SCADA – Supervisory Control and Data Acquisition¶
Übersicht¶
SCADA (Supervisory Control and Data Acquisition) bezeichnet eine Klasse von Softwaresystemen zur überwachenden Steuerung und Datenerfassung in industriellen Anlagen, Infrastrukturen und Versorgungsnetzen. SCADA-Systeme ermöglichen es, räumlich verteilte Prozesse zentral zu visualisieren, zu überwachen und – je nach Ausbaustufe – auch fernzusteuern.
Der Begriff beschreibt kein einzelnes Protokoll, sondern eine Systemarchitektur, die Hard- und Softwarekomponenten, Kommunikationsprotokolle und Benutzerschnittstellen vereint.
Geschichte und Entwicklung¶
| Generation | Zeitraum | Merkmale |
|---|---|---|
| 1. Generation | 1960er–1970er | Proprietäre Mainframe-Systeme, keine Vernetzung, alles lokal |
| 2. Generation | 1980er | Verteilte Systeme (DCS), LAN-Vernetzung, proprietäre Protokolle |
| 3. Generation | 1990er–2000er | Offene Standards, WAN-Anbindung, Windows-basierte HMI, OPC |
| 4. Generation | 2010er–heute | IoT-Integration, Cloud-SCADA, Cybersecurity, IT/OT-Konvergenz |
Systemarchitektur¶
Ein SCADA-System besteht aus mehreren Ebenen, die häufig dem Automatisierungspyramidenmodell (ISA-95) folgen:
┌─────────────────────────────────────────┐
│ Unternehmensebene (ERP) │ Ebene 4
├─────────────────────────────────────────┤
│ Betriebsleitebene (MES) │ Ebene 3
├─────────────────────────────────────────┤
│ SCADA / HMI / Historian / DCS │ Ebene 2
├─────────────────────────────────────────┤
│ SPS / RTU / IED / Controller │ Ebene 1
├─────────────────────────────────────────┤
│ Sensoren, Aktoren, Feldgeräte │ Ebene 0
└─────────────────────────────────────────┘
SCADA ist primär auf Ebene 2 angesiedelt, kommuniziert aber nach unten (Feldebene) und oben (MES/ERP).
Kernkomponenten¶
1. MTU – Master Terminal Unit / SCADA-Server¶
Die zentrale Recheneinheit des SCADA-Systems: - Sammelt Daten von RTUs und PLCs - Führt Alarmauswertung und Trendanalyse durch - Stellt Daten für HMI und Historian bereit - Kann Steuerbefehle an die Feldebene senden
2. RTU – Remote Terminal Unit¶
Dezentrale Feldeinheit zur Datenerfassung und Steuerung: - Erfasst analoge und digitale Signale von Sensoren - Überträgt Messwerte an die MTU - Führt einfache lokale Steuerlogik aus - Kommuniziert über serielle oder IP-basierte Protokolle - Häufig in abgelegenen, schwer zugänglichen Standorten eingesetzt (Pumpstationen, Trafostationen)
3. PLC / SPS – Programmable Logic Controller¶
Speicherprogrammierbare Steuerung als Alternative oder Ergänzung zur RTU: - Schnellere Zykluszeiten als RTUs - Umfangreichere Steuerlogik - In der Regel in Produktions- und Fertigungsumgebungen eingesetzt - Kommuniziert mit SCADA über Protokolle wie Modbus, PROFINET, EtherNet/IP, OPC UA
4. HMI – Human Machine Interface¶
Die Benutzerschnittstelle des SCADA-Systems: - Visualisierung von Prozessdaten in Echtzeit (Mimiken, Schaltbilder, Dashboards) - Alarmdarstellung und -quittierung - Steuereingriffe durch den Operator - Historische Trendanzeige - Kann als Standalone-Client oder Web-HMI realisiert sein
5. Historian¶
Dedizierte Datenbank für Zeitreihendaten: - Hochperformante Speicherung von Prozesswerten im Zeitverlauf - Basis für Trendanalysen, Reporting und Ursachenforschung - Typische Produkte: OSIsoft PI (heute AVEVA PI), Wonderware Historian, InfluxDB
6. Kommunikationsnetz¶
Verbindet alle Komponenten: - Feldebene: Serielle Verbindungen (RS-232, RS-485), Feldbus, Industrial Ethernet - Leitebene: Ethernet LAN / WAN, Fiber, MPLS - Fernzugriff: Mobilfunk (4G/5G), Satellit, VPN über Internet
Kommunikationsprotokolle¶
SCADA-Systeme nutzen eine Vielzahl von Protokollen – je nach Branche, Alter der Anlage und Hersteller:
Serielle / Legacy-Protokolle¶
| Protokoll | Beschreibung |
|---|---|
| Modbus RTU / ASCII | Eines der ältesten und weitverbreitetsten Industrieprotokolle; Master-Slave-Architektur über RS-232/RS-485 |
| DNP3 | Speziell für SCADA in der Energie- und Wasserversorgung; unterstützt Zeitstempel, Unsolicited Reporting |
| IEC 60870-5-101 | Europäischer Standard für Fernwirkung über serielle Leitungen |
IP-basierte Protokolle¶
| Protokoll | Beschreibung |
|---|---|
| Modbus TCP | Modbus über Ethernet/TCP; weit verbreitet und einfach zu implementieren |
| DNP3 over TCP/IP | DNP3 über IP-Netzwerke |
| IEC 60870-5-104 | IEC 60870-5-101 über TCP/IP; Standard in der europäischen Energiewirtschaft |
| IEC 61850 | Moderner Standard für Schutz- und Leittechnik; GOOSE, MMS, Sampled Values |
| OPC DA / OPC UA | Middleware-Standard für herstellerübergreifende Datenkommunikation; OPC UA ist der moderne Nachfolger |
| EtherNet/IP | Industrial Protocol über Standard-Ethernet; verbreitet in der Fertigungsautomatisierung |
OPC UA – Der moderne Integrationsstandard¶
OPC UA (Unified Architecture) hat sich als de facto Integrationsprotokoll für SCADA-zu-ERP und SCADA-zu-Cloud etabliert: - Plattformunabhängig, sicherheitsorientiert (Authentifizierung, Verschlüsselung) - Unterstützt Informationsmodelle (nicht nur Datenpunkte, sondern Kontext) - Basis für Industrie 4.0 / IIoT-Integrationen
OSI-Schichtenmodell¶
SCADA-Protokolle nutzen unterschiedliche OSI-Schichten:
| OSI-Schicht | Nr. | Relevanz für SCADA |
|---|---|---|
| Anwendung | 7 | Kernschicht: SCADA-Protokolle (Modbus, DNP3, IEC 60870-5-104, OPC UA, IEC 61850/MMS) |
| Darstellung | 6 | OPC UA (Datenkodierung), IEC 61850 ASN.1/BER |
| Sitzung | 5 | OPC UA (Session Management), MMS-Sessions |
| Transport | 4 | TCP/UDP (für IP-basierte Protokolle) |
| Netzwerk | 3 | IP-Routing zwischen MTU, RTUs, PLCs |
| Sicherung | 2 | Ethernet, VLAN-Segmentierung (Purdue-Modell) |
| Bitübertragung | 1 | Ethernet, RS-485, Fiber, Funk |
SCADA-Protokolle sind im Gegensatz zu HSR/MRP/PRP primär auf Layer 7 (Anwendungsschicht) angesiedelt und nutzen die unteren Schichten als Transportinfrastruktur.
Anwendungsgebiete¶
Energieversorgung¶
- Überwachung und Steuerung von Umspannwerken, Kraftwerken, Windparks, Solaranlagen
- Netzleitstellen für Strom-, Gas- und Fernwärmeverteilung
- Smart-Grid-Integration
Wasserversorgung und Abwasser¶
- Pumpstationen, Kläranlagen, Wasserwerke
- Fernüberwachung von Reservoirs und Leitungsdruck
- Leckagedetektierung
Öl und Gas¶
- Pipeline-Überwachung und -steuerung über hunderte Kilometer
- Raffinerien und Förderanlagen (Offshore/Onshore)
- Tank-Farm-Management
Verkehr und Transport¶
- Verkehrsleitsysteme, Tunnelsteuerung
- Bahntechnik (Stellwerke, Energieversorgung)
- Flughafeninfrastruktur
Fertigungs- und Prozessindustrie¶
- Chemie, Pharma, Lebensmittelproduktion
- Gebäudeautomation (HVAC, Zutrittskontrolle, Brandschutz)
- Wasseraufbereitung in Industrieanlagen
Sicherheit (Cybersecurity)¶
SCADA-Systeme sind ein bevorzugtes Ziel von Cyberangriffen auf kritische Infrastruktur. Die bekanntesten Vorfälle (Stuxnet 2010, Ukraine-Stromausfälle 2015/2016, Colonial Pipeline 2021) haben das Bewusstsein für OT-Security massiv geschärft.
Typische Schwachstellen¶
- Veraltete Betriebssysteme und ungepatchte Software (lange Lebenszyklen)
- Unverschlüsselte Protokolle (Modbus, DNP3 ohne Security-Extension)
- Fehlende oder schwache Netzwerksegmentierung
- Direktverbindungen zum Internet oder Unternehmensnetz ohne Firewall
- Schwache Authentifizierung, geteilte Passwörter
Sicherheitsmassnahmen¶
| Massnahme | Beschreibung |
|---|---|
| Netzwerksegmentierung | Purdue-Modell / ISA-99: strikte Trennung von IT- und OT-Netz, DMZ als Pufferzone |
| Firewalls & IDS/IPS | Industrietaugliche Firewalls (z. B. Fortinet, Cisco, Claroty) |
| Patch-Management | Regelmässige Updates, soweit möglich; kompensatorische Massnahmen sonst |
| Least Privilege | Minimale Rechte für Benutzer und Systeme |
| Sichere Protokolle | OPC UA mit Sicherheitsprofil, IEC 62351 für DNP3/IEC 60870/IEC 61850 |
| Monitoring & Anomalieerkennung | OT-spezifische Lösungen (Claroty, Dragos, Nozomi Networks) |
| Physische Sicherheit | Zutrittskontrolle zu Leitwarten und Schaltschränken |
Relevante Standards und Normen¶
| Standard | Inhalt |
|---|---|
| IEC 62443 | Cybersecurity für industrielle Automatisierungssysteme (OT-Security-Rahmenwerk) |
| NERC CIP | Nordamerikanische Cybersecurity-Anforderungen für die Stromversorgung |
| ISO/IEC 27001 | Allgemeines Informationssicherheits-Managementsystem |
| IEC 62351 | Security-Erweiterungen für Energiekommunikationsprotokolle |
| NIST SP 800-82 | US-Leitfaden für Industrial Control System Security |
Trends und Entwicklungen¶
IT/OT-Konvergenz¶
Die traditionelle Trennung von IT (Büronetzwerk) und OT (Steuerungsnetzwerk) weicht zunehmend auf. Dies bringt neue Möglichkeiten (Fernwartung, Datenanalyse), aber auch neue Angriffsflächen.
Cloud-SCADA und IIoT¶
- SCADA-Daten werden zunehmend in Cloud-Plattformen (Azure IoT, AWS IoT, Google Cloud) gespiegelt
- Edge Computing für lokale Vorverarbeitung und Latenzreduktion
- Digital Twins als virtuelle Abbilder physischer Anlagen
Industrie 4.0 / OPC UA over TSN¶
- OPC UA over TSN (Time-Sensitive Networking) als nächste Generation der Feldkommunikation
- Einheitlicher Kommunikationsstandard vom Sensor bis zur Cloud
- Ersetzt langfristig proprietäre Feldbussysteme
Vor- und Nachteile¶
✅ Vorteile¶
- Zentrale Überwachung räumlich verteilter Anlagen
- Früherkennung von Störungen durch Alarmmanagement
- Historische Daten als Basis für Wartungsoptimierung (Predictive Maintenance)
- Reduktion von Vor-Ort-Einsätzen durch Fernzugriff
- Skalierbar von kleinen Anlagen bis zu nationalen Infrastrukturen
⚠️ Nachteile¶
- Hoher Implementierungs- und Integrationsaufwand
- Lange Lebenszyklen führen zu veralteten Komponenten
- Wachsende Angriffsfläche durch Vernetzung und IT/OT-Konvergenz
- Abhängigkeit von Herstellern bei proprietären Systemen
- Schulungsaufwand für Betrieb und Sicherheit
Normative Grundlage¶
| Standard | Inhalt |
|---|---|
| IEC 62443 | OT-Cybersecurity |
| ISA-95 / IEC 62264 | Automatisierungspyramide, MES-Integration |
| IEC 60870-5 | Fernwirkprotokolle (101, 104) |
| IEC 61850 | Kommunikation in der Energieautomatisierung |
| IEC 61511 | Funktionale Sicherheit für Prozessanlagen (SIL) |
| OPC UA (IEC 62541) | Plattformunabhängige Industriekommunikation |
Zuletzt aktualisiert: Mai 2026