Stand heute sind in den wenigsten Automatisierungsgeräten, die in Produktionsanlagen im Einsatz sind, Cyber-Security-Funktionen integriert. Zu gering war bislang der Druck. Das ändert sich, wie eingangs beschrieben. Eine robuste Cyber-Security-Strategie wird zur rechtlichen Anforderung, denen Geräte- und Maschinenbauer sowie Anlagenbetreiber nachkommen müssen. Beispielsweise trat die EU-Richtlinie NIS2 bereits 2023 in Kraft, die Umsetzung in nationales Recht sollte im Oktober 2024 erfolgt sein, zieht sich voraussichtlich aber noch bis März 2025 hin. Nicht nur Unternehmen aus dem klassischen KRITIS-Bereich sind davon betroffen, sondern auch Unternehmen aus der Industrie. Insbesondere für Anlagenbetreiber sind die neuen Security-Anforderungen durch NIS2 relevant, da es darum geht, die Sicherheit von Netzwerken und Informationssystemen zu gewährleisten. Im Dezember 2024 trat außerdem der Cyber Resilience Act (CRA) in Kraft, der Security-Anforderungen an Geräte und Maschinen definiert, die auf dem EU-Markt erhältlich sind. Die Umsetzungsfrist läuft bis 2027. Ab diesem Zeitpunkt dürfen in Europa nur noch cyber-sichere Geräte in Umlauf gebracht werden.
Herausforderung: Technologievielfalt
Anders als in IT-Netzwerken, die gewöhnlich auf einheitlicherem Standard sind, weil sich dort Technologien in kürzeren Zyklen konsolidieren, sind industrielle Netzwerke auf Fertigungsebene wegen der dort herrschenden Technologievielfalt deutlich komplexer. Unterschiedliche Netzwerkarchitekturen und Kommunikationslösungen wurden über Jahrzehnte in den Produktionsstandorten installiert. Heute erfordert die zunehmende Digitalisierung nicht nur die stärkere Vernetzung bisheriger Insellösungen, sondern bringt auch zusätzliche Technologien wie z. B. OPC UA mit sich, die für die IoT-Kommunikation gebraucht werden. Darüber hinaus muss die industrielle Kommunikation reibungslos funktionieren, ohne Abstriche bei Determinismus oder Performanz. All das ist an sich schon Herausforderung genug. Doch jetzt kommt noch Cyber-Security hinzu. Dass die Sicherheitserweiterungen der einzelnen Kommunikationsprotokolle wie PROFINET Security, CIP Security für EtherNet/IP, Modbus TCP Security oder OPC UA Security technisch auf verschiedenen Leveln und zum Teil noch gar nicht einsetzbar sind, macht die Thematik nicht gerade einfacher.
Die Security-Erweiterung für OPC UA war bereits in den ersten Spezifikationen (2006) enthalten, und wird bis heute ständig verbessert. Die verschiedenen Kommunikationsmechanismen im OPC-UA-Standard erfordern unterschiedliche Ansätze (https, Websocket, TLS, …). Diese Sicherheitsfunktionen werden heute bereits in ersten Anwendungen eingesetzt, da OPC UA oft für die Anbindung an die IT-Welt benutzt wird. Die Praxis hat allerdings gezeigt, dass die neuen Sicherheitsmechanismen noch nicht automatisch abgewickelt werden können. Security-Zertifikate müssen beispielweise nach Ablauf immer noch von Hand aktualisiert werden.
CIP Security für EtherNet/IP wurde erstmals im Jahr 2016 spezifiziert und die Anwendbarkeit auf Systemebene wurde über die Jahre erweitert. Da das Protokoll auf standardisierten Mechanismen basiert, wird die Sicherheit durch die anerkannten TLS/DTLS-Protokolle und x.509-Zertifikate gewährleistet. Erste Engineering-Tools und Produkte werden bereits von führenden Anbietern angeboten, jedoch ist die Marktakzeptanz bislang eher verhalten.
Die Security Erweiterung für PROFINET hingegen wurde zwischen 2021 und 2024 verhältnismäßig spät spezifiziert. Es gibt drei Security-Klassen, die jeweils den Integritätsschutz der GSD-Dateien, den Integritätsschutz der Kommunikation und die Vertraulichkeit der Kommunikation spezifizieren. Derzeit arbeiten Technologielieferanten noch an einer ersten Umsetzung und validieren die Interoperabilität zwischen Lösungen verschiedener Hersteller im Hinblick auf die neuen Sicherheitsfunktionen.
Und das sind nur drei der vielfältigen am Markt verbreiteten Kommunikationsstandards, die sich alle im Hinblick auf ihre Sicherheitskonzepte, ihre Technologiereife und dafür vorhandene Ökosysteme unterscheiden. Das bedeutet für Gerätehersteller, Maschinenbauer und Anlagenbetreiber eine wahre Sisyphus-Aufgabe: Sie müssen stets den Überblick wahren über verschiedene rechtliche Vorgaben einerseits und vorhandene technische Lösungen andererseits.
Heute Geräte für morgen bauen
Langfristig wird Cyber-Security von den Herstellern in alle Geräte, Maschinen und Anlagen integriert werden. Dieser Weg ist weit und braucht Zeit.
Sehr kurzfristiger Handlungsbedarf besteht übrigens bei den Herstellern von Wireless-Geräten. Diese dürfen ab 2025 ohne Erfüllung der Anforderungen der europäischen Radio Equipment Directive (RED), die eben auch deren Cyber-Security betreffen, nicht mehr auf den Markt gebracht werden.
Aber auch alle anderen Gerätehersteller, die eine digitale Kommunikationsschnittstelle integrieren müssen, stehen schon jetzt vor der herausfordernden Aufgabe, zukunftsfähige Geräte in Sachen Cyber-Security zu bauen. Dazu sollten sich Gerätebauer mit dem Cyber Resilience Act (CRA) befassen. Spannend ist dabei, dass diese Vorgaben noch relativ neu sind und ihre Umsetzung in der Praxis erst reifen muss. Im Rahmen des CRA wird Cyber-Security integraler Bestandteil der Geräteentwicklung. Dies umfasst die Spezifikation, die Dokumentation für den fachgerechten Einsatz im Feld sowie die Produktpflege. Letztere muss gewährleisten, dass über den gesamten Lebenszyklus hinweg bekannte Sicherheitslücken in Geräten geschlossen und auch zukünftige Schwachstellen behoben werden. All das wird auch die Unternehmensprozesse, insbesondere im Bereich Produktentwicklung und Produktmanagement, stark verändern.
Die IEC 62443 beschreibt in Teil 4-1 den Rahmen, innerhalb dessen Komponentenhersteller bzw. Automatisierungsgerätehersteller ihre Prozesse entsprechend strukturieren sollten. Teil 4-2 des Standards legt die Anforderungen für die Komponenten selbst fest. Damit dient er als Leitfaden, um in Unternehmen mittel- und langfristig eine cybersichere Herangehensweise zu etablieren. Eine Zertifizierung stellt den Nachweis für entsprechende Maßnahmen für mehr Cybersicherheit dar.
Cyber-Security kurzfristig in Geräte integrieren
Für die in Geräten eingesetzten Kommunikationskomponenten führt das aus Sicht von HMS zu zwei wesentlichen Maßnahmen. Einerseits muss die Hardware bereits jetzt so dimensioniert sein, dass beispielsweise der Prozessor über die notwendige Leistung verfügt, um künftige Sicherheitsaufgaben wie Verschlüsselung, Authentifizierung, Benutzerverwaltung oder Zertifikatsmanagement verarbeiten zu können. Andererseits muss es möglich sein, Änderungen nachträglich automatisch aufzuspielen, um eine robuste Cyber-Security-Strategie kontinuierlich an den veränderten Ist-Zustand anzupassen. Die Zusatzkosten für die komplexere Hardware konnten Gerätebauer bislang schwer rechtfertigen. Mit der veränderten Gesetzeslage führt aber kein Weg am Einsatz vorbei, will man zukunftssichere Geräte bauen.
Die Kommunikationsexperten von HMS bieten bereits Lösungen, mit denen sich Cyber-Security kurzfristig in Geräte integrieren lässt. Thierry Bieber, Industry Manager, HMS Industrial Networks GmbH erläutert: „Wir verstehen uns als Technologiepartner, der bei der Security Compliance und Pflege unterstützt. Wir nehmen Kunden die Aufgabe ab, stets auf dem neuesten Stand der Technik sein zu müssen. Unsere embedded Kommunikationsschnittstellen haben schon IIoT- und Cybersecurity-Funktionen implementiert. Damit bieten wir Geräteherstellern insbesondere im Hinblick auf die Security-Erweiterungen der Kommunikationsprotokolle eine einsatzbereite zukunftssichere Lösung.“
Das Kommunikationsmodul Anybus CompactCom IIoT Secure verfügt über eine sichere Verwaltung der Zertifikate, die für die verschlüsselte Kommunikation verwendet werden. Vertrauliche Daten wie zum Beispiel private Schlüssel werden auf einem separaten Sicherheits-Chip gespeichert. Beim sicheren Booten wird auch geprüft und gewährleistet, dass nur signierte Software von HMS verwendet wird. Darüber hinaus verschlüsseln die Sicherheitsfunktionen des Moduls die IIoT-Datenverbindungen (OPC UA & MQTT) und unterstützen auch die Sicherheitsanforderungen der jeweiligen industrielle Protokolle. Gerätehersteller, die bereits ein embedded Kommunikationsmodul für PROFINET oder EtherNet/IP nutzen, können mit dem Anybus CompactCom IIoT Secure ihr eigenes Geräteportfolio mit deutlich reduziertem Aufwand auf ein höheres Sicherheitsniveau bringen.
Kurzfristige Lösungen für Instandhalter und Anlagenbetreiber
Auch Anlagenbetreiber stellen sich die Frage, was sie heute schon tun können. Für sie interessant ist vor allem die NIS2-Richtlinie. Bis Cyber-Security vollständig in Geräte integriert wird und diese neuen Gerätegenerationen bei den Anlagenbetreibern ankommen, werden vermutlich noch Jahre vergehen.
Deshalb ist es für Anlagenbetreiber wichtig, sich schon heute einen umfassenden Überblick über ihre Produktionsinfrastrukturen zu verschaffen, die oft über Jahrzehnte gewachsen sind. Kritische Maschinen und Anlagenteile müssen identifiziert und in sichere Netzwerksegmente isoliert werden. Die einzelnen Kommunikationszugänge müssen permanent überwacht werden, um sicherzustellen, dass nur autorisierter Datenverkehr stattfindet. Externe und unerlaubte Zugriffe können so verhindert werden, was schon einen effizienten Schutz in einem an sich nicht sicheren Netzwerk bietet.
HMS bietet Anlagenbetreibern eine ganze Palette an Lösungen, die nicht nur die Netzwerksegmentierung ermöglichen, sondern auch dabei helfen, jederzeit den vollen Überblick über alle Netzwerke und installierte Komponenten zu behalten. Nur dann ist eine umfängliche Überwachung der Anlagenkommunikation möglich. Mit dieser Übersicht wird auch deutlich, welche weiteren Sicherheitsmaßnahmen notwendig werden.
Firewalls wie der Anybus Defender ermöglichen es, durch Regeln unerlaubte Zugriffe auf Netzwerksegmente zu verhindern und den Datenverkehr zu überwachen. Mit Produkten aus dem Bereich der Anybus Gateways wird eine logische und physikalische Segmentierung von Netzwerken realisierbar. Anybus Atlas und die Osiris Software werden für die kontinuierliche Diagnose und die Erkennung von Anomalien im Datenverkehr eingesetzt.
Wer darüber hinaus den Fernzugriff mit den Ewon-Fernwartungslösungen von HMS standardisiert, kann für die Zusammenarbeit mit externen Lieferanten einheitliche Prozesse aufsetzen, um bei Netzwerkzugriffen von außen die volle Kontrolle zu behalten und damit ein hohes Maß an Sicherheit zu erreichen.
Cyber-Security als Wettbewerbsvorteil
Große Automatisierungsunternehmen befassen sich derzeit umfangreich mit dem Thema Cyber-Security und spüren: Die Zeit wird knapp. Ein Technologiepartner wie HMS kann dabei wertvoller Unterstützer sein, indem er die Implementierung von Spezifikationen in entsprechende Hardware übernimmt und direkt einsatzfähige, stets aktuelle und Cyber-Security konforme Kommunikationslösungen anbietet. Mit Unternehmensprozessen, die nach ISO 27001 (Normreihe: Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme) sowie Produktentwicklungsprozessen, die nach IEC 62443 zertifiziert sind, ist HMS der richtige Partner. Nicht nur für große Player, sondern auch für kleine und mittelständische Unternehmen, die in Bezug auf Cyber-Security vor denselben Herausforderungen stehen.
Für Hersteller von Automatisierungsgeräten bedeutet das: Wenn sie auf die HMS-Lösungen setzen, können sie ohne umfassende Sicherheitskompetenzen ein hohes Security-Niveau in ihren Geräten unterstützen. In einem Markt, der beim Thema Cyber-Security noch ganz am Anfang steht, kann das ein entscheidender Wettbewerbsvorteil sein. Auch im Hinblick auf eine zukunftssichere Lösung. Denn HMS versteht sich als Technologiepartner, der seine Kunden langfristig begleitet.
