Page 21 - PI_Magazin_2019-1
P. 21
Bild: Adobe Stock
PROFINET Security Konzept
BESTMÖGLICHER SCHUTZ
FÜR JEDE ANWENDUNG
Die durchgängige Vernetzung im Unternehmen, die ver- identifiziert, welche Erweiterungen am PROFINET-Protokoll erforder-
tikale Integration und die Tendenz zu flacheren System- lich machen. Zur Erfüllung dieser Anforderungen wird die Arbeits-
hierarchien erfordern weiterreichende Ansätze für die gruppe Erweiterungen spezifizieren, um das PROFINET-Protokoll mit
IT-Sicherheit in der Produktion. Bisherige Konzepte, die zusätzlichen kryptografischen Funktionen zu ertüchtigen, um Inte-
in der Hauptsache auf eine Abschottung der Produktions- grität, Authentizität und, sofern erforderlich, die Vertraulichkeit der
anlagen setzen, müssen durch neue Konzepte, die einen Kommunikation auf Protokollebene sicherzustellen. Hierzu werden
Schutz der Komponenten vorsehen, ergänzt werden. die Nachrichtenpakete unter Nutzung digitaler Zertifikate und kryp-
tografischer Funktionen abgesichert.
Das aktuelle IT-Sicherheitskonzept für PROFINET geht von einem
Defense-in-Depth Ansatz aus, wie er in der IEC 62443 beschrieben Um eine Skalierbarkeit des Security-Konzeptes sicherzustellen, wur-
ist. Die Produktionsanlage wird dabei durch einen mehrstufigen den die Security-Klassen 1 (Robustness), 2 (Integrity und Authenti-
Perimeter, u. a. Firewalls, gegen Angriffe, insbesondere von außen, city) und 3 (Confidentiality) definiert. Durch diese Klassenbildung
geschützt. Darüber hinaus ist innerhalb der Anlage eine weite- ist es Anwendern möglich, eine Security-Klasse auszuwählen, wel-
re Absicherung durch Unterteilung des Netzwerkes in Zonen und che die Anforderungen der Anlage erfüllt. Der technische Aufwand
eine Abschottung der Zonen untereinander möglich. Zusätzlich kann so für Anlagen mit einfachen Security-Anforderungen limitiert
wird durch einen Security-Komponententest die Festigkeit der werden. Eine Rückwärtskompatibilität ist gegeben. So wird man das
PROFINET-Komponenten gegen Überlastung in einem definierten erweiterte Protokoll parallel zum bisherigen Protokoll in einem Netz-
Umfang sichergestellt. Dieses Konzept wird durch organisatorische werk betreiben können.
Maßnahmen in der Produktionsanlage im Rahmen eines Security
Management-Systems ergänzt. Die grundlegenden Konzepte für eine Absicherung des PROFINET-
Protokolls sind in einem Whitepaper dokumentiert. Das Whitepaper
WEITERE MASSNAHMEN soll dazu dienen, in eine Diskussion mit Herstellern, Integratoren und
Anwendern einzusteigen. Ziel dieser Diskussion ist ein abgestimmtes
Die beschriebenen Schutzmaßnahmen für PROFINET entsprechen und tragfähiges Konzept, welches die industrielle Kommunikation mit
dem heutigen Stand der Technik. Dennoch werden künftig wei- PROFINET fit für die Anforderungen der Zukunft macht.
terreichende Schutzmaßnahmen erforderlich werden. Zum einen Prof. Dr. Karl-Heinz Niemann, Hochschule Hannover,
ist festzustellen, dass in zunehmendem Maße auch Innentäter Mitabeiter der PI-Working Group Security,
Produktionsanlagen gefährden. Gegen diesen Täterkreis sind die Leiter der PI-Working Group Installation Guides
beschriebenen Schutzmaßnahmen, die im Schwerpunkt auf eine
Abschottung setzen, nur eingeschränkt wirksam. Zum Anderen for-
dern Anwenderkreise, z. B. aus der Prozessindustrie, einen weiterge-
henden Schutz auf Komponentenebene. PROFIBUS & PROFINET In-
ternational (PI) hat sich daher entschlossen, das PROFINET-Protokoll
künftig durch weitergehende Schutzmaßnahmen auf Protokollebe-
ne abzusichern.
Deshalb wurde die Arbeitsgruppe CB/WG10 Security mit der Erar-
beitung eines Security-Konzeptes für PROFINET beauftragt.
Nach einer eingehenden Bedrohungsanalyse des PROFINET-Proto-
kolls hat die Arbeitsgruppe zunächst die Sicherheitsanforderungen
an das PROFINET-Protokoll definiert. Hieraus resultieren Anforderun-
gen, die durch die Hersteller, Planer und Betreiber umzusetzen sind.
Im nächsten Schritt hat die Arbeitsgruppe dann die Anforderungen
PI-Magazin 1/2019 21
