Wie in anderen Bereichen der IT-Sicherheit basiert die Profinet-Sicherheit auf einem Defense-in-Depth-Ansatz. Dieses Konzept umfasst eine mehrschichtige Verteidigung gegen Angriffe sowie ungewollte Veränderungen. Dazu stehen mehrere unabhängige Methoden zur Verfügung. Durch die Staffelung verschiedener Sicherheitsmechanismen hintereinander wird den Angreifern der unbefugte Zugang erschwert. Bei einem Angriff über das Netzwerk müssen sie beispielsweise zuerst eine oder eine gewisse Anzahl von Firewalls überwinden, bevor sie an die Zielkomponente gelangen. Der TPS-1-Chip ist auf der Produktebene angesiedelt. Ein Angreifer muss also einige Hürden nehmen, um die Datenübertragung zwischen Profinet-Controller und -Device zu stören.
Der TPS-1 beinhaltet unterschiedliche Security-Features, die sich unter dem Begriff „Security-by-Design“ beschreiben lassen. Bei einer dieser Funktionen handelt es sich um die Erfüllung der Netload Class III, die ein Versagen der Netzwerkkommunikation bei Überlast verhindert. Die Profibus Nutzerorganisation hat in diesem Zusammenhang drei Security Classes definiert, die in die vorhandenen Profinet-Geräte integriert werden können. Die Spezifikation für die Security Class 1 liegt vor und lässt sich somit in Profinet-Geräten umsetzen. Im TPS-1 ist dies bereits passiert, will heißen Geräteentwickler können das neue Security-Feature ab sofort nutzen. Die Security Class 1 umfasst drei Veränderungen im Betrieb des Geräts und in seiner Konfiguration:
DCP-Konfiguration (Discovery and Basic Configuration Protocol)
SNMP-Konfiguration (Simple Network Management Protocol)
Signierung der GSD-Datei (General Station Description)
In die GSDML-Datei (Generic Station Description Markup Language) muss ein Tag zur Security Class aufgenommen werden. Auf diese Weise wird dem Controller mitgeteilt, dass das Device über weitere Eigenschaften verfügt. Der Eintrag gehört zur „DeviceAccessPointList“. Der Tag „CertificationInfo“ wird um die Security Class erweitert.
Modus DCP Read-Only unterbindet schreibenden Zugriff
Profinet DCP ist Teil der Protokoll-Suite für Profinet. Das DCP-Protokoll stellt zum Beispiel die Dienste DCP-IdentifyAll, DCP-Identify, DCP-Set und andere bereit. Es wird vom Engineering-Werkzeug und der Steuerung verwendet, um Geräte zu erkennen, Geräteinformationen zu identifizieren und Geräteeinstellungen – wie den Profinet-Gerätenamen und die IP-Adresse – in einem Profinet-Netzwerk zu konfigurieren. Schreibzugriffe sind bisher nicht gegen eine unbeabsichtigte oder böswillige Nutzung geschützt. Hat sich der Angreifer Zugang zur Feldebene verschafft, lassen sich daher Geräte mit Hilfe des DCP-Protokolls übernehmen und eine bestehende Kommunikationsbeziehung (Application Relation) unterbrechen.
Ein Beispiel für ein kritisches DCP-Kommando stellt DCP-ResetToFactory dar, das bislang, während einer aufgebauten Application Relation gesendet werden kann. Dieses Kommando setzt mit dem Mode 2 der NameOfStation die IP-Adresse und weitere Parameter zurück. Dies hat zur Folge, dass sich ein Device nicht mehr erreichen lässt. Der Controller verliert folglich seine Verbindung zum Device und diese kann auch nicht wiederhergestellt werden.
Die Einführung des Modus DCP Read-Only zielt auf die Sicherstellung der Verfügbarkeit einer vorhandenen Geräteverbindung zwischen dem Controller und dem Device ab. Ein Gerät, das die Security Class 1 unterstützt, darf nach dem Aufbau der Application Relation keine schreibenden Zugriffe mehr erlauben. So werden kritische Dienste ausgeschlossen. Nutzer greifen nur noch lesend auf Daten zu. Diagnosewerkzeuge können weiterhin mit dem Device kommunizieren, ohne dass die Application Relation beeinträchtigt wird. Zur Bekanntmachung dieses Verhaltens während des Engineering-Vorgangs ist ein zusätzlicher Tag in die GSDML des Geräts einzuführen.
Eigenschaften des SNMP-Servers lassen sich individuell einstellen
Bei SNMP setzt Profinet die Protokollversion SNMPv1 ein, die keine Authentifizierung bietet. Der sogenannte CommunityString, der als Passwort angesehen werden kann, wird von den Geräten, die SNMPv1 unterstützen, überprüft. In diesen Geräten ist SNMPv1 immer aktiv und kann bis zur Profinet-Version 2.4MU1 nicht deaktiviert werden. Ab der Variante v2.4MU1 ändert sich das aufgrund der Implementierung der Security Class 1. Nun kommen neue Möglichkeiten hinsichtlich des SNMP-Handlings in Profinet-Geräten hinzu. Folgende Einstellungen lassen sich jetzt auswählen:
Der SNMP-Server ist vollständig deaktiviert.
Der SNMP-Server wird lediglich im Lesemodus betrieben.
Die CommunityStrings werden für den Lese- und Schreibzugriff auf individuelle Einstellungen geändert.
Ab der Profinet-Version v2.4MU1 wird eine Konfigurationsschnittstelle für das Engineering-System zur Verfügung gestellt. Dazu muss ein weiterer Tag in die GSDML des Devices integriert werden.
Wenn das Attribut SNMPAdjust vorhanden ist, werden die Records CIMSNMPAdjust (0x8200) und CIMSNMPReal (0x8201) vom Device unterstützt. Mit Hilfe des Engineering-Tools lässt sich der Controller so programmieren, dass die gewünschten Eigenschaften des SNMP-Servers während des Aufbaus der Application Relation eingestellt werden. Ein entsprechendes Diagnose-Tool ist dann in der Lage, den SNMP-Server des Devices gemäß den Konfigurationen auszulesen und – sofern notwendig – Veränderungen vorzunehmen. Beim TPS-1 sind die erforderlichen Records in der Firmware implementiert. Für den Anwender bedeutet dies, dass zur Nutzung der Eigenschaften der Security Class 1 nur die GSDML-Datei um die oben aufgeführten Tags ergänzt werden muss. Die Firmware der Applikations-CPU erfährt keinerlei Änderungen. Eine Ausnahme bildet die Signierung der GSDML-Datei. Dabei handelt es sich um ein Verfahren, das die Device-Entwicklung anstößt. Die notwendigen Schritte werden nachfolgend erläutert.
Hersteller kann sein Gerät mit Signatur versehen
Jedes Profinet-Device wird stets mit einer Gerätebeschreibungsdatei (GSD-Datei) an den Anwender ausgeliefert. Die Eigenschaften des Devices sind in einem durch das Engineering lesbaren Format (XML) beschrieben. Eine GSD-Datei umfasst bisher keine Mechanismen zur Überprüfung des Geräts auf Authentizität und Integrität. Authentizität bedeutet beispielsweise, dass die GSD-Datei vom angegebenen Hersteller stammt. Integrität zeigt, ob der Inhalt verfälscht wurde. Ab der Profinet-Version v2.4MU3 kann der Hersteller eine GSD-Datei mit einer Signatur versehen, die sich etwa durch das Engineering-Tool vor dem Import kontrollieren lässt. Zu diesem Zweck hat die Profibus Nutzerorganisation ein signiertes Container-Format spezifiziert, mit dem jeder Anlagenbetreiber die folgenden Punkte überprüfen kann:
Liegen die Daten (zum Beispiel GSD-Dateien) in der Form vor, wie sie vom Hersteller geliefert wurden.
Sind die Dateien unverändert, also genauso, wie sie der Hersteller generiert hat.
Ist der Hersteller von der Profibus Nutzerorganisation autorisiert, einen signierten GSDX-Container zu erstellen, das heißt ist das Zertifikat von der Profibus Nutzerorganisation ausgestellt und stimmt es mit der Vendor-ID des Herstellers überein.
Die Profibus Nutzerorganisation kann dem Hersteller ein für ihn spezifiziertes Signierzertifikat aushändigen. Dafür stehen weitere Software-Werkzeuge für ihn bereit. Die Profibus Nutzerorganisation hält eine technische Spezifikation sowie eine Verfahrensanleitung für den Betrieb vor. Zu beachten ist, dass die Signierung keinen Bestandteil der Implementierung des TPS-1 darstellt, sondern durch den Gerätehersteller selbst realisiert werden muss. Als wichtig erweist sich darüber hinaus, dass das eingesetzte Engineering-Tool die signierten Dateien importieren kann.
Geräte-GSDML ist um einige Tags zu erweitern
Mit dem Cyber Resilience Act (CRA) hat die Europäische Union (EU) allen Anbietern von elektronischen Geräten mit Netzwerkzugang Vorgaben gemacht, die bis Ende 2027 umgesetzt werden müssen. Vor diesem Hintergrund wurden von der Profibus Nutzerorganisation drei Security Classes definiert, die sich in die bestehenden Profinet-Geräte integrieren lassen. In den TPS-1-Chip ist die Security Class 1 bereits eingeflossen. Die Implementierung erfolgt vollständig in der Firmware des Bausteins. Um die neuen Eigenschaften nutzen zu können, muss lediglich die GSDML des Gerätes um einige Tags erweitert werden.
.jpg "Wie ein vollautomatisiertes Auslieferungscenter E-Commerce Fulfillment neu definiert")
