vgbe energy journal 11 (2022) - International Journal for Generation and Storage of Electricity and Heat

Weitere Magazine

Empfehlungen

Info

Cybersecurity Konzepte aus Industrie 4.0 für bestehende Anlagen nen, z.B. für die anschließende Durchführung von Cybersicherheitsrisikobewertungen. Im Rahmen eines Modernisierungsprojektes sind dabei auf jeder Abstraktionsebene nur die jeweils relevanten Auszüge zu modellieren. Anmerkung: Das Beispiel verdeutlicht, dass der Modellierungsansatz für den Anlagenneubau, beispielsweise eines Small Modular Reactor (SMR) oder eines Microreactor (MR) besser geeignet ist, da von vornherein alle Detaillierungsebenen vollständig erfasst werden und damit kein späteres Reverse Engineering von Anlagenteilen erforderlich ist. Bezüglich Cybersecurity ist insbesondere bei der Modellierung von Assets zu unterscheiden zwischen: –– Primäre Assets (Primary Assets, gemäß ISO/IEC 27005): zu schützende Aggregate und technische Prozesse –– Unterstützende Assets (Supporting Assets): autarke und vernetzte IIoT-Systeme, welche die primären Assets ansteuern. Typisch für Automatisierungsprojekte ist ein ständig steigender Grad der Vernetzung. Entsprechend obiger Terminologie wäre dies die Vernetzung zwischen den unterstützenden Assets. Dazu gehören neben den Safety Automatisierungssystemen und den OT-Systemen zunehmend auch die Elektrischen Energiesysteme (EPS – Electrical Power Systems), da diese auch von digitalen Automatisierungssystemen überwacht und konfiguriert werden sowie das Edge und Cloud Computing, z.B. Security Information und Event Management (SIEM) Systeme. Der sichere Datenaustausch zwischen diesen Systemen wird im folgenden Abschnitt betrachtet. Sichere M2M Kommunikation, Trust Anchor API Tab. 1. Übersicht relevanter Teile der IEC TR 62541-:2020 OPC Unified Architecture Teil [5] Teil Titel 1 Übersicht und Konzepte 2 Modell für die IT- Sicherheit Für I4.0 sind OPC Unified Architecture (OPC UA) sowie Time Sensitive Networking (TSN) grundlegende Netzwerkprotokolle. Die von der OPC Foundation koordinierte Standard- Entwicklung und Zertifizierung der Konformität umfasst u.a. die in Ta b e l l e 1 enthaltenen Teile. Wichtig ist dabei, dass Informationssicherheit (Teil 2: IEC TR 62541-2) bereits beim Protokolldesign berücksichtigt wurde. Time Sensitive Networking (Draft IEC/IEEE 60802:2022 mit TSN Profil für Industrielle Automatisierung) gewährleistet den Datenaustausch mit geringer Latenz und hoher Verfügbarkeit und ermöglicht konvergente Netzwerke mit Echtzeit Regelung. Für sichere Machine-to-Machine (M2M) Kommunikation und fortschrittliche Cybersecurity-Anwendungen auch im Embedded Bereich wird ergänzend das Generic Trust Anchor (GTA) API designed, prototypisch implementiert und standardisiert. Die Standardisierung bei ISO/IEC JTC1/SC41 wurde durch I4.0 (DIN/DKE) initiiert, in Verbindung mit IEC TC65 und ISO/IEC JTC1/ SC27 WG4. Das generische API (Application Programming Interface) dient der Integration von Sicheren Elementen (Secure Elements) innerhalb von IIoT-Geräten (Industrielle IoT). Das GTA API stellt eine Reihe von klar definierten Methoden, Funktionen, Routinen oder Befehlen für Anwendungssoftware bereit, um den Programmierern die Verwendung kryptografischer Ressourcen von einem sicheren Element zu erleichtern, das als Vertrauensanker verwendet wird. Ein Trust Anchor ist eine Sicherheitsfunktion für vertrauenswürdige Informationen und enthält einen kryptographischen Algorithmus, einen Schlüsselwert, den Emittenten und optional weitere Parameter. Ein Sicheres Element (SE) ermöglicht die vertrauenswürdige Speicherung und Nutzung z.B. von sensiblen Informationen der Identität von IIoT-Geräten zu deren Authentifizierung innerhalb von IIoT-Systemen. Die GTA API unterstützt die –– Auslagerung der meisten sicherheitskritischen Implementierungsdetails von IIoT- Anwendungsentwicklern sowie –– Kapselung der benötigten Funktionalität in einen Funktionsblock. Diese Funktionsblöcke können von Sicherheitsexperten unabhängig von der Anwendung gepflegt werden. Vorgesehene Zielumgebung für eine GTA API, s. auch B i l d 3 : –– Embedded-Geräte (intelligente Sensoren / Aktoren, speicherprogrammierbare Steuerungen (SPS), Edge / IIoT-Geräte, …) –– Unbeaufsichtigter Betrieb eines Gerätes Zusammenfassung High-Level Überblick der weiteren OPC UA Spezifikationen, sowie des Designs, der Security und Ziele der Skalierbarkeit; Vorstellung des Client/Server Stacks und der Services (Schnittstellen) Übersicht der Security: Ziele; Herausfinden der Bedrohungen für OPC-basierte Systeme; Authentifizierung; Berechtigungskonzepte; Forensic Readiness, Verschlüsselung etc. 3 Adressraummodell Beschreibung der Organisation von Informationen als Knoten und Referenzen auf OPC UA Servern; Ziel: Generisches Protokoll mit hoher Interoperabilität 4 Dienste Beschreibung der Schnittstellen zwischen Servern und Clients. Verhalten bei Fehlern 5 Informationsmodell Darstellungsformen von Informationen; Detaillierte Beschreibung der Konzepte für Daten-Knoten und Referenzen 8 Datenzugriff Beschreibung des Datenzugriffs von Clients auf Servern; Organisation des Adressraum; Detaillierte Beschreibung von Fehlermeldungen 9 Alarme und Zustände Erkennung von Ereignissen/Zuständen der Anlagen auf Servern; Automatische Meldung, Einfordern von Quittierung etc. 11 Historischer Zugriff Beschreibung des historischen Zugriffs auf Daten und Ereignisse; Einbettung der Informationen in das Adressraum-Modell 14 PubSub Beschreibung des Konzepts sowie relevanter Kommunikationsparameter zur automatischen Veröffentlichung von Daten durch Server und aktives Abonnieren durch Clients Device Host System Industrial loT Application GTA API Secure Element Bild 3. Generic Trust Anchor API für eingebettete Systeme. –– M2M Kommunikation und vernetzte Steuerungssysteme –– Echtzeit Betriebsumgebung (deterministische Laufzeit, geringe Latenzen, …) Der Quelltextauszug in B i l d 4 verdeutlicht die übliche aufwendige Implementierung von Sicherheitsfunktionen in ANSI C. // Suchen nach/Entdecken von Zertifikaten und Schlüsselmaterial x509_cert = secure_element_read_ certificate(subject_name=”/CN=test”) // ... Passenden privaten Schlüssel finden ... key_handle = secure_element_get_key(...) // Setup und Ausführen kryptografischer Funktionen // ... Wahl des Algorithmus für die Signatur auf Basis des verfügbaren Schlüssels ... digest = secure_element_hash(data = “Hallo KELI!”, alg = SHA256) signature = secure_element_sign(key_handle, digest, alg = RSA_PSS) // Nachbearbeitung der Rohsignatur ... Unter Verwendung von der Generic Trust Anchor API vereinfacht sich dies wie folgt: // GTA-Kontext öffnen, um eine Identität mit einem bestimmten Profil zu verwenden h_ctx = gta_context_open(personality = “App1”, profile = “ch.iec.30168.authenticate_basic”) // Berechnen eines Authentifizierungs-Tags gemäß dem ausgewählten Profil tag = gta_authenticate_data_detached(h_ctx, data = “Hallo KELI!”) Bild 4. Quelltextauszug einer üblichen aufwendigen Implementierung von Sicherheitsfunktionen in ANSI C. 66 | vgbe energy journal 11 · 2022
8 > Umschlag S-175-00-2014-04-DE_A3q.indd 1 15.04.2014 08:07:52 Cybersecurity Konzepte aus Industrie 4.0 für bestehende Anlagen Wichtig ist dabei, dass z.B. bei einem Modernisierungsprojekt die erforderlichen Security-Bausteine von Security-Experten einmalig ausgewählt oder erstellt werden und von den Security-Bearbeitern im Projekt anschließend einheitlich und einfach verwenden können. IIoT, Edge und Cloud Computing, Digitaler Zwilling, I4.0 Semantik Digitale Zwillinge werden auch für bestehende Anlagen schrittweise erarbeitet, z.B. für alle französischen Kernkraftwerke. Dabei ist zu berücksichtigen, dass die Standardisierung, z.B. bei ISO/IEC JTC1/SC41 „IoT und Digitaler Zwilling“ gerade erst begonnen hat, u.a. mit folgenden Arbeitsgruppen (WG – Working Group): –– IoT Architektur (WG3), IoT Interoperabilität (WG4), IoT Anwendungen (WG5) –– Digitaler Zwilling (WG6), … Digitaler Zwilling Anwendungen (WG7) Anmerkung: Der frühere Titel des ISO/IEC JTC1/SC41 Gremiums war „IoT und verwandte Technologien“. Trotzdem kann im Rahmen eines Modernisierungsprojektes bereits auf Ergebnisse aus dem I4.0 Kontext zurückgegriffen werden, insbesondere auf den Ansatz der Asset Administration Shell (ASS). Dieser Ansatz hilft insbesondere bei der Kapselung von Legacy Automatisierungs-Equipment und kann auch zur Modellierung der Schnittstelle zwischen Funktionaler Sicherheit und Cybersecurity verwendet werden, s. [4]. Für datenintensive Modernisierungsprojekte können zukünftig auch die Ansätze von ISO/IEC JTC1/SC42 „Künstliche Intelligenz“ (Artificial Intelligence, AI) berücksichtigt werden: –– Daten (WG2), Vertrauenswürdigkeit (WG3) –– ISO/IEC 20547-3:2020 IT — Big Data Referenz Architektur – Teil 3: Referenz Architektur –– … Auswertung der Datenmengen auch bzgl. Effizienz der Cybersecurity Maßnahmen. Zusammenfassung und Ausblick I4.0 Konzepte können schrittweise für bestehende Anlagen angewendet werden. AutomationML eignet sich als herstellerunabhängige Grundlage für die Spezifikation auf unterschiedlichen Abstraktionsebenen. Das Generic Trust Anchor API eignet sich für die sichere M2M-Kommunikation, wobei eine hohe Wiederverwendbarkeit und geringe Hardwareanforderungen unterstützt werden. Digitale Zwillinge mit Modellen von IIoT, Edge and Cloud-Computing eignen sich für Security Tests, virtuelle Inbetriebsetzung, die Validierung von ML/KI Ansätzen und virtuelle Trainings. Ausgehend von zahlreichen Modernisierungsprojekten für bestehende Kraftwerke sowie mehreren Cybersecurity Forschungsprojekten mit Universitätspartnern bietet Framatome neben diversitären und skalierbaren Sicherheitsleittechnik-Plattformen auch Unterstützung bei der Umsetzung anspruchsvoller neuer Cybersecurity Lösungen im nationalen und internationalen Industrieumfeld. Referenzen R. Heidel, M.Hankel, U. Döbrich, M. Hoffmeister; Basiswissen RAMI 4.0, Referenzarchitekturmodell und Industrie 4.0-Komponente, Beuth / VDE Verlag GmbH, 2017-07. „Deutsche Normungsroadmap Industrie 4.0“ Version 4, Standadization Council Industrie 4.0, DIN und DKE Roadmap, 2020-03. R. Heidel, Industrie 4.0; Beuth, 2019-10. Sino-German White Paper on Functional Safety for Industrie 4.0 and Intelligent Manufacturing, BMWi, Federal Ministry for Economic Affairs and Energy / Standardization Council Industrie 4.0, 2020-07. OPC Foundation; Unified Architecture – OPC Unified Architecture Specification; URL: https://opcfoundation.org/developer-tools/ specifications-unified-architecture; Letzter Zugriff: 08.08.2022. l VGB-Standard IT-Sicherheit für Erzeugungsanlagen Ausgabe/edition 2014 – VGB-S-175-00-2014-04-DE DIN A4, 73 Seiten, Preis für vgbe-Mit glie der* € 190,–, für Nicht mit glie der € 280,–, + Ver sand kos ten und MwSt. DIN A4, 73 Pa ges, Pri ce for vgbe mem bers* € 190,–, for non mem bers € 280,–, + VAT, ship ping and hand ling. Der VGB-Standard VGB-S-175-00-2014-04-DE zeigt die relevanten Bedrohungen und Fehlerquellen für den Betrieb der Erzeugungsanlagen. Daraus abgeleitet werden organisatorische und technische Anforderungen zur Absenkung der Auswirkungen auf ein zu akzeptierendes Niveau, ergänzt durch Handlungsempfehlungen und weitere Informationsquellen. In Fachgesprächen mit namhaften Herstellern und dem BSI wurden die wesentlichen Inhalte diskutiert und seitens der Hersteller die Akzeptanz und die grundsätzliche Umsetzbarkeit bestätigt. Mithilfe des VGB-S-175-00-2014-04-DE können die die IT-Sicherheit betreffenden organisatorischen und technischen Strukturen und Prozesse bewertet und Hinweise für Erweiterungen und Neuinvesti tionen abgeleitet werden. Eine unternehmensinterne Anpassung und Präzisierung ist dabei unverzichtbar. 45136 Essen www.vgb.org VGB PowerTech e.V. Fon: +49 201 8128 – 0 Klinkestraße 27-31 Fax: +49 201 8128 – 329 * Für Ordentliche Mitglieder des vgbe energy e.V. ist der Bezug von eBooks im Mitgliedsbeitrag enthalten. vgbe energy service GmbH Deilbachtal 173 | 45257 Essen | Germany VGB-Standard IT-Sicherheit für Erzeugungsanlagen VGB-S-175-00-2014-04-DE Verlag technisch-wissenschaftlicher Schriften | Fon: +49 201 8128-200 | Fax: +49 201 8128-302 | E-Mail: sales-media@vgbe.energy | www.vgb.org/shop vgbe energy journal 11 · 2022 | 67
Seite 1 und 2:
International Journal for Generatio
Seite 3 und 4:
Steam turbines and steam turbine op
Seite 5 und 6:
vgbe online-Seminar Basics Wasserch
Seite 7 und 8:
Content vgbe Congress 2023 - Call f
Seite 9 und 10:
Abstracts | Kurzfassungen Einfluss
Seite 11 und 12:
MembersŃews Partnerschaft für sc
Seite 13 und 14:
MembersŃews Hollandse Kust West (
Seite 15 und 16:
save the date MembersŃews Vorteil
Seite 17 und 18: MembersŃews Die Spende ist ein we
Seite 19 und 20: save the date MembersŃews bezahlb
Seite 21 und 22: save the date Industry News folio m
Seite 23 und 24: Call for Papers Industry News conce
Seite 25 und 26: save the date News fromScience & Re
Seite 27 und 28: Power News her überhaupt keine Wä
Seite 29 und 30: vgbe Congress 2023 Security of supp
Seite 31 und 32: Power News nuklearen und fossilen B
Seite 33 und 34: Power News Leitung zwei Konverterst
Seite 35 und 36: Future Energy Systems Impact of var
Seite 37 und 38: Future Energy Systems Tab. 2. Defin
Seite 39 und 40: Future Energy Systems In some studi
Seite 41 und 42: Future Energy Systems 4 Summary Thi
Seite 43 und 44: vgbe Conference | Fachtagung Instan
Seite 45 und 46: vgbe Conference | Fachtagung Instan
Seite 47 und 48: Stellventil 4.0 - Konzept. Regelarm
Seite 55 und 56: Betriebsauswuchten als Maßnahme zu
Seite 57 und 58: Leistung Testgewicht 1. Wuchtgewich
Seite 59 und 60: Betriebsauswuchten als Maßnahme zu
Seite 61 und 62: Torsionsschwingungen bei Kraftwerks
Seite 67: Cybersecurity Konzepte aus Industri
Seite 71 und 72: Prospects for coal in agriculture v
Seite 73 und 74: vgbe Fachtagung & schulung Prospect
Seite 75 und 76: vgbe Fachtagung & schulung Prospect
Seite 77 und 78: World Energy Outlook 2022 - Summary
Seite 85 und 86: Report | vgbe Congress 2022 dringen
Seite 87 und 88: Report | vgbe Congress 2022 z.B. be
Seite 89 und 90: Fachzeitschrift: 2019 · CD 2019 ·
Seite 91 und 92: Media directory/Medienverzeichnis R
Seite 93 und 94: vgbe energy news vgbe energy news W
Seite 95 und 96: Publications Books AG Energiebilanz
Seite 97 und 98: vgbe Events | Events vgbe Events 20
Seite 99 und 100: EDITORIAL SCHEDULE 2023 Issue Focal
Alle anzeigen

vgbe energy journal 11 (2022) - International Journal for Generation and Storage of Electricity and Heat

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?