Profinet setzt auf neue Cyber-Standards

Zur Sicherstellung der Cyber-Sicherheit in der EU wurden mehrere rechtliche Rahmenbedingungen geschaffen. Industrielle Kommunikationsprotokolle wie Profinet verbessern ihre Sicherheitsmaßnahmen ebenfalls.

Die NIS2-Richtlinie zielt auf die Betreiber ab. Dabei handelt es sich um eine EU-Verordnung, die für ein hohes gemeinsames Niveau der Cyber-Sicherheit in allen Mitgliedstaaten sorgen soll. NIS2 definiert koordinierte Sicherheitsmaßnahmen, ein Risikomanagement sowie die Meldung von Vorfällen. Die Richtlinie dient der Optimierung der allgemeinen Aktivitäten zur Cyber-Sicherheit der in der EU ansässigen Unternehmen. Der Cyber Resilience Act (CRA) richtet sich an die Hersteller. Sie müssen die Cyber-Sicherheit ihrer Produkte mit digitalen Elementen verbessern. Der CRA legt gemeinsame Standards zur Cyber-Sicherheit in der gesamten EU fest und verpflichtet die Hersteller, für die Sicherheit ihrer Produkte während deren kompletten Lebenszyklus zu sorgen. Die Verordnung schreibt grundlegende Anforderungen an das Design, die Entwicklung und die Fertigung der Produkte sowie Verpflichtungen für den Umgang mit Schwachstellen vor. Aus Sicht der Maschinenbauer ist die EU-Maschinenverordnung (2023/1230) zu erfüllen. Die MVO betont die Bedeutung der Sicherheit bei der Konstruktion und dem Bau von Maschinen. Betroffene Unternehmen müssen sicherstellen, dass ihre Maschinen während des gesamten Lebenszyklus vor Cyber-Bedrohungen geschützt sind. Berücksichtigt werden sowohl die funktionale als auch die Cyber-Sicherheit.

Segmentierung in Netzwerken

Zur Umsetzung der gesetzlichen Anforderungen ist es unerlässlich, dass das Profinet-Protokoll seine Sicherheitsmaßnahmen ebenfalls optimiert. Die Spezifikationsarbeiten für Profinet Security wurden bereits vor einigen Jahren gestartet und liegen in der Profinet-Spezifikation vor. Die aktuelle Version 2.4 MU 6 wird im zweiten Quartal 2025 veröffentlicht.

Aufgrund der steigenden Integration von IT-Funktionen und Sicherheitsmerkmalen in Feldgeräte erweist sich die Sicherheit der Daten und deren Kommunikation als komplexer und wichtiger. Die Integrität und Authentizität der Datenübertragung müssen geschützt werden, damit es nicht zu Cyber-Angriffen kommt. Im Umfeld der Profinet-Technologie stellen segmentierte Netzwerkarchitekturen gemäß dem Perdue-Modell den Stand der Technik dar. Sie bestehen grundsätzlich aus einer Trennung der IT von der OT sowie einer zusätzlichen Unterteilung der Maschine oder einer Produktionslinie. Die Segmentierung der Zonen lässt sich durch die physikalische Trennung der Schnittstellen sowie den Einsatz von Firewalls, VPN-Protokollen (Virtual Private Network) und virtuellen LANs (VLAN) erreichen. Zur einfacheren Handhabung werden die Level häufig zusammengefasst.

Die Level 5 und 4 umfassen die IT-Systeme des Unternehmens sowie die Systeme für die Fertigungsplanung und Logistik. Die Untergliederung des Netzwerks erfolgt durch Firewalls, sichere Gateways und VLANs. So lässt sich der Zugriff auf sensible Daten kontrollieren. Auf dem Level 3 und 2 befinden sich die Steuerungs-, SCADA- und spezifischen Prozesssteuerungssysteme. Die Segmentierung geschieht durch Firewalls und Profinet-Technologien, die VLAN-Priorisierung gemäß IEEE 802.1Q sowie eine Überwachung durch ein Intrusion Detection System (IDS). Die Level 1 und 0 betreffen die Maschine oder eine Produktionslinie. Dort sind die direkten Steuerungssysteme, Feldgeräte und die physischen Komponenten der Fertigungsprozesse installiert. Zur Untergliederung kommen eine physische Trennung, sichere Kommunikationsprotokolle und robuste Sicherheitsmechanismen zur Anwendung.

Das Purdue-Modell bietet eine strukturierte Methode zur Segmentierung von Profinet-Netzwerken. Dazu wird das Netzwerk in verschiedene Ebenen unterteilt, die jeweils spezielle Sicherheitsmaßnahmen erfordern. Durch die Nutzung des Modells können Unternehmen ihre Netzwerke effizienter und sicherer gestalten, indem sie klare Abgrenzungen und Schutzmaßnahmen implementieren. Das Konzept wird zukünftig durch die Profinet-Security-Funktionen in den Leveln 3, 2 und 1 erweitert. Je nach Komplexität der Sensorik und Aktorik kann auch Level 0 einbezogen werden.

Die Profinet-Security-Spezifikation definiert drei Sicherheitsklassen. Zur Steigerung der Sicherheit von Profinet-Netzwerken stellen Klassen unterschiedliche Schutzmaßnahmen zur Verfügung. Jede Klasse beinhaltet spezifische Sicherheitsfunktionen, die aufeinander aufbauen und so für einen umfassenden Schutz sorgen.

Erhöhung der Robustheit

Die Security-Klasse 1 konzentriert sich auf die Robustheit. Das wird durch grundlegende Sicherheitsverbesserungen mit moderatem Implementierungsaufwand erreicht. DCP-Befehle werden z. B: auf „Read-Only“ gesetzt und GSD-Dateien durch digitale Signaturen geschützt. SNMP Community Strings kontrollieren den Zugriff auf die Netzwerkgeräte. Digitale Signaturen sichern die Integrität der Gerätebeschreibungen. Im Rahmen des neu festgelegten Formats GSDX können Hersteller ihre Gerätebeschreibungen bei der Nutzerorganisation Profibus & Profinet International (PI) signieren lassen oder dort ein Tooling zur Erstellung eigener Signaturen erhalten. Engineering-Tools prüfen die Signatur beim Import der GSDX-Dateien, melden fehlerhafte Dateien oder verweigern den Import. Das Aktivieren von DCP „Read-Only“ verhindert auf der Kommunikationsebene, dass Geräteparameter – wie deren Name oder die IP-Adresse – während des Betriebs verändert werden. Das erhöht die Zuverlässigkeit des Netzwerks. Profinet-Netzwerke müssen jedoch weiterhin strikt segmentiert werden, um den Security-Anforderungen zu genügen.

Schützt Integrität und Authentizität

Die Security-Klasse 2 erweitert die Maßnahmen der Klasse 1 um zusätzliche Sicherheitsfunktionen zum Schutz der Integrität und Authentizität der Geräte und Kommunikationsbeziehungen. Konfigurationsdateien werden verschlüsselt und authentifiziert, Echtzeitdaten durch kryptografische Mechanismen geschützt sowie Alarmdaten authentifiziert und integritätsgesichert. Klasse 2 wird die meisten Profinet-Anwendungen abdecken. Denn sie erzielt einen Kompromiss aus Security und Performance, Daten lassen sich nicht verändern, aber unter Umständen mitlesen. Unautorisierte Geräte im Netzwerk werden sofort erkannt und vom Netzwerk ausgeschlossen.

Zusätzlicher Schutz der Vertraulichkeit

Klasse 3 umfasst alle Funktionen der Klassen 1 und 2. Hinzu kommen weitere Maßnahmen zum Schutz der Vertraulichkeit sämtlicher Dienste und der zyklischen IO-Daten. Konfigurationsdaten werden vollständig verschlüsselt und geschützt, Echtzeitdaten zur Sicherstellung der Vertraulichkeit codiert und Alarmdaten vor unautorisierten Zugriffen abgesichert. Die Security-Klasse 3 wird voraussichtlich nur in High-End-Anwendungen mit höchsten Sicherheitsanforderungen verwendet, beispielsweise bei der Übertragung geheimer Rezepte oder Daten. Aufgrund der Verschlüsselung bedingt sie eine höhere Performance der Geräte.

Insbesondere die Security-Klassen 2 und 3 erhöhen die Sicherheit von Profinet-Netzwerken. Sie ermöglichen neue IoT-Netzwerkarchitekturen, weil die Verbindung zwischen Controller und Device jetzt geschützt ist. Eine strikte Segmentierung oder organisatorische Maßnahmen sind nicht mehr notwendig.

Umfassende Schutzmaßnahmen

Die Implementierung von Profinet Security definiert Maßnahmen, um für die Sicherheit von Profinet-Geräten und -Netzwerken zu sorgen. Digitale Identitäten, Zertifikate und sicherer Verbindungsaufbau: Profinet-Controller und -Device verfügen über digitale Identitäten, die durch digitale Zertifikate gesichert sind. Die Zertifikate dienen der Authentifizierung von Geräten sowie dem Schutz der Integrität der Kommunikation. Hierfür wird im Netzwerk eine Implementierung von Zertifikats-Managementsystemen benötigt. Der Verbindungsaufbau erfolgt über asymmetrische Kryptografie (EAP-TLS) zur Initiierung von sicheren Verbindungen zwischen Controllern und Devices. So wird sichergestellt, da ss lediglich autorisierte Geräte miteinander Daten austauschen können.

Signierte Protokolle, symmetrische Schlüssel, Schlüsseltausch zur Laufzeit: Digitale Signaturen finden Anwendung, damit sie die Integrität und Authentizität des Profinet-Protokolls schützen. Symmetrische Verschlüsselungs-Algorithmen sichern die Echtzeitkommunikation ab. Dazu gehört die Implementierung von Schlüssel-Managementsystemen zur sicheren Verteilung und Verwaltung von symmetrischen Schlüsseln. Die Schlüssel werden zur Laufzeit dynamisch in Echtzeit ausgetauscht, sodass eine kontinuierliche Authentifizierung gegeben ist.

Auditierbare Events: Zur Erfassung, Protokollierung und Analyse von sicherheitsrelevanten Ereignissen ist die Implementierung von Logging-Systemen erforderlich. Die Auswertung von Sicherheitsereignissen zwischen Controller und Device muss sichergestellt werden.

Implementierung von Profinet Security

Die Implementierung von Profinet Security umfasst die Ausstattung von Geräten mit digitalen Identitäten und den sicheren Verbindungsaufbau durch ein Protokoll. Es wird durch die Nutzung von asymmetrischer Kryptografie, die Verschlüsselung der Kommunikation sowie den Schutz der Gerätedateien durch digitale Signaturen ergänzt. Mit den beschriebenen Maßnahmen werden eine sichere Application Relation (AR) und Communication Relation (CR) aufgebaut. Zunächst kommen digitale Identitäten und Zertifikate zum Einsatz, um Geräte eindeutig zu authentifizieren und die Integrität der Kommunikation sicherzustellen. Ein Protokoll, das asymmetrische Kryptografie verwendet, ermöglicht den sicheren Verbindungsaufbau. Nur autorisierte Geräte können Daten miteinander austauschen. Symmetrische Verschlüsselungs-Algorithmen sorgen für eine sichere Echtzeitkommunikation,

indem sie die Daten zwischen den Geräten verschlüsseln. Digitale Signaturen schützen die Integrität und Authentizität von Gerätedateien und Kommunikationsprotokollen. Schließlich tragen Mechanismen für den dynamischen Zertifikatsaustausch und das Logging sicherheitsrelevanter Ereignisse zu einem hohen Security Level bei.

Aktive Mitarbeit

Profinet Security erweist sich für die Cyber-Sicherheit von Anlagen und Maschinen als entscheidend. Mit der zunehmenden Digitalisierung und Vernetzung von Produktionsanlagen steigt das Risiko von Cyber-Angriffen. Die schrittweise Implementierung von Sicherheitsklassen und die enge Zusammenarbeit mit Herstellern, Systemintegratoren sowie Maschinen- und Anlagenbauern in der Profibus & Profinet International (PI) sowie den Verbänden sorgen für eine verlässliche digitale Transformation. Zur Umsetzung von Digitalisierungsprojekten müssen Daten sicher erfasst werden. Nur so lassen sich Fertigungsprozesse optimieren sowie die physische und digitale Welt abgleichen.

Phoenix Contact ist seit vielen Jahren Mitglied der PI und arbeitet aktiv an der Definition und Realisierung von Profinet Security mit. Als Kern seiner 360°-Security-Strategie beschäftigt sich das Unternehmen seit langem mit der internationalen Norm IEC 62443. Für die gemäß der Norm zertifizierte Steuerungstechnik PLCnext Control befindet sich Profinet Security in der Umsetzung.

Zur Erfüllung der kommenden EU-Gesetzgebung MVO, NIS2 und CRA sind schon heute gute Lösungen erhältlich, die auf der Profinet-Security-Klasse 1 und segmentierten Netzwerken basieren. Der Markt wird allerdings schnell flexiblere IoT-Netzwerkstrukturen und eine bessere Datenabsicherung in den Segmenten fordern. Das können lediglich Klasse-2- oder Klasse-3-Implementierungen bieten. Damit die entsprechenden Geräte im Ökosystem der Profinet Security zur Verfügung stehen, müssen sich die Hersteller jetzt zeitnah an der Implementierung und den anstehenden Technologie-Plug-Festen beteiligen.

Autor: Boris Waldeck, Phoenix Contact, Bad Pyrmont

Bilder: Phoenix Contact GmbH & Co. KG