Security by Design

Zugriffssicherheit von Anfang an in allen Bereichen berücksichtigen

Security by Design

Heute stellt der umfassende Schutz von Maschinen und Anlagen vor unberechtigten Zugriffen eine wichtige Anforderung an Automatisierungssysteme dar. Reicht es hier aus, die Geräte um Security-Funktionen zu erweitern? Oder ist die Security eine Funktion der gesamten Automatisierungslösung? Die Norm IEC62443 legt die dazu notwendigen Security-Prozesse und -Funktionen fest.

Die offene Steuerungsplattform PLCnext unterstützt Security-Ziele. (Bild: Phoenix Contact Deutschland GmbH)

Der weltweite Security-Standard IEC62443 zielt auf eine ganzheitliche Betrachtung der Cybersicherheit in der Automatisierungstechnik ab. Zu diesem Zweck beschreibt er drei Rollen (Betreiber, Integrator und Komponentenhersteller) und definiert die erforderlichen Maßnahmen. Für alle Rollen erweist sich Security-by-Design als wesentliche Rahmenbedingung. Die Normenreihe IEC62443 besteht aus 13 Teilen, in denen für jede Rolle die Security-Anforderungen an Prozesse, die funktionalen Maßnahmen sowie den Stand der Technik festgeschrieben werden. Bei der Entwicklung von Automatisierungsgeräten lässt sich deren Funktion nur durch Security-by-Design absichern. Ist die Grundlage gelegt, subsumiert sich die Security der einzelnen in der IEC62443 definierten Integrationsphasen zu einer Secure-by-Design-Lösung, die sich für zahlreiche Anwendungsfälle eignet.

Umsetzung eines sicheren Architekturdesigns

Bei der Konzeption der PLCnext Technology als offener Steuerungsplattform von Phoenix Contact war Security-by-Design eine wichtige Rahmenbedingung des Architekturdesigns. Daraus ergaben sich unter anderem folgende Maßnahmen:

  • • Verwendung von Trusted Platform Modules (TPM) als Hardwareschutz für die privaten Herstellerschlüssel
  • • Nutzung eines konfigurierbaren Linux-Kerns, der gezielt im Hinblick auf die Security abgesichert und gewartet werden kann
  • • Authentisierung und Autorisierung von menschlichen Nutzern und Softwareprozessen auf allen Kommunikationskanälen
  • • Implementierung eines Crypto Stores für Zertifikate, Schlüssel und Identitäten von Systemintegratoren und Betreibern
  • • Verwendung und Konfiguration der VPN-Kommunikationen (Virtual Private Network)
  • • Unterstützung der OPC UA-Schnittstelle mit Security-Profilen, einem UA-Rollen- und -Rechtesystem, x.509-Zertifikaten sowie einer Schnittstelle zum Global Discovery Sever zwecks Zertifikatsverteilung
  • • programmierbare TLS-Kommunikation (Transport Layer Security) für anwendungsspezifische Lösungen, beispielsweise als Funktionsbausteine gemäß IEC61131 oder Hochsprachen-Schnittstelle
  • • Einsatz und Konfiguration der Linux-Firewall
  • • Nutzung und Konfiguration der Logging-Mechanismen mit einer synchronisierten Zeitbasis
  • • Device Management-Schnittstelle für das Update von Firmware-Komponenten.

Vorbereitung eines branchenspezifischen Blueprints

Der Systemintegrator nimmt in der IEC62443 eine wesentliche Rolle ein. Gemeinsam mit dem Betreiber ermittelt er den Schutzbedarf und wählt die geeigneten Komponenten für die Systemlösung aus. Dazu definiert die Norm für jede Rolle Security Level:

  • • Capability SL (SL-C) – erreichbarer SL für Komponenten und Systeme
  • • Achieved SL (SL-A) – erreichter SL für die Automatisierungslösung
  • • Target SL (SL-T) – zu erreichender SL für die Automatisierungslösung als Anforderung des Betreibers.

Nach dem Aufbau der Lösung wird ihre Tauglichkeit in Zusammenarbeit mit dem Betreiber anhand des geforderten Security Levels (SL-A/SL-T) verifiziert und bei Bedarf durch zusätzliche Maßnahmen ergänzt. Zur Vereinfachung dieses Verfahrens empfiehlt es sich für Gerätehersteller und Systemintegratoren, branchenspezifische Blueprints (Referenzsysteme) vorzubereiten, die bei Bedarf auf die Betreiberanforderungen angepasst werden können. So lässt sich auch im Vorfeld ein Portfolio von Geräten oder Teilnetzwerken mit SL-C/SL-A für unterschiedliche Anwendungsfälle zusammenstellen. Die Vorgehensweisen werden in der Norm in zwei Teilen beschrieben. Teil 3-3 skizziert und bewertet die unterstützten Security-Maßnahmen und Level an der Schnittstelle zwischen Systemintegrator und Produkthersteller. Auf dieser Grundlage werden die zum Erreichen des SL-T erforderlichen Geräte ausgesucht. Teil 2-4 legt die Prozesse bei der Integration, Inbetriebnahme und Wartung der Automatisierungslösung fest.

Seiten: 1 2Auf einer Seite lesen

Das könnte Sie auch Interessieren

Bild: TREND NETWORKS
Bild: TREND NETWORKS
Trend Networks ernennt neuen Customer Experience Manager für Europa

Trend Networks ernennt neuen Customer Experience Manager für Europa

Steve Slyne, der frühere Market Manager von Trend Networks, hat mit sofortiger Wirkung die Position des Customer Experience Manager für Europa des Unternehmens übernommen. Trend Networks, bekannt unter der ehemaligen Firmierung Ideal Networks, kann somit die Expertise aus Kundendienst und technischem Support für seine Prüf- und Messtechnik für Netzwerke, PoE, CCTV-Kameras, Bandbreite und Industrial Ethernet bündeln.

Bild: Lean.IQ
Bild: Lean.IQ
Wert und Nutzen der vorausschauenden Wartung

Wert und Nutzen der vorausschauenden Wartung

Welchen Wert haben digitale Lösungen zur vorbeugenden Wartung? Bzw. wie teuer sind heutzutage Ausfallzeiten aufgrund von Geräteausfällen? Maschinenhersteller und auch Betreiber wünschen sich zunehmend mehr Einblick in den Maschinenzustand und insbesondere in den vorhergesagten Maschinenzustand.

Bild: KEB Automation KG
Bild: KEB Automation KG
Mehr als Daten sammeln

Mehr als Daten sammeln

In der Industrie stehen Schlagworte wie Digitalisierung, Industrial Internet of Things (IIoT) und künstliche
Intelligenz (KI) seit langem für die Möglichkeit, Produktionsabläufe und Wartungsmodelle auf der Basis von Daten zu optimieren. Dadurch ergeben sich für Maschinen- und Komponentenhersteller gleichermaßen Chancen, ihren Kunden neue Angebote für digitale, datenbasierte Services zu machen.

Die Edge braucht 
hochwertige Daten

Die Edge braucht hochwertige Daten

Die Erwartungen an Edge-Computing-Lösungen im Zusammenhang mit Predictive-Maintenance-Aufgaben oder KI-basierten Lösungsassistenten sind groß. Übersehen wird dabei vielfach die Bedeutung qualitativ hochwertiger Daten. Denn ohne ein möglichst vollständiges Datenabbild sind auch keine werthaltigen Edge-Datenanalysen möglich.

Bild: ©bizvector/stock.adobe.com
Bild: ©bizvector/stock.adobe.com
Verwaltung mobiler Geräte und Apps in Field-Service-Management-Projekten

Verwaltung mobiler Geräte und Apps in Field-Service-Management-Projekten

Die Verwaltung von Apps auf unterschiedlichen mobilen Endgeräten ist ein Thema, das während eines Field-Service-Management-Projekts oft erst während der Umsetzung aufgegriffen wird. Dabei ist eine effiziente App-Verwaltung und -Verteilung sowie der sichere Zugriff auf das Unternehmensnetzwerk ein komplexer Bereich, über den sich Unternehmen bereits vor Beginn einer Field-Service-Management-Einführung Gedanken machen sollten.

Master-Studiengang ‚Cybersecurity‘

Die Universität des Saarlandes startet ab dem Wintersemester 2021/22 mit ‚Cybersecurity‘ einen englischsprachigen Masterstudiengang, der auf Sicherheit in der Informationstechnik spezialisiert ist.

Koch-Pac-Systeme setzt auf MobileX

MobileX hat Koch-Pac-Systeme als neuen Kunden für MobileX-CrossMIP, die Service-App für Techniker, und MobileX-Dispatch, die Software zur Einsatzplanung, gewonnen.