Sicherheit symbolisiert mit einem Schloss

(Bild: Mohok@shutterstock.com)

Die Digitalisierung zieht sich durch die unterschiedlichen Wirtschaftsbranchen und macht auch vor der Prozessindustrie keinen Halt. So werden zum Beispiel Feldgeräte über entsprechende Schnittstellen direkt an das Leitsystem angebunden sowie Zugänge für mobile Endgeräte geschaffen, damit sich alle Möglichkeiten der Prozessüberwachung voll ausschöpfen lassen. Wird dabei der Aspekt der Cyber-Security nicht berücksichtigt, kann die zunehmende Vernetzung der Systeme Einfallstore für Angreifer öffnen. Schwachstellen wie unsichere oder fehlerhafte Gerätekonfigurationen, veraltete Softwareversionen oder ungünstige Netzwerkinfrastrukturen ermöglichen beispielsweise die Implementierung von Schadsoftware, Durchführung von Denial-of-Service-Angriffen oder den Diebstahl von sensiblen Daten, etwa Rezepten.

Allerdings können nicht nur vorsätzliche Attacken, sondern ebenso fahrlässiges Fehlverhalten – zum Beispiel bei einem Service-Einsatz – zu Sabotagen führen, die Komponenten- oder Systemausfälle zur Folge haben. Aufgrund der kritischen Prozesse innerhalb der Prozessindustrie entstehen so unter Umständen erhebliche Personen-, Umwelt- und Imageschäden. Und obwohl über die Hälfte der Industrieunternehmen bereits Opfer von Cyber-Angriffen wurden, gibt es noch immer Betriebe, die diese Risiken nicht wahrnehmen und keine Gegenmaßnahmen einführen.

 

Keine negative Beeinflussung sensibler Prozesse

Um Versorgungsketten trotzdem vor möglichen Folgen zu schützen, werden die Schwellenwerte der kritischen Infrastrukturen stetig weiterentwickelt und verschärft. Dadurch stehen immer mehr Unternehmen in der Pflicht, die Risiken von Cyber-Attacken zu betrachten und entsprechende Maßnahmen in ihre Sicherheitsmanagement-Mechanismen zu integrieren. Unterstützung erhalten die Unternehmen durch verschiedene Bestrebungen. Während sich im Büro- respektive IT-Umfeld die ISO 27000-Reihe etabliert hat, beleuchtet die internationale Normenreihe IEC 62443 die OT-Bereiche, die im Vergleich zu IT-Umgebungen ganz andere Systeme und Strukturen umfassen (Bild 1).  

Illustration der wesentlichen Security-Bestrebungen und des NOA-Konzepts
Bild 1: Illustration der wesentlichen Security-Bestrebungen und des NOA-Konzepts (Bild: Phoenix Contact)

Vor diesem Hintergrund hat die Namur beispielsweise die Namur Open Architecture (NOA) erarbeitet, damit die von smarten Feldgeräten erzeugten Daten nutzbarer gemacht werden und sich Anlagen aufgrund von zusätzlichen Monitoring- und Optimierungsfunktionen effizienter betreiben lassen. Realisiert wird das in der NE 175 beschriebene Konzept durch die Erweiterung der Automatisierungspyramide um einen parallelen NOA-Seitenkanal. Dieser greift Daten aus dem Feld ab und sendet sie rückwirkungsfrei an die übergeordnete Leitebene, sodass die sensiblen Prozesse nicht negativ beeinflusst werden.   

Die Rückwirkungsfreiheit stellt das NOA Security Gateway sicher, welches zwischen dem Prozess- und Überwachungsbereich zu installieren ist. Das Gateway wird in der NE 177 durch Grundanforderungen definiert, die auf den Komponenten- und Systemanforderungen der IEC 62443 basieren. Zudem beschreibt ein Zonenmodell die gegenseitige Abgrenzung der einzelnen Bestandteile des Gateways. Das NOA Security Gateway besteht zum einen aus dem Modul „Data Aggregator“, welches die Kopplung zum Kernprozess herstellt und für die Datenerfassung zuständig ist. Hinzu kommt das Modul für den Einweg-Datentransfer, das für den sicheren Schutz vor Rückwirkungsfreiheit sorgt sowie die Daten entsprechend entkoppelt. Das dritte Modul stellt die Daten zum Beispiel über OPC UA für den Überwachungsbereich zur Verfügung. Mit einer PLCnext-Steuerung und einem Hart-Gateway bietet Phoenix Contact schon jetzt eine Gerätekombination an, mit der sich die Funktionen des NOA Security Gateways bei weitgehender Erfüllung der Anforderungen umsetzen lassen. Das Konzept zeigt, dass zukünftige Strukturen und Systeme sicher ausgelegt werden können, wobei die speziell für Automatisierungsbereiche konzipierte und stetig weiterentwickelte IEC 62443 als Grundlage dient. Unterstützt wird dieser Ansatz durch sichere Komponenten von Phoenix Contact, die nach einem zertifizierten Entwicklungsprozess gemäß der IEC 62443 konstruiert werden (Bild 2).

Bestandteile des NOA Security Gateways
Bild 2: Bestandteile des NOA Security Gateways (Bild: Phoenix Contact)

Ganzheitliches Konzept mit organisatorischen und technischen Schutzmaßnahmen

Um seine Kunden bei der Konzeption eines Security-Konzepts auf Basis der IEC 62443 sowie der Implementierung wirkungsvoller Komponenten zur Seite zu stehen, verfolgt Phoenix Contact seit einigen Jahren einen Blueprint-Ansatz. Dabei arbeiten die Spezialisten auf der Grundlage einer generischen Applikation gemäß IEC 62443 ein ganzheitliches Security-Konzept mit organisatorischen und technischen Schutzmaßnahmen aus – und zwar unter Berücksichtigung eines vorgeschriebenen zyklischen Prozesses. Die daraus hervorgehende Lösung enthält schließlich Maßnahmen, die auf der Unternehmens-, Lösungs- und Komponentenebene umzusetzen sind (Bild 3).

Zyklus gemäß der internationalen Normenreihe IEC 62443
Bild 3: Zyklus gemäß der internationalen Normenreihe IEC 62443 (Bild: Phoenix Contact)

Auf der Unternehmensebene empfiehlt Phoenix Contact beispielsweise den Zugang zu den Lösungen zu beschränken und zu überwachen. Zudem sollen bei Fernzugriffen Komponenten eingesetzt werden, die zum Beispiel VPN (Virtual Private Network) unterstützen sowie Möglichkeiten zur User-Authentifizierung bereitstellen. Eine der wichtigsten Maßnahmen bildet die Schulung und Sensibilisierung der Mitarbeiter, damit diese die entwickelten Maßnahmen leben und entsprechend handeln.

Im Bereich der Lösungsebene sprechen sich die Security-Experten unter anderem für Maßnahmen wie die Segmentierung der Lösung in Zonen und den Schutz durch Firewalls aus, um die Ausbreitung von Schadsoftware zu vermeiden. Ferner sollten die Aktivitäten innerhalb der Lösung überwacht und auf ungewöhnliche Vorkommnisse reagiert werden. Dies lässt sich durch ein angemessenes Logging oder ein in die Lösung implementiertes Anomalieerkennungssystem umsetzen.

Für die Komponentenebene sollten grundsätzlich geeignete Geräte ausgewählt werden, die sichere Protokolle unterstützen und Maßnahmen zur Gerätehärtung bieten. So sind in jedem Fall Default-Benutzernamen und -passwörter zu ändern sowie ungenutzte Dienste und Schnittstellen zu deaktivieren. Auf solche Empfehlungen und die zugehörigen detaillierten Maßnahmenbeschreibungen können die Kunden des Unternehmens schließlich zurückgreifen.  

 

Schnellere und kostengünstigere Entwicklung des Security-Konzepts

Derzeit arbeiten die Security-Spezialisten von Phoenix Contact industriespezifische Security-Blueprints aus, welche die Anwender als Vorlage für reale Anlagen verwenden können. Auf diese Weise können bestehende Topologien mit ausgesuchten Komponenten, verifizierte Dokumente sowie Tools genutzt und so von den Erfahrungen des Unternehmens profitier werden. Ein weiterer Vorteil der Security-Blueprints liegt darin, dass bei realen Anlagen lediglich Abweichungen zur generischen Applikation respektive zu deren Security-Konzept neu betrachtet werden müssen. Dadurch ist es möglich, Security-Konzepte deutlich schneller und kosteneffektiver zu entwickeln (Bild 4).  

Vom Security-Blueprint zur realen Anlage
Bild 4: Vom Security-Blueprint zur realen Anlage (Bild: Phoenix Contact)

Standardisierte Security in Produkten und Lösungen

Phoenix Contact wurde als eines der ersten Unternehmen in Deutschland vom TÜV Süd nach der internationalen Normreihe IEC 62443 für industrielle Cyber-Security zertifiziert. Dies belegt, dass das Unternehmen

  • die Entwicklung von Secure-by-Design-Produkten entsprechend dem Prozess IEC 62443-4-1 sowie
  • das Design von sicheren Automatisierungslösungen gemäß dem Prozess IEC 62443-2-4

durchführt. Außerdem unterstreicht das Zertifikat, dass Phoenix Contact die Strategie verfolgt, standardisierte Security in Produkten und Lösungen anzubieten, um das Ausfallrisiko von industriellen Applikationen deutlich zu verringern.

 

Unterstützt wird der Ansatz durch aufeinander abgestimmte Security-Funktionen im Produktportfolio. So erfüllen neben den dedizierten Security-Produkten - wie den Firewall- und VPN-Routern der Produktfamilie FL mGuard – zum Beispiel auch die Steuerungen PLCnext Control des offenen Ecosystems PLCnext Technology neuste Security-Anforderungen. Ergänzend dazu stehen entsprechende Schulungen und Beratungsdienstleistungen zur Verfügung, die kontinuierlich weiterentwickelt und durch unabhängige Dritte geprüft werden, damit Kunden den bestmöglichen Support erhalten.

Sie möchten gerne weiterlesen?

Unternehmen

Phoenix Contact Electronics GmbH

Dringenauer Str. 30
31812 Bad Pyrmont
Germany

Dieser Beitrag wird präsentiert von: