- Anzeige -
Security-by-Design zwingend notwendig  

Umsetzung des NOA-Konzepts in der Prozesstechnik

03.02.2020 Die Daten bestehender Anlagen für neue Technologien zu nutzen und so von den Mehrwerten cloudbasierter Auswertungen zu profitieren, das wünscht sich jeder Betreiber. Das NOA-Konzept der Namur beschreibt, wie dies möglich ist, ohne die Anlagen komplett zu verändern. Als zentrales Element soll die Datendiode die für die Cloudanwendungen wichtigen Daten sammeln und die Security der Anlage weiterhin sicherstellen. Damit dies gelingt, müssen die Geräte, welche die Funktionalität der Datendiode abbilden, gemäß Security-Richtlinien wie der IEC 62443 entwickelt werden.

Aufmacher

Dipl.-Ing. Boris Waldeck, Senior Product Manager im Product Management Business Unit Automation Systems und Dipl.-Ing. Thilo Glas, Senior Specialist Engineering im Industry Management Process, Phoenix Contact Electronics GmbH, Bad Pyrmont

Um Industrie-4.0-Technologien in einer vorhandenen prozesstechnischen Anlage einsetzen zu können, sind im ersten Schritt Daten aus ihrem Betrieb zusammenzutragen. Ziel dabei ist es, die existierende Anlage nicht wesentlich zu modifizieren. Deshalb wird die Automatisierungspyramide im NOA-Konzept um einen Seitenkanal erweitert, der einen horizontalen, sicheren und rückwirkungsfreien Zugriff auf die Prozessdaten aller Ebenen erlaubt.

Die klassische Automatisierungspyramide mit vier Ebenen wird um einen NOA-Seitenkanal erweitert

Bild 1:
Die klassische Automatisierungspyramide mit vier Ebenen wird um einen NOA-Seitenkanal erweitert.

Die bekannte Automatisierungspyramide besteht aus vier Ebenen. Zwischen der unteren Sensor-/Aktorebene und der oberen Leitebene gibt es jedoch keine Möglichkeit einer Querkommunikation (Bild 1).

Das NOA-Konzept ergänzt den bislang verwendeten Automatisierungsansatz daher um einen Seitenkanal. Über ihn lässt sich eine Querkommunikation umsetzen, sodass der Betreiber die von den Feldgeräten erfassten Daten auswerten kann. Neue Analyse- und Überwachungsmethoden sind einfacher nutzbar, wenn der volle Zugriff auf die Daten der Prozessanlage vorhanden ist, die auf Basis von NOA sicher aus der Anlage geführt werden.

Bild 2: Die Daten von Transmittern und Ventilen werden – abgesichert durch einen Security-Router – über den NOA-Seitenkanal via OPC UA für ein smartes Monitoring an eine Cloud weitergeleitet

Bild 2:
Die Daten von Transmittern und Ventilen werden – abgesichert durch einen Security-Router – über den NOA-Seitenkanal via OPC UA für ein smartes Monitoring an eine Cloud weitergeleitet.

Hier kommt die symbolische Datendiode zur Anwendung. Mit ihr lassen sich Daten aus der Anlage entnehmen, wobei kein Zugriff auf die Prozesse möglich ist. Die so auf einfache Weise zur Verfügung stehenden Daten bilden die Grundlage für jegliche Überprüfung. Sie können auf Servern oder in einer Cloud gespeichert und an die Stellen weitergeleitet werden, an denen eine Auswertung stattfindet. Diese kann durch interne Spezialisten oder externe Dienstleister erfolgen (Bild 2). 

Die Vorgabe: sicherer und rückwirkungsfreier Datenzugriff

Dem Betreiber verschafft das beschriebene Konzept aber nur dann Vorteile, sofern sich der Datenzugriff sicher und rückwirkungsfrei gestaltet. Darüber hinaus muss sich der Ansatz in das in der ISO 27000 verankerte ISMS (Informations-Sicherheits-Management-System) einfügen, das schon heute vom IT-Sicherheitsgesetz für kritische Infrastrukturen gefordert wird. Ein solches System kommt bereits häufig in nicht-kritischen Anlagen zum Einsatz, um für einen sicheren Betrieb zu sorgen.

In Kooperation mit dem ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie) hat die Namur deshalb neue Arbeitskreise gegründet, die sich schwerpunktmäßig mit IT-Security und der Realisierung der Datendiode in echte Hardware beschäftigen.

Für die Automatisierung von Anlagen gibt es verschiedene Richtlinien und Normen, in denen der aktuelle technische Stand der IT-Security auf unterschiedlichen Ebenen definiert wird. Als allgemeine Vorgehensmodelle seien beispielsweise der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Norm IEC 62443 „IT-Sicherheit industrieller Automatisierungssysteme“ genannt.

Die Norm: IEC 62443 ganzheitlicher Security-Ansatz für alle Beteiligten

Bei der Normenreihe IEC 62443 handelt es sich um den allgemeinen Security-Standard für industrielle Automatisierungssysteme. Er setzt sich aus 13 Teilen zusammen, in denen die Security-Anforderungen an Prozesse, die funktionalen Maßnahmen sowie der Stand der Technik festgeschrieben werden (Bild 3).

Übersicht über die verschiedenen Teile der IEC 62443

Bild 3: Übersicht über die verschiedenen Teile der IEC 62443

Die aus NOA-Sicht wesentlichen Teile sind:

  • IEC 62443 Teil 2-1 – Anforderungen an ein Security-Managementsystem für Betreiber industrieller Automatisierungssysteme
  • IEC 62443 Teil 2-4 – Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme
  • IEC 62443 Teil 3-3 – Systemanforderungen zur IT-Sicherheit und Security Level an industrielle Automatisierungssysteme
  • IEC 62443 Teil 4-1 – Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung industrieller Automatisierungssysteme
  • IEC 62443 Teil 4-2 – Technische IT-Sicherheitsanforderungen an Komponenten von Automatisierungssystemen.

Bei der Entwicklung eines Geräts mit Datendiode-Funktionalität erweist es sich als sinnvoll, einen Security-by-Design-Ansatz für die Hard- und Software zu verwenden. So kommen die notwendigen Security-Prozesse und funktionalen Maßnahmen für Gerätehersteller, Systemintegratoren sowie Betreiber von Maschinen und Anlagen zum Tragen. 

Teil 4-1: der Produktentwicklungsprozess

Die IEC 62443-4-1 beschreibt den Produktentwicklungsprozess für Automatisierungsgeräte. Das zentrale Element stellt ein Prozess dar, mit dem sicher nachvollzogen werden kann, dass alle Security-Anforderungen implementiert und überprüft worden sind. Dieser Prozess wird durch weitere Eigenschaften zur Umsetzung der Security vervollständigt. Dazu gehören exemplarisch eine Bedrohungsanalyse auf Basis des Security-Kontextes – also des Einsatzszenarios des Produkts -, das Konzept der „Defense in Depth“ sowie ein Security-Schwachstellenmanagement, das heute in der Regel durch ein Product Security Incident Response Team (PSRIT) ausgeführt wird.

Teile 4-2 und 3-3: die technischen Geräte- und Systemanforderungen

Die IEC 62443-4-2 definiert die technischen Anforderungen an industrielle Automatisierungsgeräte. Anhand der Security-Bedrohungen werden Security Level (SL) von 0 bis 4 festgelegt, die auf die Fähigkeiten des Angreifers angepasst sind (Bild 4).

Bild 4:Definition der Security Level gemäß IEC 62443-4-2

Je nach Angriffsvektor und Security Level ergeben sich unterschiedliche funktionale Anforderungen an die Produkte (Bild 5).

Festlegung der funktionalen Maßnahmen für die Security Level gemäß IEC 62443-4-2

Die Implementierung der funktionalen Maßnahmen ist jedoch nicht isoliert zu betrachten. Ein SL lässt sich lediglich dann erzielen, wenn die Rahmenbedingungen des Teils 4-1 an den sicheren Entwicklungsprozess erfüllt sind. Ein Gerät/System mit Security Level kann somit nur durch die Kombination von Prozess und funktionalen Maßnahmen erreicht werden.

In der IEC 62443-3-3 sind die funktionalen Security-Anforderungen an die Fähigkeiten von Automatisierungssystemen beschrieben. Dabei wird bewertet, inwieweit die Komponenten den funktionalen Ansprüchen des Betreibers gerecht werden. Zusätzlich legt dieser Teil der Norm die Schnittstelle zwischen Systemintegrator und Gerätehersteller fest. Auf einer solchen Grundlage lassen sich die Geräte auswählen, die zur Realisierung des durch den Betreiber definierten Security Levels erforderlich sind.

Teile 2-4 und 2-1: die Anforderungen an Systemintegratoren und Betreiber

Die IEC 62443-2-4 legt die Anforderungen an die Fähigkeiten im Hinblick auf die IT-Sicherheit von Dienstleistungen für industrielle Automatisierungssysteme fest. Hier werden die Schnittstelle zwischen dem Betreiber und Systemintegrator sowie die wesentlichen Prozesse bei der Integration, Inbetriebnahme und Wartung erörtert. Dazu zählen zum Beispiel die Architektur und Konfiguration der Automatisierungslösung, Verwaltung von Nutzerkonten, Behandlung von Ereignissen und das Patch-Management inklusive Sicherung und Wiederherstellung der Automatisierungslösung.

Die IEC 62443-2-1 befasst sich mit den Ansprüchen an ein IT-Sicherheitsprogramm für den Betreiber. Anhand einer Tabelle werden die Anforderungen fixiert, die prinzipiell den Übergang zum ISMS der ISO 27000 ermöglichen sollen. Außerdem beschäftigt sich dieser Normenteil mit der Bestimmung des Security Levels der Anlage mittels einer Bedrohungsanalyse.

Die Empfehlung: mit verfügbaren Security-Routern starten

Die Anforderungen zur Umsetzung des NOA-Konzepts werden derzeit in verschiedenen Arbeitskreisen definiert. Dort ist eine Entscheidung zu treffen, welche Standards, Technologien und Prozesse letztendlich zum Einsatz kommen. Für eine sukzessive Einführung des Ansatzes ist es wichtig, die sichere Verbindung aus dem NOA-Seitenkanal zu externen Systemen – wie einer Cloud oder einem Server – mit bereits verfügbaren Security-Routern aufzubauen. In weiteren Schritten können dann Geräte genutzt werden, die speziell für die Realisierung der Datendiode entwickelt worden sind.

Das Protokoll: OPC UA zur sicheren Datenübertragung

Obwohl die Arbeitskreise ihre Tätigkeit gerade erst begonnen haben, lässt sich bereits sagen, dass die OPC UA-Technologie für das NOA-Konzept zur Anwendung kommt. Bei der Entwicklung des OPC UA-Standards hat Security-by-Design eine wichtige Anforderung für die Ausgestaltung der Architektur dargestellt. OPC UA verfügt über ein solides Sicherheitsmodell auf Basis von x.509-Zertifikaten. Ein Global Discovery Server übernimmt das Zertifikats-Handling. User-/Passwort-Mechanismen erlauben die standardisierte Einschränkung von Zugriffsrechten, sodass bestimmte Benutzerkreise die Daten beispielsweise lediglich lesen können. Für die Kommunikation zwischen Client und Server steht eine signierte und/oder verschlüsselte Datenübertragung mit unterschiedlichen Security Policies zur Verfügung.

Mehr Informationen:

www.phoenixcontact.de/security

Bildergalerie: Enhanced Connectivity – wie der Anschluss der Namur Open Architecture gelingen kann

Loader-Icon