Industrielle Automation 6/2018
Industrielle Automation 6/2018
Industrielle Automation 6/2018
- TAGS
- automation
- industrielle
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Bild: Adobe Stock<br />
Echtzeitkommunikation anpassen lassen.<br />
Wie verhalten sich diese in Echtzeit? Oder wie<br />
lässt sich eine einfache Zertifikatsprüfung<br />
vornehmen? Dabei steht die Working Group<br />
immer im engen Kontakt zu den Anwendern,<br />
um später auch eine praxistaugliche Vorgehensweise<br />
zu entwickeln.<br />
Security-Maßnahmen<br />
in PROFINET-Netzwerken<br />
VERANTWORTUNG<br />
ÜBERNEHMEN<br />
Die Vernetzung in Anlagen nimmt immer mehr zu und damit auch Bedrohungen,<br />
z. B. durch unberechtigte Zugriffe oder Manipulation des Datenverkehrs.<br />
Vor diesem Hintergrund ist es nur folgerichtig, Automatisierungsnetzwerke<br />
immer wieder neu zu bewerten und entsprechende Security-Konzepte zu erarbeiten.<br />
Daher hat die PI-Working Group Industrie 4.0 das Thema Security zu<br />
einem Schwerpunkt erklärt – ein Statusbericht.<br />
Das Thema Security ist für die Kommunikationsspezialisten<br />
nichts Neues. So hat PI (PRO-<br />
FIBUS & PROFINET International) bereits im<br />
Jahr 2005 ein Security-Konzept veröffentlicht,<br />
das in mehreren Schritten weiter detailliert<br />
wurde. Aber Security ist ein Thema, das nie<br />
abgeschlossen ist – im Gegenteil!<br />
Bevor Konzepte und Maßnahmen erarbeitet<br />
werden, muss erst einmal genau geschaut<br />
werden, wo mögliche Angriffspunkte liegen.<br />
Bei einer solchen Bedrohungsanalyse orientierte<br />
sich PI an bewährten Konzepten aus<br />
der Informationstechnologie. Eins davon ist<br />
das STRIDE-Prinzip, das sich aus den sechs<br />
Anfangsbuchstaben der Begriffe zusammensetzt:<br />
Spoofing, Tampering, Repudiation,<br />
Information disclosure, Denial of service,<br />
Elevation of privilige. Darauf aufbauend<br />
wurden die schützenswerten Assets eines<br />
PROFINET-Systems identifiziert, mögliche<br />
Bedrohungen aufgezeigt, und diese bewertet,<br />
um anschließend Gegenmaßnahmen zu<br />
entwickeln. Dabei zeigte sich, dass z. B. schon<br />
heute die Durchführung von Netzlasttests,<br />
die sog. Security Level1 Tests, wichtiger Bestandteil<br />
bei der Zertifizierungsprüfung sind.<br />
Diese schützen in einem gewissen Umfang<br />
vor Denial of Service-Attacken. Auch das<br />
schon früh von PI eingeführte Zellenschutzkonzept<br />
hat immer noch Bestand.<br />
AKTIVITÄTEN VON PI<br />
Angesichts einer zukünftigen stärkeren Vernetzung<br />
müssen weitere Maßnahmen ergriffen<br />
werden. Allerdings hat die Working<br />
Group in ihren Untersuchungen festgestellt,<br />
dass sich Konzepte aus der Informationstechnologie<br />
nicht ohne weiteres auf die Automatisierungswelt<br />
übertragen lassen. Daher ist<br />
ein Schwerpunkt der Working Group die Beurteilung,<br />
wie sich gängige Schutzkonzepte<br />
aus der IT-Welt auf die Automatisierung und<br />
So wurde zum Beispiel bei Probeimplementierungen<br />
evaluiert, welche Cipher Suites<br />
echtzeitfähig sind. Cipher Suites sind eine<br />
standardisierte Sammlung kryptographischer<br />
Verfahren. Aus PI-Sicht wird es darum gehen,<br />
aus diesen Cipher Suites diejenigen auszuwählen,<br />
welche die erforderlichen Einsatzbereiche<br />
abdecken, etwa einen zyklischen<br />
Datentransfer ohne Unterbrechung durch<br />
zusätzlichen Security-Traffic oder eine sichere<br />
Erkennung von gefälschten Parametrierdaten.<br />
Auch bei der Authentifizierung und Integritätssicherung,<br />
also der Sicherstellung, dass<br />
die Daten auch wirklich von einem vertrauenswürdigen<br />
PROFINET-Gerät stammen<br />
und unverfälscht sind, ist man inzwischen<br />
einen Schritt weiter. Auf der SPS/IPC Drives in<br />
Nürnberg wird in einer Live-Demonstration<br />
ein Man-in-the-Middle-Angriff simuliert und<br />
gezeigt, wie ein Prototyp eines PROFINET-<br />
Gerätes reagiert, das bereits Security-Mechanismen<br />
integriert hat, die das Verfälschen von<br />
Daten erkennen. Ebenfalls extrem wichtig ist<br />
das Schlüsselmanagement (Key Deployment).<br />
Dabei geht es nicht nur um die Frage, wie der<br />
Schlüssel ins Feldgerät, also in diesem Fall in<br />
die PROFINET-Komponente, übertragen wird,<br />
sondern wie man diese Technologie auch<br />
ohne ausgebildete IT-Techniker anwendet.<br />
Diese Beispiele zeigen nur einen kleinen Ausschnitt<br />
aus der derzeitigen Themenbreite,<br />
mit der sich das Security-Team innerhalb von<br />
PI beschäftigt. Security verlangt vom Anwender,<br />
dass er Verantwortung übernimmt und<br />
ein Systemkonzept implementiert. Daher<br />
reicht ein dem Anwender an die Hand gegebenes<br />
einfaches Systemfeature nicht aus. PI<br />
wird im Rahmen seiner Security-Spezifikation<br />
Strategien empfehlen, mit denen eine Anlage<br />
bestmöglich geschützt wird. Bei allen<br />
Konzepten achtet PI darauf, dass die angebotenen<br />
Lösungen praktikabel bleiben und sich<br />
für zukünftige Anwendungen eignen.<br />
Joachim Koppers, Leiter PI WG „Security“<br />
20 PI-Magazin 2/<strong>2018</strong>