In der Vergangenheit gab es in der Kommunikation nur Inseln, heute sind unterschiedliche Maschinen und Anlagen miteinander vernetzt. Das Security-Konzept von PI umfasst daher alle PI-Technologien. (Quelle: PI)
PI beschäftigt sich seit vielen Jahren mit Cybersecurity und hat es zum Top-Thema über alle PI-Technologien hinweg gemacht. Hierbei werden neben den rein technologischen Aspekten auch andere relevante Bereiche berücksichtigt, etwa die praktische Umsetzung und Schulungen. Einige Beispiele:
- umfassende Cybersecurity-Konzepte, wie Richtlinien und Best Practices für die Anwender und Gerätehersteller,
- Spezifikationen für die Sicherheitsmechanismen in den Protokollen sowie Cybersecurity-Erweiterungen und das -Reporting,
- Frameworks für Device- und Tool-Security,
- Cybersecurity-Services, beispielsweise zur Signierung von GSD- und FDI-Dateien,
- Test-Bundles zur Prüfung und Verifizierung der Cybersecurity,
- Interoperabilitäts-Feldtests und Plugfests,
- Cybersecurity-Incident-Response-Klärungen,
- Cybersecurity-Trainings und -Webinare sowie
- Beschreibungen, Richtlinien und Literatur zu den Cybersecurity-Themen von PI.
Da nicht nur Ethernet-basierte, sondern auch andere industrielle Kommunikationstechnologien wie IO-Link den Sicherheitsbedrohungen ausgesetzt sein können, werden auch diese Technologien berücksichtigt. Weitere Arbeitsgruppen wurden etabliert, teilweise als Joint Working Groups mit anderen Technologieverbänden für die Abstimmung der Standardisierung.
Außerdem kümmert sich PI darum, dass alle Cybersecurity-Themen für die verschiedenen PI-Technologien verständlicher an die Mitglieder kommuniziert werden. Dies gilt für Anwender und Gerätehersteller sowie weitere Zielgruppen, jeweils vom Techniker bis zum Entscheider in den diskreten Fertigungs- und Prozessindustrien sowie weiteren Einsatzbereichen. Hierbei arbeitet PI eng mit externen Cybersecurity-Experten aus verschiedenen Bereichen zusammen.
Herausforderungen im täglichen Betrieb
Bei der Entwicklung von Schutzkonzepten geht es nicht allein darum, Anlagennetze und Automatisierungskomponenten vor Angriffen zu schützen. Die eingesetzten Schutzmechanismen und -konzepte dürfen auch den laufenden Produktionsbetrieb nicht stören. Außerdem müssen die Schutzkonzepte einfach zu implementieren und bezahlbar bleiben. Und vor allem müssen die Sicherheitskonzepte jederzeit an aktuelle Entwicklungen angepasst werden können. Anwender profitieren von der zunehmenden Vernetzung von Produktionsanlagen, wie folgende Beispiele zeigen. Daher kümmert sich PI vermehrt um Security:
- Profinet-Komponenten mit Mehrwert, wie Webservices oder OPC-UA-Anbindung, kommunizieren verstärkt mit übergeordneten Systemen außerhalb einer definierten Sicherheitszone. Gleichzeitig wird es immer schwieriger, Profinet-Netzwerke zu trennen. Dies könnte zu einem erhöhten Risiko von Angriffen auf Profinet-Komponenten führen.
- Immer mehr Komponenten werden an ein Netzwerk angeschlossen und interagieren miteinander. Ein erfolgreicher Angriff auf ein einzelnes (PC-)System innerhalb einer solchen Zelle könnte daher die bisherigen Schutzmaßnahmen umgehen.
- Weit verteilte Anlagen erschweren den physischen Schutz von Netzen und Zugangspunkten. Dadurch können sich Unbefugte Zugang zum Profinet-Netzverschaffen.
Abschottung allein genügt nicht mehr
Wie ein solches Sicherheitskonzept aufgesetzt werden kann, zeigt das Sicherheitskonzept für Profinet, das auf einem Defense-in-Depth-Ansatz basiert. Bei diesem wird die Produktionsanlage durch einen mehrstufigen Perimeter inklusive Firewalls vor Angriffen insbesondere von außen geschützt. Darüber hinaus ist ein weitergehender Schutz innerhalb der Anlage möglich, indem diese durch Firewalls in Zonen unterteilt wird. Weiter wird durch einen Security-Component-Test sichergestellt, dass die Profinet-Komponenten bis zu einem gewissen Grad überlastungsfest sind. Unterstützt wird dieses Konzept durch organisatorische Maßnahmen in der Produktionsanlage im Rahmen eines Sicherheitsmanagementsystems.
Die bisherigen Konzepte werden nun durch neue Konzepte ergänzt. Hier gibt die OT-Security-Norm IEC 62443 die Definitionen und Guidance vor. Zu den Schutzmaßnahmen gehören ein Credential Management, zum Beispiel zur Geräteauthentifizierung, und eine End-to-End-Security-Erweiterung für die Profinet-Kommunikation als Konfigurationsmöglichkeit.