PI / PNO Profinet-Schutz auch auf der Protokollebene

Karsten Schneider, PNO: »Ziel der neuen Security-Maßnahmen ist ein Schutz von Profinet auf der Protokollebene.«
Karsten Schneider, PNO: »Ziel der neuen Security-Maßnahmen ist ein Schutz von Profinet auf der Protokollebene.«

Seit 2006 legt die Security-Guideline von PI (Profibus & Profinet International) Herstellern und Anwendern von Profinet-Geräten technische und prozedurale Sicherheitsvorkehrungen nahe. Jetzt erarbeitet PI ergänzende Maßnahmen, um Profinet auch auf der Protokollebene zu schützen.

Im Rahmen der Digitalisierung von Produktionsprozessen rückt die IT-Sicherheit von Produktionsanlagen immer stärker in den Vordergrund. Die durchgängige Vernetzung in Unternehmen, die vertikale Integration und die Tendenz zu flacheren Systemhierarchien erfordern durchgängige Ansätze für die IT-Sicherheit in der Produktion. „Bisherige Konzepte, die hauptsächlich auf eine Abschottung der Produktionsanlagen setzen, sind durch neue Maßnahmen zu ergänzen, die einen Schutz der Komponenten vorsehen“, erläutert Karsten Schneider, Vorstandsvorsitzender des deutschen PI-Zweigs Profibus-Nutzerorganisation (PNO). „Ziel ist also ein Schutz von Profinet auf der Protokollebene.“

Die Grundlagen dafür hat PI in dem Whitepaper „Security-Erweiterungen für Profinet“ vorgestellt, das auf den internationalen Standard IEC 62443 zurückgreift. Hierbei spielen verschiedene Schutzziele für Profinet eine Rolle. Eine hohe Priorität hat die Integrität, also beispielsweise die Verhinderung oder das Erkennen einer Datenmanipulation oder einer Unterdrückung von Alarmen der Geräte. Zudem ist eine Änderung der Konfiguration von IO-Devices im laufenden Betrieb durch Autorisierung abzusichern. Aber auch die Robustheit des Systems und damit die Verfügbarkeit der Anlage dürfen nicht außer Acht gelassen werden.

Aus der Analyse der Schutzziele ergeben sich unterschiedliche Prioritäten, so dass PI nun drei Security Klassen definiert: Robustness, Integrity + Authenticity und Confidentiality. So lässt sich die Authentizität der Profinet-Teilnehmer durch eine kryptografisch gesicherte digitale Identität wahren, etwa in Form von Zertifikaten. Die Integrität der Kommunikation kann beispielsweise durch kryptografische Prüfsummen sichergestellt werden.

Die notwendigen Spezifikationsaufgaben wurden nun skizziert und erste Maßnahmen zu Security Class 1 (Robustness) definiert. Diese werden nun in die Spezifikationen von Profinet-GSDML eingebracht - etwa die Signierung von GSD-Dateien, Zugriffskontrollen von Netzwerk-Management-Diensten (SNMP) und eine „Nur-Lesen“-Funktion für Konfigurationsinformationen wie den Gerätenamen. Parallel wird an der Ausarbeitung der weiteren Security-Klassen gearbeitet. „Wir stellen somit sicher, dass Profinet für die Anforderungen von Industrie 4.0 gewappnet ist und als zukunftsorientierte Plattform für das IIoT dienen kann“, folgert Karsten Schneider.

SPS 2019: Halle 5, Stand 210