PI (Profibus & Profinet International) hat vor Kurzem ein neues Security-Whitepaper veröffentlicht, das die grundlegenden Konzepte für eine Absicherung des Profinet-Protokolls dokumentiert. Das Whitepaper „Security-Erweiterungen für Profinet“ soll dazu dienen, weitere Abstimmungsgespräche mit Anwendern, Integratoren aber auch Herstellern zu führen. Ziel dieser Diskussion ist ein abgestimmtes und tragfähiges Konzept, das die industrielle Kommunikation mit Profinet fit für die Anforderungen im Umfeld von Industrie 4.0 macht.

Die Umsetzung soll zu einer Security-Spezifikation für Profinet-Netze führen, die ergänzend zu der bereits seit mehr als zehn Jahren verfügbaren Security-Guideline bereitgestellt wird. Profibus & Profinet International ist ein Dachverband von 27 regionalen Profibus-Organisationen, darunter auch die Profibus Nutzerorganisation e.V. (PNO) mit Sitz in Karlsruhe.

Die durchgängige Vernetzung im Unternehmen, die vertikale Integration und die Tendenz zu flacheren Systemhierarchien erfordern laut den Verfassern weiterreichende Ansätze für die IT-Sicherheit in der Produktion. Bisherige Konzepte, die in der Hauptsache auf eine Abschottung der Produktionsanlagen setzen, müssen durch neue Konzepte ergänzt werden, die einen Schutz der Komponenten vorsehen.

Das aktuelle IT-Sicherheitskonzept für Profinet geht von einem sogenannten „Defense in Depth“- Ansatz aus, wie er in IEC 62443 beschrieben ist. Die Produktionsanlage ist dabei durch einen mehrstufigen Perimeter (unter anderem Firewalls) insbesondere gegen Angriffe von außen geschützt. Darüber hinaus ist innerhalb der Anlage eine weitere Absicherung durch Unterteilung des Netzwerks in Zonen möglich. Zusätzlich wird durch einen Security-Komponententest die Festigkeit der Profinet-Komponenten gegen Überlastung in einem definierten Umfang sichergestellt. Dieses Konzept zeigt sich dann um organisatorische Maßnahmen in der Produktionsanlage im Rahmen eines Security-Management-Systems erweitert.

Die beschriebenen Schutzmaßnahmen entsprechen grundsätzlich dem heutigen Stand der Technik. Neue Anforderungen von Anwendern setzen jedoch einen weitergehenden Schutz auf Komponentenebene voraus, die geeignete Schutzmaßnahmen auf Protokollebene erfordern.

Das Whitepaper „Security-Erweiterungen für Profinet“ beschreibt die neuen Security-Anforderungen, daraus abgeleitete Schutzziele und auf Basis der durchgeführten Analysen die wesentlichen Konzepte und Schutzmaßnahmen für ein entsprechendes System. Die Security-Arbeitsgruppe will im nächsten Schritt Erweiterungen des Profinet-Protokolls spezifizieren und es mit zusätzlichen kryptografischen Funktionen ertüchtigen, um Integrität, Authentizität und, sofern erforderlich, die Vertraulichkeit der Kommunikation auf Protokollebene sicherzustellen. Ziel ist, den technischen Aufwand für Anlagen mit einfachen Security-Anforderungen zu limitieren bei gleichzeitiger Wahrung der Rückwärtskompatibilität mit der Möglichkeit, das erweiterte Protokoll parallel zum bisherigen Protokoll in einem Netzwerk betreiben zu können.

Das Whitepaper liegt zum kostenlosen Download auf der PI-Webseite unter: www.profibus.com/profinetsecurity.

Dr. Jörg Schröper ist Chefredakteur der LANline.