(Quelle: PI)
Das IT-Sicherheitskonzept von Profinet setzt auf dem Defense-in-Depth-Ansatz auf. Dabei wird die Produktionsanlage durch einen mehrstufigen Perimeter, unter anderem Firewalls, gegen Angriffe, insbesondere von außen, geschützt. Darüber hinaus ist innerhalb der Anlage eine weitere Absicherung durch Unterteilung in Zonen unter Einsatz von Firewalls möglich. Zusätzlich wird durch einen Security-Komponententest die Festigkeit der Profinet-Komponenten gegen Überlastung in einem definierten Umfang sichergestellt. Dieses Konzept wird durch organisatorische Maßnahmen in der Produktionsanlage im Rahmen eines Security-Management-Systems unterstützt.
"Allerdings ist Security ein Thema, das permanent an die aktuelle Entwicklung angepasst werden muss und daher nie abgeschlossen ist. Dies gilt insbesondere vor dem Hintergrund der zunehmenden Vernetzung von Produktionsanlagen", heißt es von PI-Seite. So sorge der Einsatz von Profinet-Komponenten mit Mehrwert, also zum Beispiel Web- oder OPC-Kommunikation, für eine vermehrte, direkte Kommunikation mit übergeordneten Systemen außerhalb der Sicherheitszone. Gleichzeitig würde eine Trennung von Profinet-Netzwerken immer schwieriger.
Im Weiteren verweist PI darauf, dass die Netzwerke immer größer werden, sodass immer mehr Komponenten zu einem Netzwerk verbunden werden und miteinander interagieren. "Ein erfolgreicher Angriff auf ein einzelnes (PC-) System innerhalb einer solchen Zelle umgeht daher Vorab-Schutzmaßnahmen. Auch behindern weit verteilte Anlagen den physischen Schutz von Netzwerken und Zugangspunkten. Dadurch können unbefugte Personen Zugang zum Profinet-Netzwerk erhalten", verdeutlicht die Nutzerorganisation.
Aus diesem Grund wird dazu geraten, bisherige Konzepte, die in der Hauptsache auf eine Abschottung der Produktionsanlagen setzen, durch neue Konzepte, die einen Schutz innerhalb der Zelle ermöglichen, zu ergänzen. PI hat daher die bisherigen Maßnahmen durch weitergehende Schutzmaßnahmen erweitert. Dazu gehören ein Credential Management, zum Beispiel für eine Authentifizierung der Geräte, und eine End-to-End-Security-Erweiterung für die Profinet-Kommunikation als Konfigurationsoption. Da nicht jede Anwendung die gleichen Sicherheitsanforderungen stellt, wurden bei Profinet drei Sicherheitsklassen definiert.
Weitere technische Details und Praxisbeispiele finden sich im Industrie 4.0 Highlight „Security“ unter https://de.profibus.com/.