Cyber-Security

Security - Sicherheitsmechanismen

• PROFINET Security Überblick
• Webinare

PI Working Group CB/PG 10: PROFINET Security

• Zweck: Die CB/PG10 Security entwickelt Sicherheitsmechanismen für PROFINET und stellt Leitlinien, Dokumentationen und Best Practices für die PROFINET-Security bereit.
• Ressourcen: PROFINET-Spezifikation mit Security Funktionen, Implementierungs-und Nutzungsrichtlinien, Test Bundle zur Prüfung und Verifizierung von PROFINET-Security, Whitepaper
• Zielgruppe: Technologieanbieter und Gerätehersteller, die PROFINET-Komponenten und -Systeme entwickeln und produzieren sowie Maschinenbauer.
• Aktivitäten: Verbesserung des Protokoll- und Sicherheitskonfigurationsmanagements (z. B. Migration zu modernen TLS-Versionen); Verbesserung der sicheren Kommunikation über alle Schichten hinweg, einschließlich der vertikalen Integration;Vorbereitung auf die Post-Quantum-Kryptografie und langfristige kryptografische Agilität; Verbesserung der Update- und Lebenszyklussicherheit für Geräte und Software; Definition sicherer Modelle für das Geräte-Onboarding.
• Geplant: Whitepaper zu Cyber-Security für PROFINET für Anwender

Interop Testfield
AdHoc WG: PROFINET Security Interop Field Test for Ethernet APL and PROFINET 

• Zweck: Koordinierung eines Interoperabilitäts-Feldtests für PROFINET Security für PROFINET-Feldgeräte in der Prozesautomatisierung, sowie Switches, Controller und DCS-Anbieter mit PN-Security-Fähigkeit mit Schwerpunkt Ethernet-APL-Geräte. Das Ziel hierbei ist, einen Interoperabilitäts-Feldtest für Anbieter von Feldgeräten, Switches, Steuerungen und DCS zu definieren. Mithilfe dieses Tests soll Verbesserungspotenzial in einer frühen Phase erkannt werden, sodass auf Basis der Erkenntnisse Optimierungen bezüglich der Security Ausrichtung von PROFINET und den unterlagerten non-Ethernet Kommunikationssystemen vorgenommen werden können.
• Ressourcen: Präsentation "Security and PROFIsafe for PROFINET over APL"
• Zielgruppe: Anwender sowie Technologiehersteller, Gerätehersteller und Systemhersteller aus dem Bereich Prozessautomatisierung
• Aktivitäten:  Untersuchung der Funktionalität und Nutzbarkeit von Workflows und Anwendungsfällen für eine PROFINET-Sicherheitsanwendung, z. B. Credentialing, sicheres Onboarding, Kommunikationsaufbau, Gerätetausch, Firmware-Update und Identitäts- sowie Zugriffsmanagement.
• Geplant: Veröffentlichung von Testergebnissen und Erkenntnissen zur Integration von PROFINET-Geräten in die Leitsysteme (frühestens Ende 2026)

Device/Tool Security

JWG: Device and Tool security for Ethernet-based communication protocols
Die Standardisierungsorganisationen FieldComm Group, ODVA, OPC Foundation und PROFIBUS & PROFINET International haben eine gemeinsame Arbeitsgruppe (Joint Working Group, JWG) zum Thema „Device and Tool security for Ethernet-based communication protocols“ etabliert, um gemeinsam an diesem wichtigen Thema zu arbeiten.

• Zweck: Einheitliche Interpretation und Implementierung von Cyber-Security in Ethernet-basierte Protokolle.
• Ressourcen: Call for Experts
• Zielgruppe: Anwender, sowie Technologie-und Gerätehersteller
• Geplant: Entwicklung eines Frameworks für Anbieter und Endanwender, um den Anforderungen der Industrie gemäß den Normen IEC 62443 und IEC 61784-6 (Teil 6: Sicherheit) gerecht zu werden und bei Bedarf Aktualisierungen zu empfehlen.

Human User Authentication & Authorization, and IDevIDs

JWG: Industrial Ethernet Security Harmonization Group (IESHG)

• Zweck: Beschreibung der Authentifizierung und Autorisierung (menschlicher) Benutzer in der OT-Umgebung (spezifische Aspekte der Authentifizierung für die verschiedenen OT-Protokolle, Geräte und Installationen können nicht berücksichtigt werden und auch die Bereitstellung und das Bootstrapping der Geräte und Software). Außerdem wird ein Vorschlag für ein Profil für IDevIDs für Geräte im Bereich der industriellen Automatisierung (IA-Geräte) ausgearbeitet. 
• Ressourcen: Whitepaper on Authentication in the OT Environment (2025), Whitepaper on Common IA IDevID Requirements (2025), FAQ on industrial Ethernet security concepts (2022)
• Zielgruppe: Technische Anwender, sowie Techniker von Geräteherstellern
• Aktivitäten: Die Gruppe pausiert derzeit.

Test System Development

JWG: Test System Development Group (TSDG)

• Zweck: Sicherstellung von Interoperabilität, Konformität und Qualität von Anfang an. Wir unterstützen Technologieanbieter und Gerätehersteller mit einer speziellen Testplattform, die Tests von Anfang an berücksichtigt und parallel zur Standardisierungsarbeit und Technologieentwicklung läuft.
• Ressourcen: Unsere TRIAL-Bundles mit PROFINET Cyber-Security: PROFINET TRIAL Test- und Security-Bundle. Diese separaten Bundles bieten den neuesten Stand der Implementierung, werden vierteljährlich aktualisiert und ermöglichen eine wichtige Qualitätssicherung und Rückmeldung für Ihr Produkt und unser Testsystem während des gesamten Entwicklungsprozesses. Bitte beachten Sie: Diese Bundles sind nicht für die offizielle Zertifizierung geeignet.
• Zielgruppe: Technologieanbieter und Gerätehersteller
• Aktivitäten: Unsere Aktivitäten konzentrieren sich auf die kontinuierliche Verbesserung des Testsystems durch Hinzufügen neuer PROFINET-Cyber-SecuritySicherheits-bezogener Testfälle und Spezifikationen. Wir fördern diese Weiterentwicklungen aktiv und binden unsere Zielgruppe durch Zertifizierungs-Webinare und Messedemonstratoren ein. Darüber hinaus dient unser Testsystem als primäres Vorbereitungstool für PROFINET-Cyber-Security-Plugfests.

Zusätzliche Quellen:
 

PROFINET-Security Leitfaden

Die Security-Leitlinie zeigt die wesentlichen Aspekte für die Erstellung eines Sicherheitskonzepts im industriellen Umfeld auf und gibt entsprechende Empfehlungen. Die im November 2013 erschienene Leitlinie (Bestellnummer 7.001, 7002) wird durch eine aktualisierte Richtlinie ersetzt, die sowohl das PROFINET-Sicherheitskonzept als auch die Anforderungen der IEC 62443 berücksichtigt.

Mehr lesen
 

PROFINET Security-Klasse 1: Leitfaden

Dieses Dokument soll einen Überblick über die geplanten Methoden, Anwendungen und Prozesse der PROFINET-Security-Erweiterung der Klasse 1 geben. Es richtet sich an Komponentenhersteller, Systemanbieter und Anwender der PROFINET-Technologie.

Mehr lesen
 

PI-Whitepaper: OT-Security – Klassifizierung der IEC 62443

Dieses Whitepaper gibt zunächst einen Überblick über die verschiedenen Teile der Normenreihe IEC 62443 und beschreibt kurz deren Inhalte. Anschließend werden die Normteile den Akteuren im OT-Sicherheitsprozess zugeordnet. Im Bereich der Operational Technology (OT) sind dies die Anlagenbetreiber, Systemintegratoren und Produktlieferanten. Aufbauend auf diesen Überlegungen wird das Sicherheitskonzept von PROFINET auf die verschiedenen Teile der IEC 62443 abgebildet.
Mehr lesen
 

IT Security-Erweiterungen für PROFINET
Karl-Heinz Niemann

Dieser Beitrag wurde auf der 17. Internationalen Konferenz für industrielle Informatik (INDIN) 2019 vorgestellt. Es bietet einen Überblick über die PROFINET-Sicherheitskonzepte.
Mehr lesen
 

Security-Erweiterungen für PROFINET: Konzepte, Status und Perspektiven
Karl-Heinz Niemann, Andreas Walz, Axel Sikora
Dieser Beitrag wurde auf der „Embedded World 2023 Exhibition & Conference” vorgestellt. Er beschreibt die technologischen Konzepte der PROFINET-Security.

Mehr lesen
 

Ein Mechanismus zur nahtlosen kryptografischen Neuverschlüsselung in Echtzeit-Kommunikationssystemen

Heiko Bühler, Andreas Walz, Axel Sikora
Der Beitrag wurde auf der 17. IEEE-Konferenz „Factory Communication Systems“ (WFCS 2021) vorgestellt. Es stellt einen neuartigen Ansatz zur nahtlosen Neuverschlüsselung vor, der in den zyklischen Datenaustausch von Anwendungen eingebettet werden kann. Der entwickelte Demonstrator ist zwar unabhängig vom zugrundeliegenden Echtzeit-Kommunikationssystem, kann jedoch das weit verbreitete industrielle Ethernet-System PROFINET IO emulieren und diesen Re-Keying-Mechanismus erfolgreich nutzen.

Mehr lesen
 

PROFINET Security: Ein Überblick über ausgewählte Konzepte für eine sichere Kommunikation in der Automatisierungstechnik
Andreas Walz, Karl-Heinz Niemann, Julian Göppert, Kai Fischer, Simon Merklin, Dominik Ziegler, Axel Sikora
Der Beitrag wurde auf der „21st International Conference on Industrial Informatics (INDIN)” im Jahr 2023 veröffentlicht. Es bietet einen kurzen Überblick über die kryptographischen Sicherheitserweiterungen für PROFINET, wie sie von PROFIBUS & PROFINET International (PI) definiert und spezifiziert wurden.

Mehr lesen
 

So entwickelt man ein sicheres PROFINET-Gerät: Organisatorische und technische OT-Sicherheitsmaßnahmen bei der Entwicklung von PROFINET-Geräten
Karl-Heinz Niemann, Andreas Walz, Simon Merklin, Andreas Ziegler, Boris Waldeck
Dieser Artikel erschien ursprünglich im atp-Magazin 09/2023. Er zeigt, welche technischen und organisatorischen Maßnahmen bei der Entwicklung eines PROFINET-Geräts, das PROFINET Security unterstützt, zu beachten sind. Als Beispiel dient ein Ethernet-APL-Transmitter. Auf dieser Grundlage werden Anforderungen an die sichere Gestaltung der Ethernet-APL-Kommunikation in Verbindung mit PROFINET abgeleitet.

Mehr lesen

OT-Sicherheitsanforderungen für Ethernet-APL-Feldgeräte
Karl-Heinz Niemann, Simon Merklin
Dieser Beitrag wurde im atp-Magazin 05/2022 veröffentlicht. Darin werden Angriffsszenarien auf die Cybersicherheit von Automatisierungssystemen beschrieben, die Stromschleifen mit HART, PROFIBUS PA und Ethernet APL in Kombination mit PROFINET verwenden.

Mehr lesen
 

Kryptographischer Schutz der zyklischen Echtzeitkommunikation in Ethernet-basierten Feldbussen. Wie viel Hardware wird benötigt?
Matthias Skuballa, Andreas Walz, Heiko Bühler, Axel Sikora
Dieser Beitrag wurde auf der 26. „IEEE International Conference on Emerging Technologies and Factory Automation“ (ETFA) im Jahr 2021 vorgestellt. Es bewertet die Leistung des EAS-GCM-Algorithmus, der für die PROFINET-Sicherheit eingesetzt wird.

Mehr lesen
 

Fachartikel: Passgenaue Security in drei Klassen

Dominik Ziegler
Dieser Beitrag wurde in der Ausgabe 01/2024 des Magazins elektrotechnik veröffentlicht.

Mehr lesen