Skip to main content

Press & News

PI hat sein Sicherheitskonzept für PROFINET um weitere Schutzmaßnahmen ergänzt.

Weitere Schutzmaßnahmen ergänzen bewährtes IT-Sicherheitskonzept für PROFINET

Weber,

Schon sehr früh - parallel mit den ersten PROFINET-Spezifikationen - veröffentlichte PI ein umfassendes Security-Konzept, das in mehreren Schritten weiter detailliert und angepasst wurde. Dabei reicht es nicht, Anlagennetze und Automatisierungskomponenten zu schützen, sondern die eingesetzten Schutzmechanismen und Konzepte dürfen den laufenden Produktionsbetrieb nicht stören. Zudem müssen Schutzkonzepte einfach umsetzbar und bezahlbar bleiben. Der wichtigste Aspekt ist jedoch, dass die Konzepte immer wieder an die aktuellen Entwicklungen angepasst werden müssen. PI hat nun sein IT-Sicherheitskonzept ergänzt.

 

Das IT-Sicherheitskonzept für PROFINET geht von einem Defense-in-Depth-Ansatz aus. Dabei wird die Produktionsanlage durch einen mehrstufigen Perimeter (u. a. Firewalls) gegen Angriffe, insbesondere von außen, geschützt. Darüber hinaus ist innerhalb der Anlage eine weitere Absicherung durch Unterteilung in Zonen unter Einsatz von Firewalls möglich. Zusätzlich wird durch einen Security-Komponententest die Festigkeit der PROFINET-Komponenten gegen Überlastung in einem definierten Umfang sichergestellt. Dieses Konzept wird durch organisatorische Maßnahmen in der Produktionsanlage im Rahmen eines Security-Management-Systems unterstützt.

 

Allerdings ist Security ein Thema, das permanent an die aktuelle Entwicklung angepasst werden muss und daher nie abgeschlossen ist. Dies gilt insbesondere vor dem Hintergrund der zunehmenden Vernetzung von Produktionsanlagen. So sorgt der Einsatz von PROFINET-Komponenten mit Mehrwert, also z. B. Web- oder OPC-Kommunikation, für eine vermehrte, direkte Kommunikation mit übergeordneten Systemen außerhalb der Sicherheitszone. Gleichzeitig wird eine Trennung von PROFINET-Netzwerken immer schwieriger.

 

Außerdem werden die Netzwerke größer, so dass immer mehr Komponenten zu einem Netzwerk verbunden werden und miteinander interagieren. Ein erfolgreicher Angriff auf ein einzelnes (PC-) System innerhalb einer solchen Zelle umgeht daher Vorab-Schutzmaßnahmen. Auch behindern weit verteilte Anlagen den physischen Schutz von Netzwerken und Zugangspunkten. Dadurch können unbefugte Personen Zugang zum PROFINET-Netzwerk erhalten.

 

Aus diesem Grund müssen bisherige Konzepte, die in der Hauptsache auf eine Abschottung der Produktionsanlagen setzen, durch neue Konzepte, die einen Schutz innerhalb der Zelle ermöglichen, ergänzt werden. PI hat daher die bisherigen Maßnahmen durch weitergehende Schutzmaßnahmen erweitert. Dazu gehören ein Credential Management, z. B. für eine Authentifizierung der Geräte, und eine End-to-End-Security-Erweiterung für die PROFINET-Kommunikation als Konfigurationsoption. Da nicht jede Anwendung die gleichen Sicherheitsanforderungen stellt, wurden bei PROFINET drei Sicherheitsklassen definiert.

 

Weitere technische Details und Praxisbeispiele finden sich im Industrie 4.0 Highlight „Security“ unter https://www.profibus.com/technology/industrie-40/. Diese Kampagne auf der PI-Webseite greift aktuelle Themen, Fragestellungen und Trends aus Industrie 4.0-Anwendungen auf, damit der Anwender diese leicht in die Praxis umsetzen und realisieren kann. 


Files:
#DateFilenameTypeSize
17/09/2020PROFINET_Security_754x754.pngpng405 KB
17/09/2020PI_Security_2020-09-17-dt.DOCXDOCX376 KB
 Back to list

PROFIBUS is a standardized, open, digital communications system for all areas of application in manufacturing and process automation.

PROFINET is the innovative open standard for Industrial Ethernet. It satisfies all requirements of automation technology.

MTP Module Type Package enables modular production in which individual components can be flexibly combined.

IO-LINK is an independent sensor / actuator interface solution for use with all automation technologies.

omlox is an open technology standard for real-time indoor localization systems for industrial manufacturing.