Cyber-Security für hohe Anlagenverfügbarkeit
Anlagenhersteller bzw. -betreiber verfolgen mit der Umsetzung von Industrie-4.0-Konzepten vor allem ein Ziel: Ihren Gesamtprozess zu optimieren, um die Effizienz und Produktivität zu steigern. Bei ohnehin komplexen Ansätzen, wie Cloud-Lösungen, konvergenten Netzwerken und dem Zugriff von der IT- bis in die Sensorebene, wird jedoch meist die latente Gefahr außer Acht gelassen, die solche Konzepte in sich bergen. Oft mangelt es hierbei an strukturierten Sicherheitskonzepten und umfassenden Schutzmaßnahmen. Die internationale Normenreihe für Cyber-Security in der Industrieautomatisierung (IEC 62443) bietet diese Hilfestellung. Hier ist zum einen zu nennen, die IEC 62443-3-3 (DIN EN IEC 62443-3-3, VDE 0802-3-3:2020-01: Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme. Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level). In diesem Normenteil sind die Anforderungen an Systeme (Produktionsmaschine oder Gesamtanlage) definiert. Zum anderen gibt es die IEC 62443-4-2 (DIN EN IEC 62443-4-2, VDE 0802-4-2:2019-12: IT-Sicherheit für industrielle Automatisierungssysteme. Teil 4-2: Technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme (IACS)). In diesem Normenteil sind die Anforderungen an Produkte, zum Beispiel Sensoren und damit auch Drehgeber definiert.
Die Verbesserung der Integrität und Verfügbarkeit von Komponenten, der sogenannten Industrial Automation and Control Systems (IACS), streben danach, die Sicherheit der Anlagenbetreiber zu gewährleisten und System-Schwachstellen auf ein Minimum zu reduzieren. Gerade bei sicherheitsrelevanten Anwendungen, bei denen zukünftig die neuen Sendix-S58-Profisafe-Drehgeber Anwendung finden, ist es für Kübler eine logische Konsequenz, Kunden das Feature Cyber Security anzubieten. Erst damit ist der maximal mögliche Schutz vor dem Gesamtausfall einer Anlage, zum Beispiel durch neue Bedrohungen, wie Hacker-Angriffe, gewährleistet. Denn anders als beim klassischen Anlagenschutz sind hiermit auch die einzelnen Komponenten einer Anlage vor Übergriffen geschützt. Um zu einem TÜV-zertifizierten Sicherheitskonzept zu gelangen, muss dieses individuell ausgearbeitet werden. Zunächst wird definiert, welche Posten – Assets – geschützt werden müssen. Diese können sein:
- Safety-Funktion,
- Encoder-Funktion,
- Nutzer-IP (Intellectual Property),
- Hersteller-IP,
- Netzwerkverfügbarkeit,
- Protokolldaten/Logs,
- Zugangsdaten,
- Konfigurationen etc.
Unberechtigte Zugriffe werden in sogenannten Angreiferklassen gelistet. Man unterscheidet zwischen zufälligem oder bewusstem Missbrauch mit geringen oder anspruchsvollen Mitteln.
Da nicht immer das maximal erreichbare Security Level notwendig ist, definiert die IEC 62443 verschiedene Security Level. Von Fall zu Fall spielen unterschiedliche Sicherheitsaspekte eine andere Rolle. So sind bei Security Level 0 keine besondere Anforderung gegeben bzw. der Schutz ist nicht erforderlich. Security Level 1 sieht den Schutz vor unbeaufsichtigtem oder zufälligem Missbrauch vor. Security Level 2 adressiert den vorsätzlichen Missbrauch mit einfachen Mitteln, mit geringen Ressourcen, allgemeinen Fähigkeiten und geringer Motivation. Der Drehgeber-Spezialist Kübler strebt mit seiner neuen Industrial-Ethernet-Drehgeber-Plattform das Security Level 2 an. Damit kann er seinen Kunden einen besonders hohen Sicherheitsaspekt bieten.
Im konkreten Anwendungsfall werden Drehgeber in Anlagen verbaut, die in einem vollumfänglichen Security-Konzept schon in sogenannte „Security Zones“ unterteilt sind. Hierbei werden Bereiche mit gleichen Security-Anforderungen zusammengefasst. In einer Produktionshalle können mehrere Security Zones existieren. Die Kommunikation zwischen den Anlagen, sprich von Zone zu Zone, wird als Conduit beschrieben. Da auch eine direkte Kommunikation des Drehgebers in andere Security-Zones denkbar ist, muss der Drehgeber nicht nur über ein Protokoll verfügen, welches Security-Mechanismen implementiert, sondern auch ein eigenes Sicherheitskonzept im Sinne von Cyber-Security vorweisen.