OT-Security der Elektro-, Automatisierungs- und Prozesstechnik

Security ist vielfältig und entsprechend muss auch die Fort- und Weiterbildung in diesem Bereich sein. Auf was man als Experte gefasst sein muss und was einen erwartet weiß Security-Experte Erich Kronfuß von Phoenix Contact in Österreich.

Automatisierung begann einst mit festverdrahteten Steuerungen (VPS) über Relais und Kontakte von der Leit- bis zur Zellenebene. Der nächste Level der Automatisierung kam durch die Prozessortechnik mit Bussystemen/Feldbussystemen und speicherprogrammierbaren Steuerungen (SPS). Industrie-Feldbussysteme entstanden in den 1980er Jahren, arbeiten im sogenannten Master-Slave-Betrieb mit eigenen Topologien. In den späteren 1990er Jahren zogen immer mehr vernetzte PC Systeme in der Leittechnik ein. Um klassische IT-Infrastruktur auch bis auf Zellenebene nutzen zu können, forderten Anlagenbetreiber eine Vereinheitlichung. Steuerungshersteller wie Siemens, Phoenix Contact, Rockwell, Beckhoff und weitere entwickelten an Netzwerk Protokollen für echtzeitfähige Ethernet-basierte Feldbussysteme wie Profinet, Ethernet/IP oder EtherCat.

Die Überscheidungen mit IT-Netzwerken beziehen sich jedoch nur auf den Netzwerkzugang (Layer 1 und 2). Lediglich Ethernet-Kabel, Stecker, MAC-Adresse, EtherType ID sind Verfahren, die ebenfalls genutzt werden. Industrie Steuerungssysteme für Motion Control, also Bewegungsregelung, benötigen Echtzeit Netzwerkdienste für Feldbussysteme über die das klassisches Office TCP/IP Protokoll (Layer 3 und 4) nicht verfügt.

TSN- fähige (Time-Sensitive Networking) Switches umgehen künftig dieses Manko. OPC UA sowie auch Profinet können durch Hardware-Priorisierung und -Synchronisierung von TCP/IP-Paketen eine Echtzeitfähigkeit nutzen.

Industrie Netzwerke werden von Elektrotechnikern und Mechatronikern entwickelt und betrieben.

Betreiber und Entwickler von Automatisierungs- und Prozesstechnik sind gefordert, diese und weitere Technologieschritte mitzugehen. Denn es ist die Basis um Industrie 4.0 bzw. Digitalisierung umzusetzen, ohne die Kernautomatisierung anzutasten. Plicht der OT war es immer die Anlagen-Verfügbarkeit und -Sicherheit bei aller Digitalisierung, kompromisslos gewährleisten zu können.

Bislang subsumierte der Begriff OT (Operational Technology) oder auch Betriebstechnik als jener Aufgabenbereich, der die Konfiguration von Hard- und Software zur Steuerung und Regelungen von Maschinen, Anlagen und Prozessen verantwortet. Durch den Einzug Ethernet-basierter Kommunikation ändern sich die Anforderungen an dieses Berufsbild jedoch sehr stark.

Klassische IT-Kenntnisse über Betriebssysteme und Applikationen sind hier nur bedingt nützlich. Auch klassische IT-Security-Methoden greifen hier nicht. Die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) sind komplementär zu jenen Netzwerk-Schutzzielen der Industrie, also der OT-Security hier steht Verfügbarkeit (Echtzeit) an erster Stelle.

OT-Security.

OT-Verantwortliche Elektrotechniker und Mechatroniker sind nicht nur für technische Lösungen, sondern ebenfalls für die Entwicklung von Prozessen und der Integration bis zum Betrieb gefordert. Bei der Planung und im Betrieb ist durch die OT auch laufend das Security-Niveau zu bestimmen.

Alleine eine Firewall einzuplanen ist nur eine Security-Maßnahme. Wenn Cyber-Security Maßnahmen gefordert sind, so unterstützten Fachgruppen der Elektrotechnik mit Leitfäden bzw. Standards und Normen für Industrial Security in der Automatisierung. Diese sind:

• IEC (Internationale Elektrotechnische Kommission),
• ÖVE (Österreichischer Verband für Elektrotechnik),
• VDMA (Verband Deutscher Maschinen- und Anlagenbau).

Die internationale Normenreihe der IEC 62443 Industrial Cyber Security für industrielle Systeme der Steuerungs- und Leittechnik“ definiert Rollen für

• Betreiber,
• Integratoren,
• Hersteller

Phoenix Contact wurde vom TÜV Süd als eines der ersten Unternehmen im deutschsprachigen Raum nach der Normreihe für IT-Sicherheit IEC 62443-4-1 und 2-4 zertifiziert.

Dies bestätigt, dass das Unternehmen:

• die Entwicklung von Secure-by-Design-Produkten entsprechend dem Prozess IEC 62443-4-1 sowie
• das Design von sicheren Automatisierungslösungen entsprechend dem Prozess IEC 62443-2-4 durchführt.

Pilotfabrik Industrie 4.0: Netzwerk- und System-Security nach IEC 62443.

Phoenix Contact Österreich hat in der Pilotfabrik 4.0 der TU Wien eine große Investition in Netzwerk-Sicherheit nach IEC 62443 getätigt. So wurde ein realistisches Testumfeld mit echten Produktionsnetzwerk, Echtzeit-Maschinennetzwerken, echten Maschinen, Prozessketten und Produkten (3D-Drucker) geschaffen.

Trainings.

Weiters gibt es die Möglichkeit von technischen Trainings für Mitarbeiter, so etwa beim TÜV Rheinland. Es handelt sich dabei um ein 4 Tage-Vorbereitungstraining namens „Fundamentals of Cyber Security“ inklusive Prüfung. Die Inhalte orientieren sich an den Empfehlungen des Industriestandard IEC 62443 „Industrial Cyber Security für industrielle Systeme der Steuerungs- und Leittechnik.“

Das Cyber Security-Training vermittelt in deutscher Sprache ausführlich wichtige Grundlagen zur sicheren Vernetzung und Kommunikation in der industriellen Automatisierung. Nach Teilnahme an diesem Training mit erfolgreichem Abschluss erhalten Teilnehmer vom TÜV Rheinland eine formelle Bescheinigung. Das Training bietet Spezialisten aus den Bereichen der Betriebstechnik (OT) und IT sowie die Sicherheitstechnik (funktionale Sicherheit) Grundlagen zur Analyse von potenziellen Cyber Security-Schwachstellen wie auch Referenzmodelle zur Umsetzung von sicheren Netzen in der industriellen Automatisierungs- und Steuerungstechnik. | www.phoenixcontact.at/seminare

Diesen und ähnliche Artikel finden Sie in unserer aktuellen Ausgabe von IoT4 Industry & Business, das Sie hier online als ePaper abrufen können.