"Security-Ziele lassen sich nicht alleine durch Geräteeigenschaften realisieren." Prof. Dr. Frithjof Klasen

„Security-Ziele lassen sich nicht alleine durch Geräteeigenschaften realisieren.“ Prof. Dr. Frithjof KlasenRedaktion IEE/Heiko Stahl

Snowden, NSA, Passwort-Diebstähle – Hat die Industrie mehr Angst vor Sabotage oder vor Datenklau?

In der Automatisierungstechnik spielt das Thema Datenklau eine untergeordnete Rolle. Es mag in bestimmten Industriebranchen relevant und wichtig sein, aber das Hauptthema, mit dem wir uns auseinandersetzen müssen, ist die Datenintegrität – also zum Beispiel Manipulationen verhindern. Grundsätzlich sprechen wir in der Security von drei Hauptzielen: Das sind Verfügbarkeit, Integrität und Vertraulichkeit. Diese gelten überall, sowohl in der Office-IT als auch in der Automatisierungstechnik – nur mit unterschiedlicher Priorität. Verfügbarkeit und Integrität sind die beiden Themen, die wir innerhalb der PNO im Vordergrund sehen. Wichtig ist, dass wir gewährleisten, dass die Teilnehmer miteinander sprechen, die miteinander sprechen sollen, dass die Daten unverändert ausgetauscht werden, die ausgetauscht werden sollen, und dass es durch Belastungen oder Störungen nicht zu einer Verfälschung von Informationen kommt.

Wie wollen Sie die Verfügbarkeit sicherstellen?

Security-Ziele lassen sich nicht alleine durch Geräteeigenschaften realisieren. Sicherheit ist immer eine Systemeigenschaft. Es geht also darum, wie diese Komponenten miteinander arbeiten. Aber man darf auch nicht vergessen, dass Security nicht allein durch Technologien realisiert werden kann, sondern es gehören auch Organisation und Prozesse dazu. Und das ist mindestens eine ebenso große Herausforderung wie die Handhabung der Technologie.

Wir unterstützen die Anwender genau darin mit der neuen Profinet Security Richtlinie. Sie hilft, die unterschiedlichen Security-Aspekte zu erfassen, die Randbedingungen für einen sicheren Betrieb zu verstehen und die Entscheidungsfindung für die richtige Security-Lösung auch von der Management-Seite her zu betrachten. Und auch zu berücksichtigen, dass es letztlich wirtschaftliche Aspekte sind, um die es bei der Auswahl von Security-­Lösungen geht.

"Wenn wir über Security sprechen, heißt das nicht, dass wir nur von gezielten Angriffen ausgehen." Prof. Dr. Frithjof Klasen

„Wenn wir über Security sprechen, heißt das nicht, dass wir nur von gezielten Angriffen ausgehen.“ Prof. Dr. Frithjof KlasenRedaktion IEE/Heiko Stahl

Security fängt aber erst einmal beim Gerät an. Sie unterziehen Geräten einem Netzlasttest. Warum?

Offiziell heißt dieser Test Security Level 1 Tester. Der Name deutet an, dass es um ein bestimmtes ­Level in der Security geht, nämlich um das Thema Robustheit. Letztlich wird damit zum einen das Thema Verfügbarkeit adressiert, zum anderen aber auch das Thema Integrität. Die verschiedenen Netzlastszenarien, die abgebildet werden, beinhalten auch ­Elemente, die bewusst oder unbewusst in Anlagen auftreten können.

Denn wenn wir über Security sprechen, heißt das nicht, dass wir nur von gezielten Angriffen ausgehen, sondern auch von möglicherweise unbewusst ausgelösten Ereignissen oder Angriffen, die zu einem Verlust der Verfügbarkeit und damit beispielsweise zum Anlagenstillstand führen.

Und wie arbeitet der Netzlasttester?

Das zu testende Gerät kommuniziert in einem normalen Profinet-Verbund. Durch den Netzlasttester wird dann zusätzlicher Datenverkehr erzeugt. Dazu wurden verschiedene Lastszenarien entwickelt, die unter anderem verschiedene Telegrammtypen und -größen sowie die Wiederholdauer und die Anzahl der Telegramme pro Zeile berücksichtigen. Das Ziel dieser Prüfung ist nachzuweisen, dass die Kommunikation und Funktion des ­Geräts durch die verschiedenen Lastszenarien nicht gestört wird. Es wird also geprüft, ob es unter allen Umständen seinen erwarteten Betrieb aufrecht erhält.

"Größere Endanwender haben die Durchführung des Tests seit längerem von ihren Geräteherstellern gefordert." Prof. Dr. Frithjof Klasen

„Größere Endanwender haben die Durchführung des Tests seit längerem von ihren Geräteherstellern gefordert.“ Prof. Dr. Frithjof KlasenRedaktion IEE/Heiko Stahl

Was ist denn ein Beispiel für eine unbeabsichtigte Netzlast?

Für Geräte mit begrenzten Ressourcen – das sind nicht nur Profinet-Geräte – sind grundsätzlich die sogenannten Multicasts oder Broadcasts eine große Herausforderung. Das sind vom Engineering-System oder auch von Con­trollern ins Netz gesendete Pakete, die sich über das ganze Netz verteilen. Sie erreichen jeden Teilnehmer und jeder Teilnehmer muss bewerten, ob die Kommunikationsanfrage für ihn bestimmt ist oder nicht. Das sind typische Lastcharakteristiken, die in ganz bestimmten Situationen bei Profinet auch durchaus als Bursts auftreten, zum Beispiel beim Hochlauf der Anlage. Oder auch für den Fall, dass ein Teil der Anlage abkoppelt wird. Was passiert dann? Der Controller wird dann nach diesen Teilnehmern suchen und schickt ständig Anfragen ins Netz.

Also ist so ein Fall wahrscheinlicher als eine Denial-of-Service-­Attacke?

Ja, absolut richtig. Das ist sogar ein vorgesehenes Verhalten von Profinet. Der Test berücksichtigt auch Denial-of-Service-Elemente. Aber die eigentliche Zielsetzung ist es, zunächst die Fälle abzudecken, die typischerweise auftreten können.

Müssen sich alle Geräte mit einer Profinet-Schnittstelle diesem Test unterziehen?

Der Test ist mittlerweile schon seit 2011 im Rahmen der Zertifizierung verfügbar. Aber seit Mai ist er für alle Profinet-Geräte, die nach der Spezifikation 2.3 realisiert und zertifiziert werden, verbindlich. All diese Geräte müssen den Security Level 1 Test bestehen.

"Es müssen auch entsprechende Prozesse etabliert werden." Prof. Dr. Frithjof Klasen

„Es müssen auch entsprechende Prozesse etabliert werden.“ Prof. Dr. Frithjof KlasenRedaktion IEE/Heiko Stahl

Wie gut vorbereitet sind die Hersteller auf den jetzt verbindlichen Netzlasttest?

Über die letzten zwei Jahre haben die Zertifizierungslabore zunehmen Anfragen zur Durchführung des Tests erhalten. Viele Hersteller haben ihre Produkte auch selbst vorgetestet. Der Bedarf hierfür entstand vor allem durch die starke Nachfrage. Natürlich wurde der Test bisher noch nicht von allen Herstellern genutzt. Aber die größeren Endanwender, wie die Automobilindustrie, haben die Durchführung des Test zur Freigabe der Produkte schon seit längerem von ihren Geräteherstellern gefordert. Es liegen daher inzwischen umfangreiche Erfahrungen mit dem Tester vor. Damit wurde die Testabdeckung verbesser und diese soll auch zukünftig weiter verbessert werden. Auf einer Sitzung der Security Working Group haben wir vergangene Woche erst wieder diskutiert, welche weiteren Test-Cases oder Verbesserungen berücksichtigt werden sollen.

Was wäre denn der nächste Schritt, um die Geräte noch einen Tick sicherer zu machen?

Im Bereich Netzlast gibt es auf jeden Fall weitere Test-Cases, die wir berücksichtigen wollen, zum Beispiel zu Konstellationen, die mit speziellen Topologien zusammenhängen. Ziel ist es, mit diesem Test alle Anforderungen bezüglich Robustheit abzudecken.

100 % Testabdeckung zu erreichen, ist ein hehres Ziel.

Rein praktisch gesehen ist das natürlich gar nicht möglich. Aber es ist unser Ziel, eine bestmögliche Testabdeckung zu erreichen, um die in der Realität auftretenden Lastfälle im Vorfeld sicher prüfen zu können. Die Anwender sollen die Sicherheit haben, dass ein zertifiziertes Gerät keine Probleme verursachen wird.

"Offene Kommunikation bedeutet aber nicht, dass jeder mit jedem unkontrolliert kommunizieren kann." Prof. Dr. Frithjof Klasen

„Offene Kommunikation bedeutet aber nicht, dass jeder mit jedem unkontrolliert kommunizieren kann.“ Prof. Dr. Frithjof Klasen Redaktion IEE/Heiko Stahl

Ist Verschlüsselung kein Thema?

Es hat für uns keine Priorität, weil es für den Anwendungs­bereich von Profinet kein Security-Ziel ist. Wir nutzen bei Profinet primär die Layer-2-Kommunikation, also keine IP-basierte Kommunikation für den Austausch der Prozesssignale. Die Kommunikation ist also auf einen lokalen Bereich begrenzt und die Prozesssignale selbst sind nicht vertraulich. Eine Verschlüsselung der Prozesssignale würde auch die Diagnose erschweren.

Was wäre dann ein Thema?

Die Integritätssicherung. Also sicherzustellen, dass Daten und Systeme nicht manipuliert werden können und dass zum Beispiel nur die Geräte miteinander kommunizieren, die auch miteinander kommunizieren sollen.

Dass Gerät A auf jeden Fall mit Gerät B redet und nicht mit Gerät F.

Genau. Es ist eine wichtige Aufgabe Integrität sicherzustellen. Also zu gewährleisten, dass ein I/O-Modul, das einer bestimmten Fertigungszelle zugeordnet ist, auch mit dem entsprechenden Controller spricht und nicht mit dem Controller von der Nachbarzelle. Bei allen Konzepten und Lösungen müssen wir dabei im Auge behalten, dass Automatisierungskomponenten begrenzte Ressourcen haben und bei Änderungen in der Technologie die Migration nahtlos möglich sein muss.

Die Geräte dürfen aber nicht komplizierter werden.

Das ist ein wichtiger Punkt. Bei aller Diskussion um Security mpssen die Technologien und Systeme beherrschbar bleiben. In der Vergangenheit hatte das Thema Security in der Automatisierungstechnik eine untergeordnete Bedeutung. Heute schwingt das Pendel eher in die entgegen­gesetzte Richtung. Bei aller Relevanz darf man aber nicht den Fehler machen und Security-Eigenschaften nur um der Security Willen zu implementieren. Das geht dann sofort auf Kosten der Usability. Zukunftssichere Konzepte berücksichtigen daher die Usability-Anforderungen der Automatisierungstechnik.

"Wir müssen im Auge behalten, dass Automatisierungskomponenten begrenzte Ressourcen haben." Prof. Dr. Frithjof Klasen

„Wir müssen im Auge behalten, dass Automatisierungskomponenten begrenzte Ressourcen haben.“ Prof. Dr. Frithjof KlasenRedaktion IEE/Heiko Stahl

Wie sieht es mit der Echtzeitkommunikation aus? Wie wird erkannt, dass sie noch funktioniert?

In einem Profinet-System wird ständig geprüft, ob die Profinet-Kommunikation aufrecht erhalten wird. Und in dem Moment, wo das konfigurierte Echtzeitfenster nicht mehr eingehalten wird, melden die Geräte einen Verbindungsabbruch. Der Prüfmechanismus hierfür ist fester Bestandteil der Profinet-Technologie – eine der Vorteile von Profinet.

Damit kommen wir vom Gerät aufs System. Wie bekomme ich mein System sicherer?

Da greift die Security-Guideline, die den Anwender unterstützt Profinet-Systeme sicher zu konzipieren und zu betreiben. Sie zeigt zum einen die Management-Aspekte auf, die beim Einsatz von Ethernet in der Automatisierungstechnik zu berücksichtigen sind. Zum anderen zeigt sie, dass Security nicht nur ein Technologiethema ist, sondern dass auch entsprechende Prozesse etabliert werden müssen. Es werden aber genauso auch die einzelnen technischen Randbedingungen beschrieben, unter denen Profinet betrieben werden muss. Und es wird beschrieben, welche Lösungs­konzepte einsetzbar sind. Eines davon ist zum Beispiel das Zellenschutzkonzept.

Wir haben bei der Entwicklung der Guideline intensive Diskussionen gehabt und haben uns bewusst dafür entschieden, kein Patentrezept zu definieren. Denn das gibt es nicht. Natürlich gibt es auch Best Practices, die dargestellt werden. Wir verfolgen mit der Richtlinie aber den Ansatz, dass man zunächst die jeweiligen Rahmenbedingungen und Schutzziele definieren muss, um dann aus den möglichen Varianten entsprechen wirtschaftlich sinnvolle Lösungen auszuwählen. Das entspricht dem Vorgehen, wie es auch in der Richtlinie VDI 2182 vorgesehen ist.

Die Richtlinie spricht von Firewalls, von Segmentierungen – widerspricht das nicht der Vision der offen kommunizierenden Industrie 4.0 komplett?

Profinet hat eine offene Kommunikationsarchitektur und ist daher bestens als Plattform für die Industrie 4.0 geeignet. Offene Kommunikation bedeutet aber nicht, dass jeder mit jedem unkontrolliert kommunizieren kann. Was mit Industrie 4.0 stärker in den Vordergrund tritt ist, dass es Systeme geben wird, die nicht ständig eine feste Beziehung zu ihren Kommunikationspartnern haben – hier muss man sicherstellen, dass die Partner miteinander kommunizieren, die miteinander kommunizieren sollen. Die Autonomie und das dynamische An- und Abkoppeln von Geräten wird in der Indsutrie 4.0 als Paradigma vertreten. Aber die komplette Komplexität von Industrie 4.0 mit den heutigen Technologien abzubilden hat ganz klar seine Grenzen. Profinet steht für eine Technologie, die sich an den Anforderungen der Anwender orientiert und weiterentwickelt – auch unter dem Zeichen von Industrie 4.0.