Wer die vierte industrielle Revolution propagiert, sollte sich auch des Themas Cybersecurity mit höchster Priorität annehmen. Denn die mit Industrie 4.0 einhergehende Vernetzung untereinander und mit den IT-Netzwerken macht industrielle Steuerungssysteme verwundbar: Sowohl die Anzahl der angeschlossenen Geräte als auch die Verwaltungskomplexität der IT/OT-Konvergenz steigen deutlich. Zudem müssen die Functional-Safety und Cyber-Security von Anlagen über ihren kompletten Komponenten-Lebenszyklus hinweg gemanagt werden können, das heißt: mitunter über mehrere Dekaden.
Aus diesem Grund erlangt die IEC 62443 Norm (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme) zunehmende Bedeutung in der Branche. Dieser Standard definiert Verfahren zur Umsetzung der Sicherheitsrichtlinien in ICS und betrifft gleichermaßen Anwender, Systemintegratoren und Hersteller.
Eine umfassende Cybersecurity-Lösung beginnt demnach bereits mit der Auswahl der Hardwarekomponenten, der Firmware-Architektur und der Definition der Entwicklungsprozesse. Der Vorteil: Sicherheitsrisiken lassen sich frühzeitig erkennen und eliminieren.
Kaspersky Lab und BE.services in Kempten arbeiten eng zusammen, um dieser Cyber-Bedrohung zu begegnen. Kernkompetenz des bayerischen Unternehmens ist Embedded-Software für industrielle Steuerungssysteme mit Spezialisierung auf deren Kompatibilität zu Industrie 4.0 Ecosystemen. Darüber hinaus ist das Unternehmen Distributor und Integrator des secure Betriebssystems ‚Kaspersky OS‘ (KOS) sowie des Kaspersky Security System (KSS). Zudem steht mit KICS (Kaspersky Industrial Cyber Security) eine Plattform zur Verfügung, die Maschinen und Anlagen vor Zugriffen schützt. Speziell zum Schutz von Steuerungen haben die Unternehmen das ‚Embedded Security Shield‘ (ESS) entwickelt.
Security-Lösung für Codesys-Steuerungen
Als System-Partner von 3S (ebenfalls Kempten) integriert BE.services KSS auch auf Steuerungen mit einer Codesys-Runtime und schützt somit Anlagen und Maschinen vor möglichen Angriffen über die Codesys Gateway-Kommunikation oder über die Feldbus- beziehungsweise I/O-Ebene.
Das Embedded Security Shield (ESS) filtert alle Informationen und lässt ausschließlich vertrauenswürdige Befehle zu. Dazu wird das Laufzeitsystem der Steuerungen in zwei so genannte Secure Domains separiert. Eines der Laufzeitsysteme umfasst dann alle Kommunikationsmodule während der zweite Core die eigentliche Steuerungsapplikation ausführt. Die Interprozesskommunikation zwischen beiden Domänen erfolgt über das Kaspersky Security System, das Bestandteil des ESS ist. Das Security Shield kontrolliert alle über das Codesys Gateway eintreffenden Anfragen und blockiert bei einer Regelverletzung die entsprechenden Anfragen. Das Codesys-Gateway ist für den Online-Zugriff auf die SPS/OPC-Kommunikation, den Data-Server oder den PLC-Handler verantwortlich. Daher würde zum Beispiel ein Angriff auf einen OPC-Client unmittelbar auch das Herz einer jeden Anlage, die SPS, treffen und einen unbegrenzten Zugriff auf alle Daten ermöglichen, trotz einer bestehenden VPN-Kommunikation zwischen Client und Steuerung. Ebenso erkennt, blockiert und meldet das ESS Angriffe über die I/O- oder Feldbus-Ebene. Die Sicherheitsregeln lassen sich mit den Sicherheitstools von Kaspersky konfigurieren oder innerhalb der Codesys-Entwicklungsumgebung über das Plug-In ‚Security Editor‘.
Damit eine Codesys-basierte Steuerung auf einem sicheren Betriebssystem aufsetzen kann, wird das entsprechende Laufzeitsystems an das KOS angepasst. Das heißt, alle SPS-Hersteller können Geräte entwickeln, die mit Codesys unter KOS ebenso lauffähig sind wie unter Linux, Windows, VxWorks oder QNX
Dimitri Philippe
(sk)