-
Die Erfindung betrifft ein Verfahren zum Verhindern eines unerwünschten Zugriffs auf zumindest ein Feldgerät in einem Kommunikationsnetzwerk in einer Anlage der Prozessautomatisierung. Des Weiteren betrifft die Erfindung ein System zum Durchführen des erfindungsgemäßen Verfahrens.
-
Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Prozessautomatisierungstechnik ebenso wie in der Fertigungsautomatisierungstechnik werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
-
Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
-
In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt, die die Messwerte gegebenenfalls weiterverarbeiten und an den Leitstand der Anlage weiterleiten. Der Leitstand dient zur Prozessvisualisierung, Prozessüberwachung und Prozessteuerung über die übergeordneten Einheiten. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
-
Durch die fortschreitende Digitalisierung der Industrieanlagen gerät das Thema Sicherheit immer mehr in den Blickpunkt. Aktuelle Feldgeräte verfügen über praktisch keinen Schutz vor digitalen Angriffen.
-
Ist es einem Angreifer daher erst einmal gelungen, Zugriff zum Feldbus der Anlage oder direkten Zugriff zu den Feldgeräten zu erlangen, so kann er die einzelnen Feldgeräte nach Belieben manipulieren. Ein Feldgerät kann nicht erkennen, ob die vorgenommene Änderung der Parametrierung sinnvoll ist und zur Anlage und dem jeweiligen Prozess passt.
-
Ein Angreifer könnte also die Parametrierung, bzw. Konfiguration der jeweiligen Feldgeräte verändern, was zum Stillstand der Anlage oder im schlimmsten Fall zu einer Beschädigung oder gar einer Zerstörung der Anlage führen kann.
-
Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, ein Verfahren und ein System vorzustellen, welches es erlaubt, einen unerwünschten Zugriff auf ein Feldgerät auf einfache und effektive Art und Weise zu detektieren und zu verhindern.
-
Die Aufgabe wird durch ein Verfahren zum Verhindern eines unerwünschten Zugriffs auf zumindest ein Feldgerät in einem Kommunikationsnetzwerk in einer Anlage der Prozessautomatisierung gelöst, umfassend:
- - Vergleichen durch das Feldgerät des im Feldgerät eingehenden Datenverkehrs mit einem im Feldgerät hinterlegten Alarm-Regelsatz; und
- - Erstellen einer Alarmmeldung im Falle dass das Feldgerät in zumindest einem Teil des eingehenden Datenverkehrs eine Entsprechung zu zumindest einer Regel des Alarm-Regelsatzes detektiert,
wobei die Alarmmeldung zumindest einem weiteren Netzwerkteilnehmer zur Verfügung gestellt wird.
-
Der große Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass auf einfache Art und Weise ein unerlaubter Zugriff auf ein Feldgerät detektiert wird. Das Feldgerät erkennt über einen im Feldgerät hinterlegten Alarm-Datensatz selbstständig, ob verdächtige, bzw. ungewöhnliche Befehle oder Zugriffe über den Datenverkehr an das Feldgerät gesendet werden. Der Alarm-Datensatz kann vom Anlagenbetreiber, bzw. vom Kunden selbst erstellt und bearbeitet und aktualisiert werden, kann aber auch vom Feldgerätehersteller zu Verfügung gestellt werden. Die Befehle, die im Teil des Datenverkehrs enthalten sind und zu Regeln im Alarm-Regelsatz korrespondieren, werden vom Feldgerät nach der Detektion nicht ausgeführt, so dass beispielsweise eine Reparametrierung/Rekonfiguration und/oder eine Ausgabe von Informationen des Messgeräts unterbunden wird.
-
Bei dem weiteren Netzwerkteilnehmer handelt es sich insbesondere um einen Workstation-PC in der Leitstelle der Anlage. Dem Anlagenbetreiber, bzw. dem Kunden wird somit an zentraler Stelle ein Alarm angezeigt, so dass der Anlagenbetreiber, bzw. der Kunde zeitnah auf diesen reagieren kann.
-
Es kann alternativ vorgesehen sein, dass die Alarmmeldung erst nach einer definierten Anzahl von Detektionen erstellt wird. So können Fehlalarme verhindert werden, im Falle dass versehentlich, beispielsweise durch einen Servicetechniker, ein falscher Befehl über den Datenverkehr an das Feldgerät gesendet wird.
-
Feldgeräte, welche im Zusammenhang mit der Erfindung genannt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft beschrieben.
-
Eine bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass die Alarmmeldung in dem Fall erstellt wird, wenn zumindest ein Teil des eingehenden Datenverkehrs zumindest einer folgenden Regel des Alarm-Regelsatzes entspricht:
- - Empfangen eines Befehls zum Schreiben und/oder Lesen von zumindest eines nicht im Feldgerät hinterlegten Parameters;
- - Empfangen eines Befehls zum Schreiben eines Parameterwertes, welcher sich außerhalb eines definierten Wertebereichs befindet;
- - Empfangen einer ungültigen Kommandonummer an das Feldgerät;
- - Systematisches Abfragen aller Indizes oder Kommandonummern des Feldgeräts;
- - Schreibzugriff, obwohl sich das Feldgerät in einem schreibgeschützten Modus befindet.
-
Alle diese Regeln basieren darauf, dass ein potentieller Angreifer keine Kenntnis über den Typ, bzw. den Aufbau des jeweiligen Feldgeräts besitzt. Die Befehle, die im Teil des Datenverkehrs enthalten sind und zu Regeln des Alarm-Regelsatzes korrespondieren, werden vom Feldgerät nach der Detektion nicht ausgeführt.
-
Eine bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass der weitere Netzwerkteilnehmer eine Diagnosemeldung von dem Feldgerät anfordert. Dadurch kann der Anlagenbetreiber, bzw. der Kunde erkennen, ob die Alarmmeldung berechtigterweise erstellt wurde.
-
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass in der Diagnosemeldung eine Beschreibung der entsprechenden Regel angefügt ist, wobei Beschreibungen für jede der Regeln des Alarm-Regelsatzes im Feldgerät hinterlegt sind. Durch die Beschreibung erfährt der Anlagenbetreiber, bzw. der Kunden zusätzlich zu der Information, dass ein unerlaubter Zugriff detektiert wurde, welcher Regel des Alarm-Regelsatzes der unerlaubte Zugriff entsprochen hat und kann auf die jeweilige Regel zugeschnittene Maßnahmen ergreifen. Es kann vorgesehen sein, die Beschreibungen für jede der Regeln im Textformat oder im XML-Format im Alarm-Regelsatz zu speichern.
-
Zusätzlich kann es vorgesehen sein, den Ursprung des unerlaubten Zugriffs anzuzeigen, also beispielsweise ob der Zugriff von einer mit dem Kommunikationsnetzwerk verbundenen mobilen Kommunikationseinheit erfolgt ist.
-
Gemäß einer bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass der weitere Netzwerkteilnehmer nach Empfang der Diagnosemeldung eine oder mehrere der folgenden geeigneten Maßnahmen veranlasst:
- - Aktivieren des schreibgeschützten Modus des Feldgeräts;
- - Sperren des Feldgeräts;
- - Ausschalten des Feldgeräts.
-
Das Ergreifen der Maßnahmen geschieht automatisch, so dass weitere versuchte Manipulationen des Feldgeräts nicht mehr möglich sind.
-
Der Sicherheitslevel, also die adäquate Auswahl der zu ergreifenden Maßnahmen, kann applikationsspezifisch für jedes Feldgerät der Anlage eingestellt werden.
-
In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass das Feldgerät bei Detektion der Entsprechung ein visuelles und/oder akustisches Signal ausgibt. Hierfür befindet sich am Feldgerät eine Lampe, beispielsweise eine Blitzlichtlampe und/oder ein Lautsprecher. Das Ausgeben des Alarms erfolgt dadurch unmittelbar an der Messstelle der Anlage, wodurch umstehende Personen, beispielsweise Servicepersonal oder Mitarbeiter der Anlage, sofort informiert werden und Maßnahmen ergreifen können.
-
Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass der weitere Netzwerkteilnehmer eine Auflistung der Entsprechungen verknüpft mit einem Zeitstempel und dem Ursprung des jeweiligen ungewöhnlichen Ereignisses erstellt. Dies erlaubt eine Rekonstruktion vergangener Angriffe. Es kann weiter vorgesehen sein, die Alarmmeldungen zusätzlich mit der jeweils ergriffenen Maßnahme zu kombinieren, so dass ein schnelleres Handeln im Wiederholungsfall möglich ist, bzw. eine Optimierung durchgeführt werden kann.
-
Des Weiteren wird die Aufgabe durch ein System zum Durchführen des erfindungsgemäßen Verfahrens gelöst, umfassend:
- - ein Kommunikationsnetzwerk;
- - eine Vielzahl von Feldgeräten,
wobei jedes der Feldgeräte den im jeweiligen Feldgerät eingehenden Datenverkehr mit in den jeweiligen Feldgeräten hinterlegten Alarm-Regelsätzen vergleicht, und
wobei das jeweilige Feldgerät bei Detektion zumindest einem Teil des Datenverkehrs, welcher zumindest einer Regel des jeweiligen Alarm-Regelsatzes entspricht, eine Alarmmeldung generiert, welche zumindest einem weiteren Netzwerkteilnehmer zur Verfügung gestellt wird; und
- - einen weiteren Netzwerkteilnehmer,
wobei Feldgeräte und der weitere Netzwerkteilnehmer über das Kommunikationsnetzwerk untereinander in Kommunikationsverbindung stehen.
-
Der große Vorteil des erfindungsgemäßen Systems besteht darin, dass die bestehende Infrastruktur der Anlage nur geringfügig verändert werden muss. In den Feldgeräten muss lediglich ein Alarm-Regelsatz hinterlegt werden. Des Weiteren benötigen die Feldgeräte jeweils eine Auswertelogik, um den jeweils eingehenden Datenverkehr mit den jeweiligen Alarm-Regelsätzen zu vergleichen. Die Logik kann beispielsweise auf einer bereits im Feldgerät vorhandenen Elektronikeinheit ausgeführt werden. Es kann aber auch alternativ vorgesehen sein, eine weitere Elektronikeinheit, welche die Logikeinheit beinhaltet, zu dem Feldgerät hinzuzufügen, beispielsweise in Form eines Steckmoduls.
-
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem Kommunikationsnetzwerk um ein drahtgebundenes Netzwerk, insbesondere um einen Feldbus der Automatisierungstechnik, handelt. Im Prinzip kann hierbei jedes gebräuchliche Protokoll eines drahtgebundenen Netzwerks, insbesondere eines Feldbusnetzwerks der Automatisierungstechnik, wie Foundation Fieldbus®, Profibus®, Profinet®, HART®, Modbus®, Industrial Ethernet, etc. verwendet werden. Es kann sich aber auch um ein Local-Area-, bzw. um ein Wide-Area-Netzwerk, insbesondere um das Internet, handeln.
-
Gemäß einer bevorzugten Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem Kommunikationsnetzwerk um ein drahtloses Netzwerk handelt. Beispiele für drahtlose Netzwerke sind Bluetooth, ZigBee, WLAN, GSM, LTE, UMTS, oder aber auch eine drahtlose Version eines Feldbusprotokolls, insbesondere WirelessHART
-
Eine bevorzugte Weiterbildung des erfindungsgemäßen Systems sieht vor, dass es sich bei dem weiteren Netzwerkteilnehmer um ein weiteres Feldgerät oder um eine Steuerungseinheit, welche sich in der Leitebene der Anlage befindet, handelt.
-
Gemäß einer ersten Variante des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem eingehenden Datenverkehr um zumindest ein Telegramm handelt, welches über das Kommunikationsnetzwerk gesendet wird. Das Telegramm kann beispielsweise durch eine korrupte Steuerungseinheit oder durch ein weiteres, korruptes bzw. manipuliertes Feldgerät ausgesendet werden. Als Maßnahme kann hier vorgesehen sein, weitere Telegramme des weiteren Feldgeräts bzw. der Steuerungseinheit zu blocken und/oder das weitere Feldgerät auszuschalten.
-
Gemäß einer zweiten Variante des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem eingehenden Datenverkehr um zumindest ein Telegramm handelt, welches von einer Bedieneinheit über das Kommunikationsnetzwerk oder über eine Serviceschnittstelle gesendet wird. Im Falle, dass die Bedieneinheit über das Kommunikationsnetzwerk kommuniziert, ist die Bedieneinheit als zweiter Host (Master der Klasse 2) ausgestaltet und erhält dadurch die Berechtigung und ein Zeitfenster, um Telegramme an Feldgeräte zu senden. Eine geeignete Maßnahme bei erfolgter Detektion ist hierbei, diesen zweiten Host zu sperren, so dass Befehle dieses Hosts nicht mehr angenommen werden.
-
Gemäß einer dritten Variante des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem eingehenden Datenverkehr um eine manuelle Eingabe an dem jeweiligen Feldgeräts handelt, welche über ein Display des jeweiligen Feldgeräts oder über am Feldgerät angebrachte Tasten erfolgt. Dies ist insbesondere dann der Fall, wenn sich ein Angreifer unbefugt in unmittelbarer Nähe des Feldgeräts befindet. Hierbei werden insbesondere Grenzüberschreitungen von Parameterwerten und/oder falsche Eingaben von Passwörtern detektiert. Geeignete Maßnahmen sind in diesem Fall die Sperrung der Bedienung des Feldgeräts und/oder die Ausgabe eines visuellen und/oder akustischen Signals, um in der Anlage sofort auf den Angreifer aufmerksam zu machen.
-
Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigen
- 1: ein erstes Ausführungsbeispiel des erfindungsgemäßen Verfahrens; und
- 2: ein zweites Ausführungsbeispiel des erfindungsgemäßen Verfahrens.
-
1 zeigt ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens. Hierbei ist eine Anlage A der Automatisierungstechnik dargestellt. An einem Datenbus D1 sind mehrere Rechnereinheiten WS1, WS2 in Form von Workstation-PCs in der Leitebene der Anlage A angeschlossen. Diese Rechnereinheiten dienen als übergeordnete Einheiten (Leitsystem bzw. Steuereinheit), unter anderem zur Prozessvisualisierung, Prozessüberwachung und zum Engineering wie zum Bedienen und Überwachen von Feldgeräten. Der Datenbus D1 arbeitet z. B. nach dem Profibus DP-Standard oder nach dem HSE (High Speed Ethernet)-Standard der Foundation Fieldbus. Über eine Steuereinheit SPS, die insbesondere als speicherprogrammierbare Steuerung ausgestaltet ist, ist die Leitebene der Anlage A mit einem Feldbus-Segment verbunden. Das Feldbus-Segment SM1 besteht aus mehreren Feldgeräten F1, F2, F3, F4, die über einen Feldbus FB miteinander verbunden sind. Bei den Feldgeräten F1, F2, F3, F4 kann es sich sowohl um Sensoren oder um Aktoren handeln. Der Feldbus FB arbeitet entsprechend nach einem der bekannten z.B. Feldbusstandards Profibus, Foundation Fieldbus oder HART. Anstatt des Feldbusses kann es sich um beliebiges drahtloses oder drahtgebundenes Kommunikationsnetzwerk FB handeln. In der Steuereinheit SPS befindet sich eine Logikeinheit LE, die das erfindungsgemäße Verfahren steuert und ausführt. Der Feldbus FB und der Datenbus D1 werden als gemeinsames Kommunikationsnetzwerk KN bezeichnet.
-
Im in 1 gezeigten Ausführungsbeispiel des erfindungsgemäßen Verfahrens versucht ein Unbefugter, das Feldgerät F1 zu manipulieren. Hierfür verbindet er sich mit einer mobilen Bedieneinheit BE mit dem Feldbus FB des Kommunikationsnetzwerks KN. Die Steuereinheit ist ein Master der Klasse 1 und kommuniziert mit den Feldgeräten F1, F2, F3, F4 im zyklischen Datenverkehr. Die Bedieneinheit BE fungiert als Master der Klasse 2 und erhält dadurch einen definierten Zeitslot, um mit den Feldgeräten azyklisch zu kommunizieren.
-
Die Bedieneinheit BE sendet eine Vielzahl an Befehle an das Feldgerät F1, zum systematischen Abfragen von Indizes und/oder Kommandonummern des Feldgeräts F1. Nur mithilfe dieser Indizes und/oder Kommandonummern ist es dem Unbefugten möglich, mittels der Bedieneinheit BE das Feldgerät F1 zu rekonfigurieren.
-
Das Feldgerät F1 analysiert laufend den über das Kommunikationsnetzwerk KN eingehenden Datenverkehr und vergleicht diesen mit einem Alarm-Regelsatz AR, welcher vordefinierte Regeln enthält. Dieser Alarm-Regelsatz AR ist im Feldgerät F1 gespeichert. Der Alarm-Regelsatz AR kann vom Anlagenbetreiber, bzw. vom Kunden selbst erstellt und bearbeitet und upgedatet werden, kann aber auch vom Feldgerätehersteller zu Verfügung gestellt werden. Die weiteren Feldgeräte F2, F3, F4 enthalten ebenfalls jeweils einen Alarm-Regelsatz AR, dieser kann jedoch verschieden zum Alarm-Regelsatz AR des Feldgeräts F1 sein. Insbesondere ist der Alarm-Regelsatz AR jeweils an die jeweilige Messstelle, bzw. an den Sicherheitslevel der jeweiligen Messstelle, angepasst.
-
Das Feldgerät F1 registriert nach wenigen Telegrammen der Bedieneinheit BE, dass Indizes und/oder Kommandonummern systematisch abgefragt werden. Dies entspricht einer Regel im Alarm-Regelsatz AR des Feldgeräts F1, so dass das Feldgerät F1 eine Alarmmeldung generiert.
-
Diese Alarmmeldung sendet das Feldgerät F1 an den Workstation-PC WS1 in der Leitebene. Dieser fordert eine Diagnosemeldung vom Feldgerät F1 an. Die Diagnosemeldung enthält eine Beschreibung der entsprechenden Regel. Idealerweise wird die Beschreibung der Regel im XML-Format übertragen, so dass der Workstation-PC WS1 diese sofort weiter bearbeiten kann. Der Workstation-PC WS1 veranlasst daraufhin die Maßnahmen, dass das Feldgerät F1 in einen schreibgeschützten Modus wechselt. Des Weiteren veranlasst der Workstation-PC WS1, dass die Bedieneinheit BE im Netzwerk gesperrt wird, so dass das Feldgerät F1, bzw. alle anderen am Kommunikationsnetzwerk KN angeschlossenen Komponenten, keine Kommandos/Befehle dieser Bedieneinheit BE mehr annimmt, bzw. annehmen.
-
Die jeweiligen Maßnahmen, die je nach detektierter Regel ergriffen werden, können vorab eingestellt werden. Es versteht sich von selbst, dass die zu ergreifenden Maßnahmen weitere Maßnahmen, als die in diesem Ausführungsbeispiel geschilderten Maßnahmen, einschließen können.
-
2 zeigt ein zweites Ausführungsbeispiel der erfindungsgemäßen Verfahrens. Ein Unbefugter verschafft sich unerlaubter Weise Zugang zu den Feldgeräten F1, F2, F3, F4 in der Anlage A und versucht das Feldgerät F1 über dessen Display umzuparametrieren. Die Eingaben über das Display des Feldgeräts F1 werden ebenfalls als eingehender Datenverkehr bezeichnet, die vom Feldgerät F1 mit dessen implementierten Alarm-Regelsatz AR verglichen werden.
-
Für einen Parameter wird ein Parameterwert eingegeben, der außerhalb der zulässigen Grenzen des Parameters liegt. Das Feldgerät F1 detektiert diese Entsprechung zu einer im Alarm-Regelsatz AR vorhandenen Regel und sendet eine Alarmmeldung analog zu dem in 1 beschriebenen Verfahren aus. Der Workstation-PC WS1 veranlasst hier wiederum, dass das Feldgerät F1 in den schreibgeschützten Modus wechselt.
-
Zusätzlich gibt das Feldgerät F1 über eine Lampe und/oder einen Lautsprecher ein optisches, bzw. akustisches Warnsignal aus. Hierbei können Mitarbeiter der Anlage A informiert werden, dass eine unzulässige Bedienung des Feldgeräts F1 stattfindet.
-
Es versteht sich von selbst, dass das erfindungsgemäße Verfahren und das erfindungsgemäße System auf jegliche Art und Anzahl von Feldgeräten F1, F2, F3, F4 anwendbar ist und nicht auf die in den Figuren 1 und 2 gezeigten Ausführungsbeispiele beschränkt ist. Des Weiteren ist vorgesehen, dass die Regeln des Alarm-Regelsatzes AR und die zu ergreifenden Maßnahmen in diesen Ausführungsbeispielen beispielhaft genannt sind und weitere Regeln, bzw. Maßnahmen miteinschließen können.
-
Bezugszeichenliste
-
- A
- Anlage der Prozessautomatisierung
- AR
- Alarm-Regelsatz
- BE
- Bedieneinheit
- D1
- Datenbus
- F1, F2, F3, F4
- Feldgerät
- FB
- Feldbus
- KN
- Kommunikationsnetzwerk
- SPS
- Steuereinheit
- WS1, WS2
- Workstation-PC