- Anzeige -
Security by Design

Zugriffssicherheit von Anfang an in allen Bereichen berücksichtigen

Security by Design

Heute stellt der umfassende Schutz von Maschinen und Anlagen vor unberechtigten Zugriffen eine wichtige Anforderung an Automatisierungssysteme dar. Reicht es hier aus, die Geräte um Security-Funktionen zu erweitern? Oder ist die Security eine Funktion der gesamten Automatisierungslösung? Die Norm IEC62443 legt die dazu notwendigen Security-Prozesse und -Funktionen fest.

Die offene Steuerungsplattform PLCnext unterstützt Security-Ziele. (Bild: Phoenix Contact Deutschland GmbH)

Der weltweite Security-Standard IEC62443 zielt auf eine ganzheitliche Betrachtung der Cybersicherheit in der Automatisierungstechnik ab. Zu diesem Zweck beschreibt er drei Rollen (Betreiber, Integrator und Komponentenhersteller) und definiert die erforderlichen Maßnahmen. Für alle Rollen erweist sich Security-by-Design als wesentliche Rahmenbedingung. Die Normenreihe IEC62443 besteht aus 13 Teilen, in denen für jede Rolle die Security-Anforderungen an Prozesse, die funktionalen Maßnahmen sowie den Stand der Technik festgeschrieben werden. Bei der Entwicklung von Automatisierungsgeräten lässt sich deren Funktion nur durch Security-by-Design absichern. Ist die Grundlage gelegt, subsumiert sich die Security der einzelnen in der IEC62443 definierten Integrationsphasen zu einer Secure-by-Design-Lösung, die sich für zahlreiche Anwendungsfälle eignet.

Umsetzung eines sicheren Architekturdesigns

Bei der Konzeption der PLCnext Technology als offener Steuerungsplattform von Phoenix Contact war Security-by-Design eine wichtige Rahmenbedingung des Architekturdesigns. Daraus ergaben sich unter anderem folgende Maßnahmen:

  • • Verwendung von Trusted Platform Modules (TPM) als Hardwareschutz für die privaten Herstellerschlüssel
  • • Nutzung eines konfigurierbaren Linux-Kerns, der gezielt im Hinblick auf die Security abgesichert und gewartet werden kann
  • • Authentisierung und Autorisierung von menschlichen Nutzern und Softwareprozessen auf allen Kommunikationskanälen
  • • Implementierung eines Crypto Stores für Zertifikate, Schlüssel und Identitäten von Systemintegratoren und Betreibern
  • • Verwendung und Konfiguration der VPN-Kommunikationen (Virtual Private Network)
  • • Unterstützung der OPC UA-Schnittstelle mit Security-Profilen, einem UA-Rollen- und -Rechtesystem, x.509-Zertifikaten sowie einer Schnittstelle zum Global Discovery Sever zwecks Zertifikatsverteilung
  • • programmierbare TLS-Kommunikation (Transport Layer Security) für anwendungsspezifische Lösungen, beispielsweise als Funktionsbausteine gemäß IEC61131 oder Hochsprachen-Schnittstelle
  • • Einsatz und Konfiguration der Linux-Firewall
  • • Nutzung und Konfiguration der Logging-Mechanismen mit einer synchronisierten Zeitbasis
  • • Device Management-Schnittstelle für das Update von Firmware-Komponenten.

Vorbereitung eines branchenspezifischen Blueprints

Der Systemintegrator nimmt in der IEC62443 eine wesentliche Rolle ein. Gemeinsam mit dem Betreiber ermittelt er den Schutzbedarf und wählt die geeigneten Komponenten für die Systemlösung aus. Dazu definiert die Norm für jede Rolle Security Level:

  • • Capability SL (SL-C) – erreichbarer SL für Komponenten und Systeme
  • • Achieved SL (SL-A) – erreichter SL für die Automatisierungslösung
  • • Target SL (SL-T) – zu erreichender SL für die Automatisierungslösung als Anforderung des Betreibers.

Nach dem Aufbau der Lösung wird ihre Tauglichkeit in Zusammenarbeit mit dem Betreiber anhand des geforderten Security Levels (SL-A/SL-T) verifiziert und bei Bedarf durch zusätzliche Maßnahmen ergänzt. Zur Vereinfachung dieses Verfahrens empfiehlt es sich für Gerätehersteller und Systemintegratoren, branchenspezifische Blueprints (Referenzsysteme) vorzubereiten, die bei Bedarf auf die Betreiberanforderungen angepasst werden können. So lässt sich auch im Vorfeld ein Portfolio von Geräten oder Teilnetzwerken mit SL-C/SL-A für unterschiedliche Anwendungsfälle zusammenstellen. Die Vorgehensweisen werden in der Norm in zwei Teilen beschrieben. Teil 3-3 skizziert und bewertet die unterstützten Security-Maßnahmen und Level an der Schnittstelle zwischen Systemintegrator und Produkthersteller. Auf dieser Grundlage werden die zum Erreichen des SL-T erforderlichen Geräte ausgesucht. Teil 2-4 legt die Prozesse bei der Integration, Inbetriebnahme und Wartung der Automatisierungslösung fest.

Ein zentrales Patch- und Device-Management unterstützt beim Konfigurieren, Ausrollen und Verwalten von Geräten. (Bild: Phoenix Contact Deutschland GmbH)

Systemische Zusammenarbeit der verbauten Geräte

Es reicht nicht aus, wenn die Geräte nur die Security-Anforderungen erfüllen. Sie müssen ebenfalls systemisch zusammenarbeiten, damit die Lösung einfach konfigurier- und wartbar ist. Aus der systemischen Sicht ergeben sich weitere Anforderungen und Schnittstellen:

  • • Netzwerkarchitektur der Automatisierungslösung
  • • Konfiguration der Automatisierungslösung
  • • Verwaltung von Nutzerkonten und Zertifikaten
  • • Verwaltung der Firewall-Einstellungen
  • • Behandlung von Ergebnissen
  • • Device- und Patch-Management
  • • Fernwartung

Eine Security-by-Design-Lösung unterstützt diese Rahmenbedingungen durch die Möglichkeit zur Netzwerksegmentierung D.h. der Datenaustausch zwischen verschiedenen internen Anlagenteilen (Zonen) kann konfiguriert werden. Weiter lässt sich die eingehende und ausgehende Kommunikation durch VPN verschlüsseln, zum Beispiel per IPsec oder OpenVPN. Durch eine netzwerkweite Konfiguration der Nutzer kann jedem Mitarbeiter ein individueller Zugang zugewiesen und verwaltet werden. Für die Verwaltung mehrerer Geräte in der Automatisierungslösung wird ein intelligentes und effizientes Device- und Patch-Management als Lösung oder Schnittstelle zur Verfügung gestellt. Weiter ermöglicht sie die zentrale Erstellung und Administration aller sicherheitsrelevanten Geräteeinstellungen und unterstützt bei Firmware-Upgrades. Zur sicheren Fernwartung von Maschinen über unsichere Netzwerke ist der Einsatz von zusätzlichen Security Appliances sinnvoll. Als wichtig erweist sich hierbei, dass die Konfigurationen der Geräte aufeinander abgestimmt sind.

Fazit

Für eine Security-by-Design-Lösung nach IEC62443 reicht es nicht aus, bestehende Geräte um Security-Funktionen zu erweitern. Von den Entwicklungsprozessen über die Gerätefunktion bis zur Lösung muss die Security von Anfang an berücksichtigt werden. Es empfiehlt sich schon heute, beim Design von Lösungen soweit wie möglich entsprechende Geräte zu verwenden. Diese Lösungen werden mit sicheren Netzwerkzonen-Konzepten abgesichert. Eine für die Flexibilisierung der Automation notwendige weitere Öffnung der Zonen kann Schritt für Schritt mit den jeweiligen Geräten erfolgen.

Das könnte Sie auch Interessieren

Bild: TRAPO AG
Bild: TRAPO AG
Sicherheit durch virtuelle Workflows

Sicherheit durch virtuelle Workflows

Fusion Studio TIFF File - Bild: TRAPO AG Ein Schwerpunktthema im Trapo Technikum, dem Forschungs- und Entwicklungszentrum, ist die Digitalisierung und wie sie zum Vorteil der Kunden genutzt werden kann. Dabei setzt das Team auf Simulationen an digitalen Zwillingen,...

Grundlage für Industrie-4.0-Applikationen

@Abstract:Mit dem Industrial Edge-Portfolio will Siemens die Lücke zwischen Local und Cloud Computing schließen und hochfrequenten Datenaustausch in der Feldebene ermöglichen.

Drahtlose Schwingungsüberwachung

I-care bietet ab sofort ‚Wi-care as a Service‘ an. Der industrielle Dienstleister ist damit das erste Unternehmen, das eine drahtlose Schwingungsüberwachung als OPEX-Lösung anbietet.

Paessler launcht Industrial IT-Monitoring-Lösung

Paessler präsentiert neue Funktionen seiner Monitoring-Lösung PRTG Network Monitor, mit der Unternehmen einen ganzheitlichen Überblick über die Daten aus ihrer IT- und OT-Infrastruktur erhalten.

Hahn Digital und Erium bringen digitalisierte Prozessoptimierung voran

Hahn Digital, Digitalisierungsexperte fu?r produzierende Unternehmen, und Erium, Technologieführer im Bereich Prozessoptimierung durch KI in Kombination mit Expertenwissen, bündeln ihre Kompetenzen und generieren ein gemeinsames Angebot für Analytics Use Cases in Fertigungsprozessen. Dieses richtet sich zunächst an den Healthcare-Sektor und kann später auf die Automobil-, Elektronik- oder Konsumgüterindustrie ausgeweitet werden.