IEC 62443 als Grundlage der offenen Steuerungsplattform PLCnext Technology

Bild 1: In Teil 4-2 der IEC 62443 werden Security Level (SL) von 0 bis 4 festgelegt. Phoenix Contact

Bild 2: Beispiel eines Blueprint (Teilnetzwerke): Anhand einer Bedrohungs-/Risikoanalyse wird der Schutzbedarf ermittelt. Phoenix Contact

Bild 3: Zentrales Benutzermanagement mit individueller Rechtevergabe Phoenix Contact

Bild 4: Ein zentrales Patch- und Device-Management unterstützt beim Konfigurieren, Ausrollen und Verwalten von Geräten. Phoenix Contact

Bild 5: Die offene Steuerungsplattform PLCnext Technology unterstützt Security-Ziele. Phoenix Contact

Der weltweite Security-Standard IEC 62443 zielt auf eine ganzheitliche Betrachtung der Cybersicherheit in der Automatisierungstechnik ab. Zu diesem Zweck beschreibt er drei Rollen (Betreiber, Integrator und Komponentenhersteller) und definiert die erforderlichen Maßnahmen. Für alle Rollen erweist sich Security-by-Design als wesentliche Rahmenbedingung. Die Normenreihe IEC 62443 besteht aus dreizehn Teilen, in denen für jede Rolle die Security-Anforderungen an Prozesse, die funktionalen Maßnahmen sowie den Stand der Technik festgeschrieben sind. Die für die PLCnext Technology wichtigen Teile sind:

• IEC 62443 Teil 4-1 – Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung industrieller Automatisierungssysteme (Edition 1.0 2018-01)
• IEC 62443 Teil 4-2 – Technische IT-Sicherheitsanforderungen an Komponenten von Automatisierungssystemen (Edition 1.0 2019-02)
• IEC 62443 Teil 3-3 – Systemanforderungen zur IT-Sicherheit und Security Level an industrielle Automatisierungssysteme (Edition 1.0 2013-08)
• IEC 62443 Teil 2-4 – Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme (Edition 1.0 2017-08).

Bei der Entwicklung von Automatisierungsgeräten lässt sich deren Funktion nur durch Security-by-Design absichern. Ist die Grundlage gelegt, subsumiert sich die Security der einzelnen in der IEC 62443 definierten Integrationsphasen zu einer Secure-by-Design-Lösung, die sich für zahlreiche Anwendungsfälle eignet.

Sicherer Entwicklungsprozess

In der IEC 62443-4-1 wird der sichere Produktentwicklungsprozess beschrieben. Das zentrale Element ist ein Ablauf, mit dem sicher nachvollzogen werden kann, dass sämtliche Security-Anforderungen implementiert und überprüft worden sind. Er wird durch zusätzliche Eigenschaften zur Realisierung der Security vervollständigt. Exemplarisch gehören dazu eine Bedrohungsanalyse auf Basis des Security-Kontextes (den Einsatzszenarien des Produkts), das Konzept der „Defense in Depth“ sowie die Maßnahmen zum Schutz der privaten Schlüssel. Alle Ansätze sind notwendig, damit ein Produkt dem Secure-by-Design-Anspruch genügt. Als weiterer wesentlicher Aspekt kommt die Fähigkeit hinzu, dass der Gerätehersteller auf Security-Schwachstellen angemessen reagiert und verlässlich Security-Updates veröffentlicht. Diese Anforderungen werden heute in der Regel durch ein Product Security Incident Response Team (PSIRT) ausgeführt.

Die IEC 62443-4-2 legt die technischen Rahmenbedingungen fest. Anhand von Security-Bedrohungen werden Security Level (SL) von 0 bis 4 determiniert, die auf die Fähigkeiten des Angreifers abgestimmt sind (Bild 1). Die Norm definiert sieben grundlegende Anforderungen (Foundational Requirements, FR):

• FR1 IAC – Identifizierung und Authentifizierung
• FR2 UC – Nutzungskontrolle
• FR3 SI – Systemintegrität
• FR4 DC – Vertraulichkeit der Daten
• FR5 RDF – eingeschränkter Datenfluss
• FR6 TRE – rechtzeitige Reaktion auf Ereignisse
• FR7 RA – Verfügbarkeit der Ressourcen.

Die Umsetzung dieser Voraussetzungen muss nach dem in Teil 4-1 festgeschriebenen sicheren Entwicklungsprozess erfolgen.

Umsetzung eines sicheren Architekturdesigns

Bei der Konzeption der PLCnext Technology von Phoenix Contact als offene Steuerungsplattform war Security-by-Design eine wichtige Rahmenbedingung des Architekturdesigns. Daraus ergaben sich unter anderem folgende Maßnahmen:

• Verwendung von Trusted Platform Modules (TPM) als Hardwareschutz für die privaten Herstellerschlüssel
• Nutzung eines konfigurierbaren Linux-Kerns, der gezielt im Hinblick auf die Security abgesichert und gewartet werden kann.
• Authentisierung und Autorisierung von menschlichen Nutzern und Softwareprozessen auf allen Kommunikationskanälen
• Implementierung eines Crypto Stores für Zertifikate, Schlüssel und Identitäten von Systemintegratoren und Betreibern
• Verwendung und Konfiguration der VPN-Kommunikationen (Virtual Private Network)
• Unterstützung der OPC-UA-Schnittstelle mit Security-Profilen, einem UA-Rollen- und Rechtesystem, x.509-Zertifikaten sowie einer Schnittstelle zum Global Discovery Server zwecks Zertifikatsverteilung
• programmierbare TLS-Kommunikation (Transport Layer Security) für anwendungsspezifische Lösungen, beispielsweise als Funktionsbausteine gemäß IEC 61131 oder Hochsprachen-Schnittstelle
• Einsatz und Konfiguration der Linux-Firewall
• Nutzung und Konfiguration der Logging-Mechanismen mit einer synchronisierten Zeitbasis
• Device-Management-Schnittstelle für das Update von Firmware-Komponenten

Bewertung der realisierten Security-Maßnahmen

Der Systemintegrator nimmt in der IEC 62443 eine wesentliche Rolle ein. Gemeinsam mit dem Betreiber ermittelt er den Schutzbedarf und wählt die geeigneten Komponenten für die Systemlösung aus. Dazu definiert die Norm für jede Rolle Security Level:

• Capability SL (SL-C) – erreichbarer SL für Komponenten und Systeme
• Achieved SL (SL-A) – erreichter SL für die Automatisierungslösung
• Target SL (SL-T) – zu erreichender SL für die Automatisierungslösung als Anforderung des Betreibers

Nach dem Aufbau der Lösung wird deren Tauglichkeit in Zusammenarbeit mit dem Betreiber anhand des geforderten Security Level (SL-A/SL-T) verifiziert und bei Bedarf durch zusätzliche Maßnahmen ergänzt. Zur Vereinfachung dieses Verfahrens empfiehlt es sich für Gerätehersteller und Systemintegratoren, branchenspezifische Blueprints (Referenzsysteme) vorzubereiten, die bei Bedarf den Betreiberanforderungen angepasst werden können. So lässt sich auch im Vorfeld ein Portfolio von Geräten oder Teilnetzwerken mit SL-C/SL-A für unterschiedliche Anwendungsfälle zusammenstellen (Bild 2).

Die Vorgehensweisen werden in der Norm in zwei Teilen beschrieben. Teil 3-3 skizziert und bewertet die unterstützten Security-Maßnahmen und Level an der Schnittstelle zwischen Systemintegrator und Produkthersteller. Auf dieser Grundlage werden die zum Erreichen des SL-T erforderlichen Geräte ausgesucht. Teil 2-4 legt die Prozesse bei der Integration, Inbetriebnahme und Wartung der Automatisierungslösung fest.

Unterstützung systemischer Anforderungen

Es reicht nicht aus, wenn die Geräte nur die Security-Anforderungen erfüllen. Sie müssen ebenfalls systemisch zusammenarbeiten, damit die Lösung einfach konfigurier- und wartbar ist. Aus der systemischen Sicht ergeben sich weitere Anforderungen und Schnittstellen:

• Netzwerkarchitektur der Automatisierungslösung
• Konfiguration der Automatisierungslösung
• Verwaltung von Nutzerkonten und Zertifikaten
• Verwaltung der Firewall-Einstellungen
• Behandlung von Ergebnissen
• Device- und Patch-Management
• Fernwartung

Die PLCnext Technology unterstützt diese Rahmenbedingungen durch:

• Netzwerksegmentierung – Der Datenaustausch zwischen verschiedenen internen Anlagenteilen (Zonen) kann konfiguriert werden.
• Verschlüsselte Datenübertragung – Die eingehende und ausgehende Kommunikation lässt sich durch VPN verschlüsseln, zum Beispiel per IP sec oder Open VPN.
• Einbindung in zentrale Benutzerverwaltungen – Durch eine netzwerkweite Konfiguration der Nutzer kann jedem Mitarbeiter ein individueller Zugang zugewiesen und verwaltet werden (Bild 3).
• Integration in ein Device- und Patch-Management – Für die Verwaltung mehrerer Geräte in der Automatisierungslösung wird ein intelligentes und effizientes Device- und Patch-Management als Lösung oder Schnittstelle zur Verfügung gestellt. Es ermöglicht die zentrale Erstellung und Administration aller sicherheitsrelevanter Geräteeinstellungen und unterstützt bei Firmware-Upgrades (Bild 4).
• sicherer Fernzugriff – Zur Fernwartung von Maschinen über unsichere Netzwerke ist der Einsatz von zusätzlichen Security Appliances (beispielsweise dem FL mGuard) sinnvoll. Als wichtig erweist sich hierbei, dass die Konfigurationen der Geräte aufeinander abgestimmt sind.

Fazit

Für eine Security-by-Design-Lösung nach IEC 62443 reicht es nicht aus, bestehende Geräte um Security-Funktionen zu erweitern. Von den Entwicklungsprozessen über die Gerätefunktion bis zur Lösung muss die Security von Anfang an berücksichtigt werden. Es empfiehlt sich schon heute, beim Design von Lösungen soweit wie möglich entsprechende Geräte zu verwenden. Diese Lösungen werden mit sicheren Netzwerkzonen-Konzepten abgesichert. Eine für die Flexibilisierung der Automation notwendige weitere Öffnung der Zonen kann Schritt für Schritt mit den jeweiligen Geräten erfolgen. Die PLCnext Technology eröffnet bereits neue Möglichkeiten dazu.

(neu)