Unterschiedliche Sicherheitsklassen

Die Begrifflichkeiten rund um Security sind kompliziert. Deshalb kümmert sich PI um die Umsetzung, damit Security auch für Nicht-IT-Experten selbstverständlich wird.

Die Begrifflichkeiten rund um Security sind kompliziert. Deshalb kümmert sich PI um die Umsetzung, damit Security auch für Nicht-IT-Experten selbstverständlich wird. (Quelle: PI)

Grafik zeigt Hand, die Handy hält, dass mit Steuerung kommuniziert

Anwender profitieren von der zunehmenden Vernetzung und Digitalisierung von Automatisierungssystemen. Damit sie dabei auf der sicheren Seite sind, kümmert sich PI um die entsprechenden Security-Konzepte. (Quelle: Hilscher)

Da jede Anwendung unterschiedliche Sicherheitsanforderungen hat, bietet Profinet drei aufeinander aufbauende Security Classes für unterschiedliche­ Use-Cases an.­ Die Security­ Classes beschreiben die minimalen Security-Fähigkeiten, die ein Gerät­ mitbringen­ muss.­

Die ­Security ­Class 1 (Robustheit)­ sieht­ in der Regel ­die Abschottung des Systems nach außen, die Segmentierung des Produktionsnetzes, den Zugriffsschutz und weitere Maßnahmen vor (Defense-in-Depth-Konzept). Dies wurde bereits in einigen Punkten­ erweitert.­ Dazu­ gehört­ die Möglichkeit, SNMP-Default-Strings zu ändern. DCP-Set-Befehle, die eine aktive Verbindung stören könnten, lassen sich deaktivieren und GSD-Dateien können durch Signieren vor unbemerkten Änderungen geschützt werden. Profinet Security Class­1 ist nun in die konkrete Umsetzung übergegangen. Zu diesem Zweck hat PI eine Infrastruktur für die Signierung von GSD aufgebaut.

Für die Security Class 2 (Integrität und Authentizität) wird zusätzlich zur Security Class 1 die Integrität und Authentizität der Datenkommunikation spezifiziert. Dies ist beispielsweise bei Systemen der Fall, die nicht einfach in Zonen unterteilt werden können oder bei denen der Zugang von außen nicht gesichert ist,­ zum­  Beispiel ­bei ­Außenanlagen.­ Die ­Security­ Class­ 2 ­und­ 3­ bieten auch einen kryptografischen Schutz von Profinet-Nachrichten. Mit der Authentifizierung und Autorisierung auf der Grundlage von X.509-Zertifikaten erhält der Anwender Informationen über die Identität des Absenders. Dies dient dem Aufbau von Vertrauen zwischen zwei Kommunikationspartnern. Außerdem kann der rechtmäßige Empfänger Manipulationen erkennen und Dritte können Nachrichtenfelder nicht verändern, ohne dass der berechtigte Empfänger dies bemerkt.

Außerdem ­führt­ Security­ Class­ 2 ­eine­ standardisierte­ Ereignisprotokollierung ein. Dadurch lassen sich sicherheitsrelevante Ereignisse wie fehlgeschlagene Authentifizierungsversuche nachvollziehen.­ Dies ­ist ­besonders­ wichtig,­ um Angriffe­ frühzeitig­ zu­ erkennen, ­forensische­ Analysen­ durchzuführen­ und­ im Ernstfall geeignete Gegenmaßnahmen einzuleiten.

Zusätzlich ermöglicht Security Class 2 eine sichere Inbetriebnahme.­ Damit ­lassen­  sich­ neue­ Geräte­ sicher ­in ­das­ Netzwerk integrieren, ohne dass unautorisierte Komponenten eingeschleust werden können. Dies erhöht nicht nur die Betriebssicherheit, sondern vereinfacht auch die Inbetriebnahme und optimiert den Lebenszyklus von Anlagen. Durch die Unterstützung automatisierter Verfahren wird zudem ein reibungsloser Austausch von Geräten (Device Replacement) möglich, ohne dabei die Sicherheit zu beeinträchtigen. So lassen sich defekte oder ausgetauschte Komponenten trotz Sicherheitsmaßnahmen effizient und zuverlässig in bestehende Systeme einbinden. In ­der­ Security­ Class ­3­  ist­ auch ­die ­Vertraulichkeit­ von­ Daten spezifiziert. Mit einer authentifizierten Verschlüsselung können Dritte­ die­ übertragenen­ Daten­ zusätzlich­ nicht­ lesen. Dies­ ist beispielsweise notwendig, wenn aus diesen Daten (Betriebs-)Geheimnisse abgeleitet werden können. Dabei umfasst Security Class 3 selbstverständlich alle Schutzmechanismen der Security­ Class ­2. ­Auf ­dieser­ Basis­ wird ­die­  Sicherheitsstufe­ um ­die Vertraulichkeit erweitert.

Die­ grundlegenden­ Elemente­ für­ die­ Security­ Class­ 2­ und­ 3­ wurden in den Spezifikationen festgelegt, darunter die Definition von Krypto-Algorithmen und das Handling von Zertifikaten. Dadurch konnten Hardware- und Firmwarehersteller bereits mit der Entwicklung beginnen. Derzeit werden weitere Funktionen, die­ teilweise ­auch­ von­ der­ IEC 62443­ abgeleitet­ sind,­ im­ Detail spezifiziert.

Fazit

Anwender profitieren von der zunehmenden Vernetzung und Digitalisierung von Automatisierungssystemen. Daher ist eine enge Zusammenarbeit zwischen PI, Herstellern und Anwendern ­beim ­Thema ­Cybersecurity ­unabdingbar.­ Während­ PI ­für die Entwicklung und Pflege von Sicherheitsspezifikationen, Leitlinien und bewährten Verfahren zuständig ist, müssen Hersteller die Sicherheitsmaßnahmen in Geräten und Systemen umsetzen.­ Und­ nicht­ zuletzt ­müssen­ sich ­Anwender­ an­  die­ Sicherheitsrichtlinien­ und ­Best­ Practices­ halten.­ PI­ begleitet­ diesen Prozess  und­ unterstützt ­durch ­seine ­Technologien­ diesen­ Weg,­ damit Anwender auch in Zukunft auf der sicheren Seite sind.

Einladung zur Mitarbeit

Ausführliche Informationen zum Thema Cybersecurity für die PI-Technologien bietet die PI-Webseite. Neben dem Profinet-Forum für technische Fragen zu Profinet Security­ haben­ Mitglieder­ von­ PI­ auch­ Zugriff­ auf Whitepaper, Leitfäden, Beschreibungen und weitere Dokumente, Informationen sowie Videos. Denn Basis für diese umfangreichen Informationen ist die aktive Community mit mehr als 1.000 Experten, die sich regelmäßig in ihren 80 Arbeitsgruppen treffen und die PI-Themen weiterentwickeln. Diese bieten die Chance, neue Themen mitzugestalten, aber auch bereits in einer frühen Phase die neuesten Informationen zu erhalten, neue Anforderungen kennenzulernen, die jeweiligen Experten­ zu­ treffen­ und­ sich  aktiv ­mit ­der­ Community auszutauschen.

SPS: Halle 5, Stand 210

Dominik Ziegler, Security-­Experte ­bei ­PI ­(Profibus ­& ­Profinet ­International)
www.profibus.de/security
2 / 2

Ähnliche Beiträge