IT-Sicherheitskonzept für Profinet erweitert
17.09.2020 - PI hat sein IT-Sicherheitskonzept ergänzt. Das IT-Sicherheitskonzept für Profinet geht von einem Defense-in-Depth-Ansatz aus.
Dabei wird die Produktionsanlage durch einen mehrstufigen Perimeter (u. a. Firewalls) gegen Angriffe, insbesondere von außen, geschützt. Darüber hinaus ist innerhalb der Anlage eine weitere Absicherung durch Unterteilung in Zonen unter Einsatz von Firewalls möglich. Zusätzlich wird durch einen Security-Komponententest die Festigkeit der Komponenten gegen Überlastung in einem definierten Umfang sichergestellt. Dieses Konzept wird durch organisatorische Maßnahmen in der Produktionsanlage im Rahmen eines Security-Management-Systems unterstützt.
Allerdings ist Security ein Thema, das permanent an die aktuelle Entwicklung angepasst werden muss und daher nie abgeschlossen ist. Dies gilt insbesondere vor dem Hintergrund der zunehmenden Vernetzung von Produktionsanlagen. So sorgt der Einsatz von Profinet-Komponenten mit Mehrwert, also z. B. Web- oder OPC-Kommunikation, für eine vermehrte, direkte Kommunikation mit übergeordneten Systemen außerhalb der Sicherheitszone. Gleichzeitig wird eine Trennung von Profinet-Netzwerken immer schwieriger.
Außerdem werden die Netzwerke größer, so dass immer mehr Komponenten zu einem Netzwerk verbunden werden und miteinander interagieren. Ein erfolgreicher Angriff auf ein einzelnes (PC-) System innerhalb einer solchen Zelle umgeht daher Vorab-Schutzmaßnahmen. Auch behindern weit verteilte Anlagen den physischen Schutz von Netzwerken und Zugangspunkten. Dadurch können unbefugte Personen Zugang zum Netzwerk erhalten.
Aus diesem Grund müssen bisherige Konzepte, die in der Hauptsache auf eine Abschottung der Produktionsanlagen setzen, durch neue Konzepte, die einen Schutz innerhalb der Zelle ermöglichen, ergänzt werden. PI hat daher die bisherigen Maßnahmen durch weitergehende Schutzmaßnahmen erweitert. Dazu gehören ein Credential Management, z. B. für eine Authentifizierung der Geräte, und eine End-to-End-Security-Erweiterung für die PROFINET-Kommunikation als Konfigurationsoption. Da nicht jede Anwendung die gleichen Sicherheitsanforderungen stellt, wurden bei PROFINET drei Sicherheitsklassen definiert.
Weitere technische Details und Praxisbeispiele finden sich im Industrie 4.0 Highlight „Security“. Diese Kampagne auf der PI-Webseite greift aktuelle Themen, Fragestellungen und Trends aus Industrie 4.0-Anwendungen auf, damit der Anwender diese leicht in die Praxis umsetzen und realisieren kann.