LinkedIn Logo YouTube Logo
ANZEIGE
9

3. Aug 2024

Umsetzen der Anforderungen der NIS-2-Richtlinie

Per Wireless-Retrofit zu mehr Cybersicherheit

Die Zahl der EU-Richtlinien zur Cybersicherheit wächst in einem rasanten Tempo. Auch wenn die Umsetzungsdetails in einigen Fällen noch relativ unscharf sind, sollte man mit der Umsetzung nicht bis zum Schluss warten. So ist beispielsweise hinsichtlich der 2. Richtlinienversion zur Netzwerk- und Informationssicherheit (NIS-2) sofortiges Handeln erforderlich - besonders in der Automatisierung.

Einzelmaßnahmen für mehr Sicherheit

Die größten Schwachstellen vor Ort in der Anlage sind in diesem Beispiel die USB-Steckverbindung und der PC, der für Servicezwecke mit dieser Schnittstelle verbunden wird. So wächst laut Honeywell USB Threat Report 2024 die Anzahl der speziell für Cyberattacken über USB-Schnittstellen entwickelten Malware-Varianten von Jahr zu Jahr. Konzeptionell lässt sich die fehlende Authentifizierung des Mitarbeiters gegenüber der Anlage (also der Steuerungstechnik im Schaltschrank) als gravierende Schwachstelle einstufen. Die Fernzugriffskommunikation wird vermutlich TLS-gesichert erfolgen und lässt sich daher im Rahmen einer Bedrohungsanalyse als ausreichend sicher bewerten. Problematisch wäre es allerdings, wenn über diese TLS-Verbindung eine Software-Update-Datei vom PC des Fernwartungsexperten in eine Steuerung im Schaltschrank heruntergeladen wird und im Zielpunkt (also innerhalb des Schaltschranks) weder die Authentizität noch die Integrität des Updates geprüft werden.

Cybersecurity-Schwachstellen, die im Rahmen von NIS-2-Risikoanalysen identifiziert wurden, lassen sich in der Regel durch entsprechende Umrüstmaßnahmen abstellen. In dem Beispiel könnte ein direkt in den Schaltschrank integriertes OT/IT-Gateway mit 4G-Mobilfunkschnittstelle und internem kryptografischem Sicherheits-Chip die USB-Schnittstelle in der Schaltschrankwand sowie die Kabelverbindung zum Service-PC ersetzen. Softwareseitig wird eine PKI-basierte OT Device-Authentifizierung mit einem Rendezvous-Server im Internet hinzugefügt. Ist eine Förderanlagen-Fernwartung erforderlich, autorisiert der Betreiber per NFC-Tag oder App den Verbindungsaufbau des 4G-Schaltschrank-Gateways zum Rendezvous-Server. Anschließend kann der Fernwartungsexperte nach einer zweifachen Identitätsauthentifizierung über das OT/IT-Gateway auf die Anlage zugreifen, um wie gewohnt die Wartungsarbeiten auszuführen. Die PKI-Elemente lassen sich darüber hinaus für sichere Software-Updates der Automatisierungstechnik im Schaltschrank nutzen. Jedes Update erhält dabei vom Autor eine digitale Signatur, die im Gateway als PKI-Endpunkt zur Gewährleistung einer Ende-zu-Ende-Authentizität bzw. -Integrität verifiziert wird.

Seiten: 1 2Auf einer Seite lesen

Thema: Kommunikation
| Industrielle Kommunikation
Ausgabe: SPS-MAGAZIN 8 (August) 2024
SSV Software Systems GmbH
Zur Firmenwebsite

Das könnte Sie auch Interessieren

Automation TV

YouTube-Channel abonnieren

Weitere Beiträge

Bild: Ethercat Technology Group
Bild: Ethercat Technology Group
Teamwork

Teamwork

Ethercat hat sich als leistungsfähiges Echtzeit-Ethernet-Feldbussystem in der industriellen Kommunikation etabliert. Die ersten beiden Teile dieser Serie haben die technischen Eigenschaften von Ethercat behandelt. Dieser dritte Teil beschäftigt sich mit der Struktur und der Arbeit der Ethercat Technology Group (ETG) sowie den Services, die sie ihren Mitgliedern zur Verfügung stellt.

mehr lesen

Mit 5G direkt in die Cloud

In der Industrie werden nur fünf Prozent der verfügbaren Sensordaten auch tatsächlich genutzt. Während die Maschinensteuerung die erforderlichen Prozessdaten erhält, bleiben die Servicedaten zur Steigerung der Maschinenperformance oft auf der Strecke. Gesucht ist also ein System, das die relevanten Daten an die Steuerungsebene liefert, aber auch Service-Informationen unkompliziert und ohne Umwege zielgenau in die Cloud bringt – der Y-Weg mit 5G.

mehr lesen
Cover: Newsletter
GRATISNewsletter-ServiceJETZT ANMELDEN★★★