industrielleautomation.net
Aufrufe
vor 2 Monaten
Flag

INDUSTRIELLE AUTOMATION 1/2025

  • Text
  • Industrielle
  • Unternehmen
  • Automation
  • Sensoren
  • Software
  • Maschinen
  • Einsatz
  • Industrie
  • Anwender
  • Anforderungen
INDUSTRIELLE AUTOMATION 1/2025

INDUSTRIELLE

INDUSTRIELLE KOMMUNIKATIONPROFINET SECURITY CLASS 1 FÜR EINE ZUVERLÄSSIGE ÜBERWACHUNG VONGERÄTEN IN ETHERNET-BASIERTEN UMGEBUNGENSICHERE FELDNETZWERKEIn der vernetzten industriellen Welt von heute ist das Thema Security in derFeldebene wichtiger denn je. Profinet Security Class 1 bietet einen robustenBasisschutz für kritische Anwendungen. Von digital signierten Gerätebeschreibungsdateienbis hin zum sicheren Gerätemanagement wird gewährleistet, dassCybersecurity im Feld in jeden Schritt des Netzwerkbetriebs integriert ist. ErfahrenSie, wie diese wichtigen Sicherheitsmechanismen Ihre industrielle Infrastrukturvor neuen Bedrohungen schützt.Traditionell haben Systeme der Informationstechnologie(IT) Daten und Geschäftsprozesse verwaltet, währendSysteme der Betriebstechnologie (OT) physische Prozessewie Maschinen und Anlagen gesteuert haben. Mit derBeschleunigung der digitalen Transformation werden dieseehemals isolierten Systeme zunehmend miteinander verbunden,um Daten in Echtzeit auszutauschen und die betriebliche Effizienzzu verbessern. Die Konvergenz von IT und OT hat dieArbeitsweise der Industrie revolutioniert. Dies hat jedoch auchzu neuen Schwachstellen geführt, die Industriesysteme Cyber-Bedrohungen aussetzen, die früher nur traditionelle IT-Umgebungenbetrafen.Industrielle Cybersicherheit ist entscheidend für den Schutzder Integrität, Vertraulichkeit und Verfügbarkeit von Daten, Geräten,Maschinen und Systemen. Da Angriffe auf kritische Infrastrukturen– von Produktionsanlagen bis hin zu Energienetzen –immer häufiger und raffinierter werden, ist es wichtiger denn je,industrielle Umgebungen vor externen Bedrohungen zu schützen.Wirksame Cybersicherheitsstrategien im Industrieumfeldumfassen Defense-in-Depth-Ansätze, die Sicherheitskonzeptewie Netzwerksegmentierung, Zugangskontrolle, Verschlüsselungund Echtzeitüberwachung zur Risikominderung nutzen. Durchdie Erfüllung dieser Anforderungen gewährleistet industrielleCybersicherheit nicht nur den reibungslosen Ablauf von Fertigungsprozessen,sondern schützt auch wertvolle Vermögenswertevor kriminellen Akteuren und somit die Zukunft der modernenIndustrie.AB AUF DIE DATENAUTOBAHN MIT PROFINETMit der zunehmenden Vernetzung industrieller Systeme wirdder Schutz von Kommunikationsprotokollen wie Profinet immerwichtiger. In der Vergangenheit verfügten Profinet undähnliche Ethernet-basierte Feldbus-Protokolle nicht über integrierteSicherheitsfunktionen. Stattdessen verließ man sich aufisolierte Netzwerke, um sich vor Angriffen zu schützen. DieseTrennung ist jedoch in den heutigen vernetzten Umgebungen,in denen sich die Cyber-Bedrohungen ständig weiterentwickeln,nicht mehr ausreichend. Profinet, das Echtzeitkommunikationüber Ethernet-Netzwerke ermöglicht, verfolgt einen Defensein-Depth-Ansatzund bietet mehrere Schutzschichten für industrielleAutomatisierungsnetzwerke.Um diese Security-Aspekte sinnvoll zu ergänzen und dasThema von Grund auf anzugehen, hat die Nutzerorganisation„Profibus & Profinet International (PI)“ Sicherheitserweiterungeneingeführt, die in drei Klassen unterteilt sind. Die Basisstufe,die Security Class 1, beinhaltet drei wesentliche Schutzmechanismenmit minimalen Auswirkungen auf bestehende Profinet-Komponenten, die einen grundlegenden Schutz vor unberechtigtemZugriff bieten und die Systemintegrität gewährleisten.DIE ROLLE DES DIGITALEN SIGNIERENS VONGSDML-DATEIENMit GSDML-Dateien (General Station Description Markup Language)werden Profinet-Geräte beschrieben und diese enthaltenSECURITY CLASS 1 BIETET EINESOLIDE BASIS FÜR DIE ABSICHE-RUNG INDUSTRIELLER NETZWERKEwichtige Informationen über Gerätefunktionen und deren Konfigurationsmöglichkeiten.Diese in XML erstellten Dateien definieren,wie Geräte in einem Profinet-Netzwerk kommunizieren undarbeiten können. Vor Profinet Version 2.4 hatten Anwender keineMöglichkeit, die Integrität oder Authentizität von GSDML-Dateienzu überprüfen, was sie anfällig für versehentliche oder böswilligeManipulationen machte. Hier setzt die Funktion der digitalenSignatur an.Die Einführung der digitalen Signatur von GSDML-Dateien alsTeil der Profinet Security Class 1 dient dazu, die Authentizitätund Integrität der Dateien sicherzustellen. Durch die digitale Signaturwird gewährleistet, dass die GSDML-Datei tatsächlich vomverantwortlichen Gerätehersteller erstellt wurde und auf dem28 INDUSTRIELLE AUTOMATION 2025/01 www.industrielle-automation.net

Weg zum Anwender nicht manipuliert wurde. Für die Signierungwird die GSDML-Datei zusammen mit anderen Informationen ineinen GSDX-Container verpackt. Die signierten Dateien basierenauf bewährten Methoden wie XML Signature und XAdES B-LTund werden nach der ISO/IEC 29500-2:2021 (Open PackagingConvention) verpackt.Dieser Schutz ist entscheidend, wenn Geräte in Umgebungenmit hohen Sicherheitsanforderungen eingesetzt werden. DasSignieren der GSDX-Dateien erfolgt über eine Public-Key-Infrastructure(PKI), bei der jeder Anbieter ein Signaturzertifikat voneiner vertrauenswürdigen Zertifizierungsstelle (CertificationAuthority, CA), in diesem Fall Profibus & Profinet International,erhält.Die Überprüfung der GSDX-Dateien erfolgt an mehreren Stellen,zum Beispiel beim Import in ein Engineeringtool wie TIA Portal.Nur wenn die Signaturprüfung durch den integrierten GSD-Checkerim TIA Portal (ab Version 19) erfolgreich ist, wird die GSDX-Datei als authentisch anerkannt und kann im Projekt verwendetwerden.SCHUTZ VOR UNAUTORISIERTEN NETZWERK-MANIPULATIONENDas Simple Network Management Protocol (SNMP) ist seit langemein Protokoll für das Management und die Überwachungvon Geräten in Ethernet-basierten Netzwerken, auch in Profinet-Umgebungen. Die Standardversion v1 von SNMP, die traditionellin Profinet-Systemen eingesetzt wird, weist jedoch erheblicheSicherheitseinschränkungen auf, da sie über keine robustenAuthentifizierungsmechanismen verfügt. Vielmehr verlässt mansich auf einen sogenannten „Community String“, der als Passwortdient. Dieser Community String ist in der Regel fest in den Gerätencodiert und damit anfällig für unberechtigten Zugriff undManipulation.Die Security Class 1 behebt diese Schwachstellen durch erweiterteSNMP-Konfigurationsoptionen. In dieser Sicherheitsklasseunterstützen Profinet-Geräte nun mehrere neue Schutzmaßnahmen,darunter die Möglichkeit, SNMP vollständig zu deaktivierenoder den Zugriff auf den Nur-Lese-Modus zu beschränken.Darüber hinaus können Administratoren jetzt die Standard-Community-Strings ändern.Diese neuen Funktionen reduzieren das Risiko unautorisierterNetzwerkmanipulationen erheblich. Durch das Erzwingen desSNMP-Read-only-Modus können Komponenten auch weiterhinüberwacht werden, ohne dass Änderungen per Remote möglichsind, sodass die Systemintegrität gewahrt bleibt. Diese Konfigurationenwerden über die GSDML-Datei des Geräts angebotenund können während der Inbetriebnahme der Anlage festgelegtwerden, wodurch Anlagenbetreiber mehr Kontrolle über dieSicherheit ihrer Netzwerke erhalten.AUTOMATISCHE ERKENNUNG UNDKONFIGURATION VON GERÄTENDas Discovery and Configuration Protocol (DCP) ist ein wichtigerProfinet-Dienst, der die automatische Erkennung undKonfiguration von Geräten in einem Netzwerk ermöglicht.DCP ist für die Zuweisung grundlegender Parameter wie Gerätenamenund IP-Adressen verantwortlich. In der Vergangenheiterlaubte DCP sowohl das Lesen als auch das Schreibenvon Geräteparametern, was ein erhebliches Sicherheitsrisikodarstellte, da unbefugte Akteure diese Funktion ausnutzenkonnten, um böswillige Änderungen an der Netzwerkkonfigurationvorzunehmen.Bei der Security Class 1 ist der DCP-Dienst auf einen reinenLesezugriff beschränkt, sobald ein Gerät vollständig konfiguriertund in einer Kommunikationsbeziehung ist. Dadurch wirdgewährleistet, dass im laufenden Betrieb keine Änderungen anden Geräteparametern vorgenommen werden können. Sollte einUnbefugter versuchen, die Konfiguration eines Geräts über DCPzu ändern, wird dies durch die Read-only-Einstellung verhindert,sodass die Stabilität und Sicherheit des Netzwerks gewahrt bleibt.Dies ist besonders in Umgebungen wichtig, in denen Gerätepotenziell externen Bedrohungen ausgesetzt sind oder unbeabsichtigteÄnderungen den Betrieb stören könnten. Da DCPschreibgeschützt ist, reduziert Profinet Security Class 1 das Risikovon Netzwerkunterbrechungen durch böswillige Rekonfigurationoder versehentliche Fehler.www.industrielle-automation.net INDUSTRIELLE AUTOMATION 2025/01 29

Suche