolle. Im IPC-Markt ist in den letzten Jahren ein Trend zu kleinen Embedded-Systemen und Box-Computern mit der Rechenleistung eines vollwertigen Industrie-PCs auf Serverniveau zu erkennen, wobei die oben genannten Aspekte bei der Entwicklung eines solchen Systems von elementarer Bedeutung sind. Speziell in den Bereichen der industriellen Automation und in der Bild- und Videoverarbeitung werden kompakte, leistungsstarke Embedded-PCs immer gefragter.
Aufgrund hoher Nachfrage für kompakte Embedded-Systeme mit viel Rechenleistung und der Möglichkeit, eine leistungsfähige Grafikkarte einzusetzen, wurde der Industrie PC Concepion-tXf-L als Produktvariante der Concepion-tXf entwickelt. Die Herausforderung dabei: das Einsetzen einer langen PCIe-Erweiterungskarte in einem möglichst kompakten Gehäuse, welches ein passendes Kühlkonzept für die entstehende Abwärme bei zusätzlicher Rechenleistung auf kleinstem Raum bietet.

Das Entwicklungsteam von InoNet realisierte nach diesen Vorgaben das neuste Modell der Concepion-Serie, die Concepion-tXf-L. Der kompakte Industriecomputer besteht aus einem hochwertigen Stahlgehäuse mit den Maßen 215 x 131 x 297 mm, kann modular mit beliebigen Mainboards im mini-ITX Format bestückt werden und bietet dem Kunden damit höchstmögliche Flexibilität im Hinblick auf die Einsatzmöglichkeiten des Systems. Standardmäßig ausgestattet mit einem hoch performanten Intel Xeon D-1587 Prozessor (16 Kerne, 32 Threads) ist der kleine Embedded PC um mehr als 30% leistungsfähiger als die kleinere Produktvariante Concepion-tXf und kann durch eine Riser-Card-Lösung zwei PCIe x8 Erweiterungskarten mit einer Länge von bis zu 255 mm aufnehmen. Für eine sichere Befestigung der Erweiterungskarten sorgen vier flexibel einstellbare Kartenniederhalter, mit denen sogar Full Height PCIe-Steckkarten, auch bei starken Vibrationen, ohne Probleme in Position gehalten werden können. Darüber hinaus verfügt der Embedded PC für das schnelle und einfache Wechseln von Datenträgern intern über einen 2,5“ Laufwerksschacht und über zwei extern zugängliche 2,5“ Shuttles, angebracht unterhalb der ATX-Blende. Das Gerät kann wahlweise durch ein leistungsstarkes Netzteil mit 160 Watt, Weitbereichseingang (6 – 34VDC) und verriegelbarem Neutrik-Stecker oder 120 Watt Netzteil mit 20VDC und Phönix-Klemmen-Anschluss versorgt werden. Start- und Reset-Taster sowie Status-LEDs des Embedded Gerätes können je nach Kundenwunsch entweder front- oder rückseitig zugänglich installiert werden.

Ein großzügiges Kühlkonzept, bestehend aus einem wechselbaren und wartungsfreundlichen Lüftermodul mit zwei hochwertigen 80mm Axiallüftern (80.000h MTBF) und optional erhältlicher Luftfilterkassette, sorgt dafür, dass die Abwärme ideal aus dem Gehäuseinneren nach außen abtransportiert wird. Die Lüfter lassen sich zusätzlich über das Mainboard regeln, um die Luftzirkulation je nach Bedarf und Anwendung an die industriellen Umgebungsbedingungen anzupassen.

Inbetriebnahme von digitaler Fluganzeigetafel am Flughafen Stuttgart mit 27 Full HD-Displays

20. März 2018/von Paul Jensen

Der Münchener Industrie-PC-Hersteller InoNet Computer GmbH hat am Flughafen Stuttgart ein neues Flight Information Display System (FIDS) als Generalunternehmer realisiert. Für die Umhausung und Trägerkonstruktion zeichnet sich die häwa GmbH aus Wain verantwortlich.

Austausch der bestehenden Fallblatt-Tafel

Der Flughafen Stuttgart, mit rund 11 Millionen Fluggästen pro Jahr einer der zehn meistfrequentierten Flughäfen Deutschlands, setzte bis dato eine Fallblatt-Tafel zur Anzeige der Fluginformationen ein. Zur flexibleren Darstellung aktueller Reiseinformationen und besseren Lesbarkeit der Inhalte wurde nun im März 2018 eine FIDS-Videowall am Flughafen in Betrieb genommen.

Besonderes Augenmerk wurde bei der modernen Video Wall auf einfache Wartung und Instandhaltung aller Komponenten gelegt. So sind die drei leistungsstarken Magnius® Video Wall Controller von InoNet sowie sämtliche Elektronik in einem abschließbaren Rechnerschrank verbaut, der an einer Empore über der Video Wall montiert und somit leicht zugänglich ist. Die Displays selbst sind an ausziehbaren Monitorhalterungen befestigt, die im Wartungsfall einen einfachen Austausch einzelner Displays ermöglichen.

Die InoNet Computer GmbH war als Generalunternehmer neben der Bereitstellung der geeigneten PC-Technik auch für das Gesamtkonzept der Videowall und Trägerkonstruktion verantwortlich. Die Firma häwa, einer der führenden Hersteller von Schrank- und Gehäusesystemen, entwickelte das Design der Trägerkonstruktion, der seitlich geschlossenen Umhausungen der Displays und des Rechnerschrankes.

Hochauflösende und flexible Darstellung

Die FIDS-Videowall am Flughafen Stuttgart ist in drei Teilkonstruktionen mit jeweils neun Displays unterteilt. Jede der drei 9er-Wände wird von je einem Magnius® Video Wall Controller angesteuert, der mit einem leistungsstarken Intel XEON Prozessor und drei PNY NVIDIA Quadro P600 Grafikkarten ausgestattet ist. Somit zeigt jeder der drei Rechner eine durchgängige Darstellung von 9x Full HD (5,760 x 3.240 Pixel) an. Der InoNet PC basiert auf langzeitverfügbaren industriellen Komponenten und bietet somit neben hoher Zuverlässigkeit auch im Wartungsfall Planungssicherheit über einen langen Zeitraum.

Die eingesetzten NEC-Displays vom Typ MultiSync® x464UNS-2 verfügen über einen besonders schmalen Rahmen, der an der breitesten Stelle lediglich 2,3 Millimeter misst. So entsteht für den Betrachter eine lückenlose Darstellung der Inhalte über die gesamte Video Wall. Die Displays sind für den kommerziellen 24/7-Betrieb ausgelegt und laufen somit auch im Dauerbetrieb zuverlässig und wartungsarm.

Endmontage in fünf Nächten

Um eine kurze und reibungslose Montage der Video Wall am Flughafen zu gewährleisten, wurde die Vormontage der gesamten Trägerkonstruktion bei der Otto Schimscha Metallbau GmbH durchgeführt. Die Endmontage der Fluganzeige inklusive Aufhängung der Trägerteile, Einhängen der Displays sowie Kalibrierung und Inbetriebnahme wurde dann in fünf Nachtschichten am Flughafen durchgeführt, um den Betrieb am Flughafen nicht zu beeinträchtigen.

Fachartikel – Meltdown & Spectre: Die Gefahren für Rechnersysteme im industriellen Einsatz

19. Februar 2018/von Paul Jensen

Als im Januar 2018 die CPU-Angriffsszenarien Meltdown und Spectre an die Öffentlichkeit gelangten, war die Aufregung zunächst groß. Während unterschiedlichste Schreckensszenarien allerorts zu lesen waren, wussten die wenigsten Anwender um die konkreten Bedrohungen für ihre industrielle Anwendung. Dieser Artikel soll Klarheit darüber schaffen, wie ernstzunehmend die Sicherheitsbedrohungen in der Industrie sind und welche Maßnahmen von Unternehmen zum Schutz ihrer Infrastruktur getroffen werden sollten.

Worum es genau geht

Bei Meltdown und Spectre handelt es sich um sogenannte Seitenkanal-Attacken, die es einer entsprechenden Schadsoftware ermöglichen, Zug um Zug Daten von anderen Anwendungen vom Cache einer CPU auszulesen.

Die Meltdown-Attacke macht sich dabei sogenannte Out of Order-Prozesse zunutze: Prozessoren sortieren Arbeitsabläufe in neuer Reihenfolge, um Zeit zu sparen, wenn komplexere Aufgaben noch im RAM verarbeitet werden. Einzelne Arbeitsschritte werden dazu im Cache der CPU zwischengespeichert. An dieser Stelle sind die Daten verwundbar und können aus dem CPU-Cache ausgelesen werden.

Bei Spectre handelt es sich um ein Angriffsszenario, das die spekulative Ausführung (speculative execution) von CPUs nutzt: Ein entsprechender Prozessor führt Befehle spekulativ aus, die er noch nicht erhalten hat, weil die Wahrscheinlichkeit hoch ist, dass diese Befehle ohnehin in Kürze folgen würden. Dadurch können Daten in die Caches gelangen, die nicht zum eigentlichen Prozess gehören. In diesem Sinne können Daten aus dem Cache ausgelesen werden, die eigentlich nichts mit dem aktuellen Vorgang zu tun haben.

Somit ist grundsätzlich ist jeder PC, Notebook oder mobiles Endgerät von den Sicherheitslücken betroffen, dessen CPU Out of Order-Prozesse (Meltdown) oder spekulative Ausführung (Spectre) nutzt. Bestimmte einfachere Prozessoren, die beispielsweise in Raspberry Pi-Systemen eingesetzt werden, sind von dieser Art von Seitenkanal-Attacken nicht betroffen.

Um die Sicherheitslücken auszunutzen, ist jedoch der Einsatz einer Schadsoftware nötig, die auf den Prozessortyp des attackierten Systems angepasst ist. Sprich, ohne einem entsprechenden Programm auf dem betroffenen System können die Sicherheitslücken gar nicht erst ausgenutzt werden. Eine solche Schadsoftware kann entweder – wie jede andere Malware – über unvorsichtiges Verhalten im Internet auf das System gelangen, oder physisch am System aufgespielt werden.

Im Falle industrieller PCs gelten hier jedoch andere Bedingungen als bei privaten Systemen. Auf Rechnern in der Produktion werden in der Regel keine unautorisierten Programme installiert oder dubiose Emails geöffnet, um sich entsprechende Schadsoftware einzufangen. Viele unserer Kunden bestellen bei uns kundenspezifische Systemeinstellungen. Damit schützen wir die Systeme unter anderem auch vor physischer Sabotage, indem die USB Ports unserer PCs nur den Anschluss von Maus und Tastatur zulassen. Externe Speichergeräte werden nicht erkannt, wodurch ein Aufspielen von Schadsoftware von einem USB-Stick vor Ort von vornherein nicht möglich ist.

Welche industriellen PC-Systeme besonders gefährdet sind

Um die CPU-Sicherheitslücken ausnutzen zu können, muss ein Angreifer Schadsoftware auf dem betroffenen System ausführen. In vielen Embedded Systemen oder Routern ist die Lücke deshalb unkritisch, da hier fast nie neuer Code geladen wird. Beim Grad der Gefährdung nehmen wir bei InoNet deshalb eine Abstufung nach Art und Zugänglichkeit der Systeme vor:

Server-Systeme sind in der Regel dauerhaft mit dem Internet verbunden und haben Verbindungen zu vielen weiteren Clients. Allerdings werden sie im Normalfall nicht direkt von einem Benutzer bedient, der – absichtlich oder unabsichtlich – Schadsoftware auf das System laden kann. Die Sicherung des Systems muss also vor allem auf virtueller Ebene erfolgen.

Workstations haben in den meisten Fällen nur wenige Verbindungen und sind oft nur in einem internen Netzwerk eingebunden, werden aber meist direkt vom Benutzer bedient. Die Gefahr liegt hier also primär in der physischen Manipulation.

Embedded-Systeme sind in der Regel gar nicht von außen zugänglich, da sie innerhalb ihrer Applikation verbaut sind, und werden auch meistens nicht direkt von einem Benutzer bedient. Hier sehen wir die geringste Gefahr vor Manipulationen oder externen Gefährdungen.

Welche Gefahren bestehen?

Software-Programme führen unterschiedliche Befehle parallel aus und nutzen hierfür auf PCs unterschiedliche Speicherbereiche. Ein eigentliches Performance-Feature zur Steigerung der Verarbeitungsgeschwindigkeit wird nun zur Sicherheitslücke namens Branch Target Injection oder Bounds Check Bypass. Der Speicherschutz, also der Schutz, der Speicherbereiche voneinander trennt, wird bei den Sicherheitslücken ausgehebelt. Dadurch können Daten durch entsprechende Schadsoftware ausgelesen werden, auch wenn diese einem anderen Speicherort zugewiesen sind. Prozessoren beinhalten diese Sicherheitslücke, um eine performantere Arbeitsweise zu erreichen, beispielsweise für Copy-Paste Vorgänge zwischen unterschiedlichen Programmen.

Zug um Zug können so Adressbereiche und konkrete Informationen aus den Caches von Prozessoren ausgelesen werden.

Das Risiko der Sicherheitslücken ist dabei schwer abschätzbar. Zum einen sind die Angriffe von Meltdown und Spectre auf die Sicherheitslücken schwer zu implementieren und noch schwerer zielgerichtet durchzuführen. Zum anderen hängt die Vorgehensweise in den meisten Fällen auch vom exakten Prozessortyp ab und ist nicht universell einsetzbar, da unterschiedliche Prozessoren verschiedene Arbeitsweisen beim Caching von Daten verwenden.

Allerdings kann die Gefahr im Laufe der Zeit ansteigen, wenn auf einen spezifischen Prozessortyp angepasste Schadsoftwares in den Umlauf gelangen. Aktuell sind noch keine konkreten Angriffe bekannt, das Risiko wird aber als durchaus real eingestuft. Allerdings ist es nach aktuellem Wissensstand noch nicht möglich, gezielt zusammenhängende Daten aus dem CPU-Cache auszulesen, sondern lediglich Datenfragmente.

Updates zum Schutz der Systeme

Bei vielen InoNet-Kunden sind automatische Updates ab Werk unterbunden – das Stichwort heißt hier Revisionsgleichheit. So wird sichergestellt, dass ein Rechnersystem, das über viele Jahre hinweg in einer Anwendung eingesetzt wird, mit jeder Lieferung exakt die gleiche Hard- und Software-Konfiguration behält und somit zuverlässig innerhalb der jeweiligen Applikation funktionieren wird. Unternehmen, die unsere Rechner einsetzen, müssen also für sich abschätzen, ob für ihre Anwendung eine reelle Gefahr durch externe Einflüsse besteht, oder sogar ob ein Update aufgrund von Sicherheitsbedenken die Funktionalität ihrer Anlage beeinträchtigen kann. Wir richten unser Handeln an den Kundenanforderungen aus.

Bei Systemen mit Windows 10 ist allerdings zu beachten, dass sich automatische Updates nicht außer Kraft setzen lassen und unweigerlich durchgeführt werden, sobald die Systeme Zugang zum Internet haben.

Werden die Rechnersysteme durch das Update langsamer?

Die Sicherheitslücken machen sich jeweils Performance-Optimierungen von CPUs zunutze, nämlich die zuvor erwähnten Out of Order-Prozesse sowie die spekulative Ausführung. Um die besagten Sicherheitslücke zu schließen, werden diese Funktionalitäten bei Updates eingeschränkt.

Wie stark die Performance-Einbußen ins Gewicht fallen, hängt maßgeblich von der jeweils laufenden Software sowie der Hardware-Konfiguration eines Systems ab. Besonders bei hoch performanten SSDs rechnen Experten mit stärkeren Einbußen. Diese Einbußen werden sich in der Praxis beweisen müssen, da diese je nach Anwendungsfall unterschiedlich stark ins Gewicht fallen können. Höhere Latenzzeiten in der Datenverarbeitung können durchaus zum Ausfall der gesamten Anwendung führen. In jedem Fall sollten Anwender nie auf Sicherheits-Updates verzichten, um Performance-Einbußen zu vermeiden.

Was können Anwender tun?

Als Erstes sollte für den Rechner und seine Anwendung eine Risikobeurteilung zur Möglichkeit des Einbringens von Schadsoftware erstellt werden. Besonders relevant sind hier das Einspielen von Treibern z.B. von Grafikkarten, die Verwendung von Browsern aller Art für Zugriffe nach extern, Zugriffe nach extern für Softwareupdates mit JavaScript Elementen und alle Betriebssystemupdates. Kann ein externer Einfluss für die Vergangenheit und die Zukunft ausgeschlossen werden, braucht der Anwender nichts weiter zu tun. Dies trifft auf über 60% der von InoNet ausgelieferten Geräte in ihrer Anwendung zu. Bei InoNet verlässt jeder Rechner in einem eindeutig definierten Zustand die Fertigung. Sowohl seine Hardware- als auch die Softwarekonfigurationen sind chargen- und revisionsüberwacht, das Netzwerk in der Fertigung der Geräte von InoNet ist autark und vom Internet getrennt. Damit ist ein versehentliches Aufspielen von Schadsoftware unterbunden. Ebenso werden die Testwerkzeuge, die erzeugten Images und jeder ausgelieferte Rechner bei InoNet ab Werk einem Virenscan und einer Prüfung auf Schadsoftware unterzogen.

Schutz bieten grundsätzlich Updates des Mikrocodes der Prozessoren über BIOS-Updates oder Betriebssystem-Patches, sowie Updates von Programmen, die kritische Informationen enthalten. Neben den bereitgestellten Updates auf Betriebssystem-Ebene sollten also unbedingt vor allem die Programme auf Software-Updates geprüft werden, die Mikrocode ausführen oder sensible Informationen verarbeiten, etwa Passwort-Bibliotheken oder Programme, die geschäftsrelevante Daten enthalten.