Die zunehmende Digitalisierung der Produktion eröffnet Maschinenbauern neue Geschäftsmodelle und Umsatzmöglichkeiten. Sie nutzen Maschinendaten, um Mehrwert zu generieren und die Kundenbindung im After-Sales-Prozess durch digitale Produkte (zum Beispiel Predictive-Maintenance-Lösungen oder Fernwartung) zu erhöhen.
Dies kann direkt vor Ort an der Maschine (Netzwerk-Edge), in der Cloud oder in einem hybriden Modell geschehen. In allen Fällen ist aber eine digitale Komponente erforderlich. Die EU forciert durch die NIS2-Richtlinie, die im Oktober 2024 von den Mitgliedsstaaten umzusetzen ist beziehungsweise mit dem neuen Cyber Resilience Act (CRA), der dieses Jahr beschlossen wurde, den Fokus auf Cybersicherheit in digitalen Systemen und entlang der Lieferkette. Der CRA ist für Industrie-4.0-Anwendungen besonders relevant, denn er verlangt, dass Produkte mit digitalen Elementen von der Entwurfsphase über den gesamten Lebenszyklus sicher gemacht werden.
Der Countdown läuft also bereits. Jetzt müssen Maschinenbauer überlegen, wie sie diese neuen Cybersecurity-Vorgaben konkret umsetzen und einzelne Maschinenapplikationen (unter anderem auch Legacy-Applikationen) einfach und effizient absichern können.
Die Bedeutung der IEC-62443-Normenreihe
Die CRA bezieht sich auf eine Vielzahl von Industrien, deckt aber inhaltlich einen sehr ähnlichen Bereich ab, wie die industrielle Cybersicherheitsnormenreihe IEC 62443 für sichere vernetzte Produkte. IEC 62443 4-2 betrifft technische Voraussetzungen für Cybersicherheit von Komponenten - daher sind die dort beschriebenen Sicherheitsmerkmale eine gute Basis für die Einhaltung der CRA. Der wichtigste Punkt ist, dass Unternehmen alle Softwaremodule ihres Portfolios auf die Einhaltung der IEC 62443 4-2 überprüfen sollten.
Viele Maschinenhersteller nutzen für den Edge-Teil ihrer IIoT-Lösungen eine fertige, in der Cloud gemanagte Edge-Computing-Plattform, wie zum Beispiel Nerve von TTTech Industrial. Diese ermöglicht es unter anderem, Softwaremodule auf Edge-Devices weltweit auszurollen. Außerdem erfüllt sie alle Anforderungen der IEC 62443-4-2, die an die Edge gestellt werden. Eine Edge-Computing-Plattform erlaubt es Maschinenherstellern, sich auf ihre Kernaufgaben zu fokussieren und kann meist 80 bis 90 Prozent der Themen abdecken, die mit der IEC-62443-Compliance zusammenhängen.
Maschinenspezifische Software sicher verwenden
Die verbliebenen 10 bis 20 Prozent der Themen beziehen sich auf Anwendungen, die Maschinenbauer in die Plattform einbinden: das können Drittanbieter-Applikationen oder auch selbst entwickelte Software-Lösungen sein. Damit eine Edge-Computing-Plattform in ihrer Gesamtheit als sicher eingestuft werden kann, muss auch diese maschinenspezifische Software (in den meisten Fällen Docker-Applikationen), welche den Mehrwert für den Kunden darstellt, den Anforderungen der IEC 62443-4-2 genügen.
Eine Bewertung der maschinenspezifischen Software als Einzelkomponente nach IEC 62443-4-2 ist grundsätzlich möglich, allerdings ist in diesem Fall mit einem erhöhten Entwicklungsaufwand zu rechnen. Zudem ist zu erwarten, dass in vielen Fällen bereits vorhandene Funktionen der Edge-Computing-Plattform nach IEC 62443-4-2 dupliziert werden. Es empfiehlt sich daher, die maschinenspezifische Software im Kontext der Edge-Computing-Plattform zu bewerten. So können bereits vorhandene Sicherheitsmechanismen der Plattform genutzt und dadurch Zeit gespart werden.
Wichtige Cybersecurity-Features für CRA-Compliance
CRA-Compliance bedeutet einen großen Aufwand unter anderem in der Dokumentation, im Monitoring und beim Update von digitalen Komponenten. Eine IEC 62443-konforme Edge-Computing-Plattform deckt die relevantesten IEC 62443-Mechanismen ab und kann so effizienter als die eigenständige Implementierung separater Lösungen sein:
Audit-Logging
Audit-Logs genießen einen besonderen Schutzstatus im Vergleich zu gängigen Applikations-Logs, da sie für forensische Analysen nach einem Cyberangriff eingesetzt werden. Daher ist eine gesonderte Speicherung, sowie ein umfassender Schutz vor jeglicher Form der Manipulation erforderlich. Die Implementierung eines Audit-Log-Mechanismus für maschinenspezifische Software erfordert den privilegierten Zugriff auf die Edge-Computing-Plattform durch die Software, was jedoch im Widerspruch zu sonstigen Sicherheitsrichtlinien steht. Es empfiehlt sich daher, den Audit-Logging-Mechanismus der Edge-Computing-Plattform mittels einer abgesicherten API mitzubenutzen.
Zugriffsauthentifizierung und Datenverschlüsselung
Heutzutage werden Zertifikate zur Authentifizierung und Verschlüsselung eingesetzt, wobei in regelmäßigen Abständen ein Update erfolgt. Diese Zertifikate müssen in einem geschützten Bereich aufbewahrt werden und es muss möglich sein, sie zu listen, zurückzuziehen und neue hinzuzufügen. Auch in diesem Fall ist es viel effektiver, wenn die maschinenspezifische Software die bereits vorhandenen Mechanismen der Edge-Computing-Plattform nutzt. Ähnliches gilt für sämtliche API-Keys und andere geheim zuhaltende Schlüssel, die verwaltet werden müssen.
Prüfung der Software-Integrität durch Dritte
Im Rahmen der Integritätsvalidierung von Software ist eine Authentizitätsprüfung erforderlich, um sicherzustellen, dass nur die gewünschte Applikation an der Maschine ausgeführt wird und dass diese nicht nachträglich oder zwischenzeitlich durch unbefugte Dritte verändert wurde, zum Beispiel durch das Hinzufügen von Schadcode. Die zu implementierenden Mechanismen sind hinlänglich bekannt und die Durchführung der Prüfung an sich ist nicht mit einem hohen Komplexitätsgrad verbunden. Von entscheidender Bedeutung ist jedoch, dass die Prüfung nicht durch die zu prüfende Software selbst durchgeführt werden soll. Die Edge-Computing-Plattform übernimmt in diesem Fall die Rolle des vertrauenswürdigen Prüfenden und stellt ihre eigene Integrität beispielsweise durch Secure Boot sicher.
Management von Nutzern und Zugriffsrechten
Die Verwaltung von Benutzern und Rechten betrifft auch die Benutzerfreundlichkeit der Edge-Computing-Plattform sowie der maschinenspezifischen Software. Ein Endnutzer will sich nicht mit unterschiedlichen Authentifizierungen für die Edge-Plattform und die maschinenspezifische Software auseinandersetzen müssen. Auch Administratoren wollen die Verwaltung von Benutzern und Rechten nicht in zwei separaten Portalen vornehmen. Die Bereitstellung der Benutzer- und Rechteverwaltung der Edge-Computing-Plattform mittels einer sicheren Schnittstelle stellt einen hohen Nutzen für alle involvierten Parteien dar.
Die IEC 62443 schließt auch andere Funktionen, beispielsweise Speicherverschlüsselung, Sicherung und Wiederherstellung ein. Diese sind so definiert, dass ihre Implementierung direkt die Einhaltung von CRA-Vorgaben unterstützt. Für ihre Anwendung ist daher keine Anpassung in der maschinenspezifischen Software nötig. Diese Mechanismen können in einer Edge-Computing-Plattform also direkt eingebunden werden - der Vorteil für den Maschinenbauer ist hier, dass alle Applikationen auf einer Plattform zentral verwaltet werden können.
Edge-Computing-Plattform reduziert den Aufwand für CRA-Konformität
Eine Edge-Computing-Plattform, die nach IEC 62443-4-2 zertifiziert ist und die oben genannten Mechanismen bereitstellt, bietet Maschinenbauern Zugriff auf einen zuverlässigen und effizienten Security-„Werkzeugkasten“. Sie können damit bestehende Software-Module zügig nach den Vorgaben von IEC 62443 absichern und damit letztendlich ihr Produktangebot konform zur CRA gestalten.
Nerve von TTTech Industrial ist eine offene, modulare Edge-Computing-Plattform für IIoT-Anwendungen mit einem zentralem Managementsystem, die IEC-62443-konform entwickelt wurde und gerade nach IEC 62443-4-2 zertifiziert wird. Sie bietet:
Sicheren Fernzugriff und sichere Einbindung von (Legacy-)Applikationen und Geräten verschiedener Hersteller
Unterstützung des Offline-Betriebs
Umfassende, integrierte Cybersecurity-Features wie rollenbasierte Zugriffskontrolle, zentrale Update-Mechanismen für Applikationen und Firmware, Isolierung von Benutzeranwendungen durch virtuelle Maschinen (VMs) oder Docker-Container, Sicherung aller Verbindungen zum Nerve Management System mit TLS 1.2 und DSGVO-konformes Hosting auf Microsoft Azure in Deutschland
TTTech Industrial unterstützt mit Nerve und seiner Digitalisierungsexpertise Maschinenbauer von der Planung bis zur Implementierung ihrer individuellen Cybersecurity-konformen Digitalisierungsprojekte.
%20in%20the%20style%20of%20pointillism,%20filled%20with%20various%20industrial%20connectors%20and%20cables.jpg "Wird SPE die Vielfalt in der Feldebene reduzieren?")
