IT-Sicherheitskonzept ergänzt Neue Schutzmaßnahmen für Profinet

PI hat sein Sicherheitskonzept für Profinet um weitere Schutzmaßnahmen ergänzt.

Bild: Profibus Nutzerorganisation
21.09.2020

Parallel mit den ersten Profinet-Spezifikationen veröffentlichte PI ein Security-Konzept, das in mehreren Schritten weiter angepasst wurde. Dabei reicht es nicht, Anlagennetze und Automatisierungskomponenten zu schützen, sondern die eingesetzten Schutzmechanismen und Konzepte dürfen den laufenden Produktionsbetrieb nicht stören. Zudem müssen die Konzepte immer wieder an die aktuellen Entwicklungen angepasst werden müssen. PI hat nun sein IT-Sicherheitskonzept ergänzt.

Das IT-Sicherheitskonzept für Profinet geht von einem Defense-in-Depth-Ansatz aus. Dabei wird die Produktionsanlage durch einen mehrstufigen Perimeter, unter anderem Firewalls, gegen Angriffe, insbesondere von außen, geschützt. Darüber hinaus ist innerhalb der Anlage eine weitere Absicherung durch Unterteilung in Zonen unter Einsatz von Firewalls möglich.

Zusätzlich wird durch einen Security-Komponententest die Festigkeit der Profinet-Komponenten gegen Überlastung in einem definierten Umfang sichergestellt. Dieses Konzept wird durch organisatorische Maßnahmen in der Produktionsanlage im Rahmen eines Security-Management-Systems unterstützt.

Permanente Entwicklung

Allerdings ist Security ein Thema, das permanent an die aktuelle Entwicklung angepasst werden muss und daher nie abgeschlossen ist. Dies gilt insbesondere vor dem Hintergrund der zunehmenden Vernetzung von Produktionsanlagen.

So sorgt der Einsatz von Profinet-Komponenten mit Mehrwert, also zum Beispiel Web- oder OPC-Kommunikation, für eine vermehrte, direkte Kommunikation mit übergeordneten Systemen außerhalb der Sicherheitszone. Gleichzeitig wird eine Trennung von Profinet-Netzwerken immer schwieriger.

Außerdem werden die Netzwerke größer, so dass immer mehr Komponenten zu einem Netzwerk verbunden werden und miteinander interagieren. Ein erfolgreicher Angriff auf ein einzelnes (PC-) System innerhalb einer solchen Zelle umgeht daher Vorab-Schutzmaßnahmen. Auch behindern weit verteilte Anlagen den physischen Schutz von Netzwerken und Zugangspunkten. Dadurch können unbefugte Personen Zugang zum Profinet-Netzwerk erhalten.

Konzepte müssen ergänzt werden

Aus diesem Grund müssen bisherige Konzepte, die in der Hauptsache auf eine Abschottung der Produktionsanlagen setzen, durch neue Konzepte, die einen Schutz innerhalb der Zelle ermöglichen, ergänzt werden. PI hat daher die bisherigen Maßnahmen durch weitergehende Schutzmaßnahmen erweitert.

Dazu gehören ein Credential Management, zum Beispiel für eine Authentifizierung der Geräte, und eine End-to-End-Security-Erweiterung für die Profinet-Kommunikation als Konfigurationsoption. Da nicht jede Anwendung die gleichen Sicherheitsanforderungen stellt, wurden bei Profinet drei Sicherheitsklassen definiert.

Weitere Details

Weitere technische Details und Praxisbeispiele finden sich im Industrie-4.0-Highlight „Security“. Diese Kampagne auf der PI-Webseite greift aktuelle Themen, Fragestellungen und Trends aus Industrie 4.0-Anwendungen auf, damit der Anwender diese leicht in die Praxis umsetzen und realisieren kann.

Firmen zu diesem Artikel
Verwandte Artikel