Anlauf Infrastruktur,

Eine sichere Infrastruktur braucht einen mehrstufigen Ansatz bis hinunter auf die Komponentenebene. - (Bild: Bildcollage mit shutterstock_1287262270 und shutterstock_1194038272)

Modulare Lösungen ermöglichen es, Cybersecurity-Lösungen deutlich schneller und technisch auf höchstem Niveau in die eigene Applikation zu integrieren.

Hersteller von Automatisierungsgeräten müssen im Zuge der fortschreitenden Digitalisierung nicht nur den zyklischen Austausch von Fertigungsdaten in ihre Kommunikationsschnittstelle integrieren, sondern auch die Anbindung an IoT-Plattformen.

Die Herausforderung im IoT-Umfeld besteht insbesondere darin, eine Kommunikationsschnittstelle zu realisieren, die die Anbindung an die IoT-Plattform ermöglicht, ohne die von der industriellen Anwendung geforderte Sicherheit und Leistung zu beeinträchtigen. Hierbei gilt es, neue Cybersecurity-Anforderungen umzusetzen, die in ebenfalls neue IEC- oder Protokollstands einfließen, wie die IEC 62443, die den Rahmen für Security-Implementierungen bildet. Um innerhalb einer Produktionsanlage von der IT-Ebene auf die Daten von Robotern, Antrieben, Sensoren oder I/O-Modulen zuzugreifen, setzen sich mit OPC UA und MQTT zwei Kommunikationsstandards durch. Beide Technologien haben jeweils ihren eigenen Schwerpunkt.

IIoT-Kommunikation innerhalb der Anlage

Anybus-Kommunikationsmodul,
Das Anybus-Kommunikationsmodul von HMS wickelt zusätzlich zur Buskommunikation auch die Kommunikation via OPC UA und MQTT ab. - (Bild: HMS)

OPC UA fokussiert auf die Standardisierung der Datenmodelle in Geräten der gleichen Familie, wie zum Beispiel Roboter und Bildverarbeitungssysteme, für eine einfache Integration bei Endkunden. MQTT ist ein sehr schlankes („lightweight“) Protokoll, das schnell und einfach auch in kleinste Geräte implementiert werden kann, dafür aber keine standardisierte Datenmodellierung bietet. Beide Technologien haben ihre Anhänger, aber auch verschiedene Einsatzbereiche. Hersteller von Automatisierungsgeräten müssen deshalb eigentlich beide Protokolle implementieren, um alle ihre Anwender zufriedenzustellen.

Das ist in der Praxis aufwendig und kostet Zeit. Als einer der führenden Anbieter von Lösungen für die industrielle Kommunikation sowie das IIoT kann HMS Industrial Networks Anwender auch bei der Implementierung der benötigten IIoT-Schnittstellen unterstützen. Für die Produktreihe Anybus CompactCom, eine Familie von Embedded-Kommunikationsschnittstellen, wurde ein IIoT-Secure-Modul entwickelt, das sowohl Feldbus- als auch OPC UA- und MQTT-Protokolle integriert.

Die Software-Schnittstelle zwischen dem Modul und dem Applikationsprogramm des Automatisierungsgerätes ist standardisiert. Somit haben Hersteller, die bereits ein Anybus-Modul für die Buskommunikation einsetzen, keinen zusätzlichen Aufwand, um Daten über OPC UA und MQTT zu übertragen.  Beide Protokolle wurden sicher implementiert und erfüllen somit auch die notwendigen Cybersecurity-Anforderungen. Damit bietet HMS Geräteherstellern eine einfache und schnelle Möglichkeit, ihre Geräte auch ohne Expertenwissen IIoT-fähig zu machen.

Industrielle Cybersecurity-Anforderungen

Cybersecurity,
Das Thema Cybersecurity wird zunehmend wichtiger. - (Bild: Bildcollage mit shutterstock_602455865 und starline/Freepik 26024)

Mit dem steigenden Kommunikationsbedarf im industriellen Bereich nimmt auch die Anzahl der Cyber-Attacken in diesem Segment zu. Diese Attacken werden immer präziser und erfolgen jetzt auch über industrielle Protokolle. Die Folgen können dramatisch sein: Wasser- oder Energieversorgung können unterbrochen, die funktionale Sicherheit in Anlagen kann umgangen werden. Deswegen arbeiten die unterschiedlichen Nutzerorganisationen an neuen Sicherheitskonzepten.

Die Modbus Organization hat dafür 2018 eine Modbus-Security-Erweiterung publiziert, um die Kommunikation zu verschlüsseln. Die ODVA hat die EtherNet/IP-Kommunikation 2015 um CIP Security erweitert. Die Spezifikation wird ständig verbessert, um die Implementierung dieser Sicherheitsprozesse für die Anwender einfacher zu machen. Die Robustheit und der Determinismus der Feldbusschnittstelle ist für die nahtlose Steuerung einer kritischen Anlage essenziell.

Auch bei der Profibus Nutzerorganisation (PNO) ist das Thema Security stark im Fokus und die PNO hat 2020 eine erste Sicherheitsklasse (Security Class) vorgestellt, die diese Robustheit garantiert. Aber auch die Sicherheit der Geräte selbst muss berücksichtigt werden. Eine sichere Kommunikation ist nutzlos, wenn Unbefugte vertrauliche Gerätezertifikate lesen oder diese durch Manipulation der Firmware austauschen können. Die IEC62443-4-1 und -2 beschreiben einen Rahmen dafür, wie Komponentenhersteller bei einer sicheren Implementierung vorgehen müssen. Der erste Teil umfasst den Entwicklungsprozess bis hin zum gesamten Lebenszyklus des Gerätes, der zweite Teil beschreibt die Sicherheitsanforderungen an die Geräte.

Bei HMS stellen wir fest, dass unsere Kunden in Projekten die Einhaltung der IEC62443 immer stärker fordern. Daher hat HMS diese Sicherheitsverfahren in seine Entwicklungsprozesse integriert und im IIoT-Secure-Modul modernste Sicherheitsfunktionen implementiert. Das Modul verfügt über eine sichere Verwaltung der Zertifikate, die für die verschlüsselte Kommunikation verwendet werden. Vertrauliche Daten wie zum Beispiel private Schlüssel werden auf einem separaten Sicherheits-Chip gespeichert.

Über HMS Networks

  • Der Anbieter von Lösungen für die industrielle Kommunikation und das Industrial Internet of Things vertreibt seine Produkte unter den Marken Anybus, Ewon, Intesis und Ixxat.

  • Dem Unternehmen liegt es am Herzen, Anwendern höchste Flexibilität bei der Anbindung von Geräten und Systemen an die verschiedenen industriellen Netzwerke zu verschaffen.

  • Zum Thema Cybersecurity finden Interessierte ein Whitepaper mit dem Titel „Sicherheit für industrielle Anlagen“ zum kostenlosen Download unter: https://www.hms-networks.com/de/technologien/sicherheit/security-whitepaper

Beim sicheren Booten wird auch geprüft und sichergestellt, dass nur signierte Software von HMS verwendet wird. Darüber hinaus verschlüsseln die Sicherheitsfunktionen des Moduls die IIoT-Datenverbindungen (OPC UA & MQTT) und unterstützen auch die Sicherheitsanforderungen der jeweiligen industrielle Protokolle. Für Hersteller von Automatisierungsgeräten bedeutet das: Wenn sie auf die HMS-Lösung setzen, können sie ohne umfassende Sicherheitskompetenzen ein hohes Security-Niveau in ihren Geräten unterstützen. Und in einem Markt, in dem das Thema Security gerade mal in den Startlöchern steht, kann das ein entscheidender Wettbewerbsvorteil sein. Auch im Hinblick auf eine zukunftssichere Lösung. Denn HMS versteht sich als Technologiepartner, der seine Kunden langfristig begleitet.

Interview mit Thierry Bieber, HMS Industrial Networks

Thierry Bieber,
Thierry Bieber arbeitet bei HMS als Industrie Segment Manager Industrial Automation. - (Bild: HMS Industrial Networks)

„Der Hersteller bekommt eine fertige Lösung für sein Gerät“

Herr Bieber, welches sind die größten und wahrscheinlichsten Bedrohungsszenarien für Beteiligte aus dem Maschinen- und Anlagenbau?

Mit der Digitalisierung der Anlage und der Fertigungsautomatisierung steigt auch der Kommunikationsbedarf und damit die Gefahr, angegriffen zu werden. Wir sehen in der Fertigungsindustrie im ersten Schritt sehr oft die klassischen und konventionellen Angriffe, die man auch im IT-Bereich kennt, und die sich jetzt auch auf industrielle Applikationen fokussieren. Schadsoftware, die einen Rechner blockiert, oder Fishing-Verfahren werden beispielsweise hier eingesetzt. Aber wir sehen auch, dass neben diesen Standardangriffen – wenn auch noch selten – die Attacken immer komplexer und gezielter werden. Die Angreifer setzen beispielsweise dedizierte industrielle Protokolle ein. Bei Stuxnet sind das Attacken, die tief in die Verfahren der Automatisierung eindringen, um Schaden anzurichten.

Finden Sie, dass das Bewusstsein, sich schützen zu müssen, im Maschinen- und Anlagenbau genügend ausgeprägt ist, oder ­sehen Sie hier noch mehr Bedarf?

Wir sehen, dass die Firmen sich um das Thema Cybersecurity Gedanken machen. Allerdings sind die Anlagen in der Fertigung öfters voneinander getrennt, also in einer Insel geschützt, und deshalb liegt hier nicht das erste Augenmerk der Anlagenbetreiber. Auf der anderen Seite haben wir das Thema Komplexität bei der Cybersecurity: Momentan wird hauptsächlich eine Segmentierung der gesamten Anlage oder Produktionseinheit gesehen. Von der vollständigen Sicherheit, dass jedes Gerät seine eigene Sicherheit unterstützt, davon sind wir noch weit entfernt. Hier muss noch viel investiert werden, um diesen Status zu erreichen.

Was genau schreiben die Cybersecurity-Anforderungen vor, die in die neuen Protokoll-Standards einfließen?

Es gibt einen Unterschied zwischen IT-Security und OT-Security. Wo in der IT Vertraulichkeit der Information als oberstes Gebot gilt, steht in der industriellen Welt die Verfügbarkeit der Produk­tionsprozesse oder der Anlage im Fokus. In diesem Zusammenhang ist die IEC 62443 definiert worden. Sie schreibt vor, dass man die unterschiedlichen Ebenen in einem Fertigungsprozess mit Sicherheitsmaßnahmen ergänzt, indem man auf Gesamtapplika­tionsebene beim Endanwender diese Sicherheitsregel definiert. Aber auch, dass jeder Anlagen- oder Maschinenbauer seine Systeme bis auf die Komponentenebene schützen muss. Die einzelnen Komponentenhersteller müssen also diese Sicherheitsmaßnahmen unterstützen. Das bedeutet, es handelt sich nicht nur um eine Geräteänderung oder eine Entwicklung im Gerät, sondern die gesamten Prozesse der Firmen müssen angepasst werden. Das sind schon starke Einflüsse in die jetzige Vorgehensweise, die wir dadurch bekommen.

Was müssen Komponentenhersteller jetzt tun?

Jeder Hersteller muss seine gesamten Systeme und Prozesse daran anpassen. Das sind schon größere Änderungen für Unternehmen. Es fängt mit der Ausbildung der Produktentwickler an. Die gesamte Definition des Produktes bis hin zu der Validierung der Spezifikationen oder Anforderungen wird beeinflusst. Die Produktionsmittel der Produkte müssen dementsprechend sichergestellt werden. Man muss auch sicherstellen, dass es hier keine Lücke geben kann, die die Herstellung von sicheren Produkten beeinflussen kann. Und sogar der Lebenszyklus eines Produktes, nachdem es im Feld eingesetzt worden ist, wird durch die IEC bestimmt. Denn die Cybersecurity ist etwas Hochdynamisches. Man hat immer wieder neue gefunden.

Wie können modulare Cybersecurity-Lösungen aussehen?

Das Thema Security ist – besonders für Gerätehersteller – ein Thema, das neue Anforderungen definiert. Gewöhnlich ist das verbunden mit der Kommunikationsschnittstelle. Hier müssen die Hersteller noch Feldbus-Kommunikation für die Kommunikation der Prozessinformationen unterstützen. Auf der anderen Seite fordern die Endkunden von den Herstellern neue IoT-Kommunika­tionskanäle, sodass auch die Qualitätsdaten auf IoT-Ebene geliefert werden. Hier kommen jetzt auch die ersten Anforderungen für die Sicherheit dieser Übertragungen. Das sind oft komplett neue und junge Anforderungen, die sich oft noch sehr stark ändern und sich ständig weiterentwickeln. Sehr oft sind diese Kompetenzen bei den Herstellern noch nicht vorhanden. Deswegen ist unser Vorschlag, hier eine gewisse Modularität zwischen der Funktionalität des Gerätes und der Kommunikationsschnittstelle zu integrieren, sodass man auf beiden Ebenen flexibel agieren und sehr schnell und einfach sein Produkt mit Lösungen ergänzen kann. So können Hersteller von vorhandenen Lösungen profitieren, wie zum Beispiel unserem Anybus-IoT-Secure-Modul, das eine sichere Kommunikationsschnittstelle für ein Gerät anbieten kann.

Das heißt, Sie sind Lösungsanbieter und helfen den Komponentenherstellern, dass sie ihre Geräte sicher machen können?

Ja, das ist unser Fokus. Unsere Anybus-Produktfamilie ist schon seit mehreren Jahren im Einsatz, sehr stark fokussiert auf der Feldbusebene. Unser Ziel war ständig, die gesamten Verfahren der Feldbus-Kommunikation in unser Modul komplett einzupacken, sodass wir unseren Kunden ein vorzertifiziertes Modul anbieten können. Für die IoT-Kommunikation und die Cybersecurity haben wir einen ähnlichen Ansatz übernommen. Wir packen beides in unser Modul rein, sodass der Kunde diese Schnittstelle einfach einsetzen kann und damit eine fertige und vollständige Lösung für sein Gerät bekommt. Außerdem unterstützen wir mit unserer Expertise.

Das Interview führte Angela Unger-Leinhos, Redaktion ke NEXT

Bleiben Sie informiert

Diese Themen interessieren Sie? Mit unserem Newsletter sind Sie immer auf dem Laufenden. Gleich anmelden!

Sie möchten gerne weiterlesen?