LinkedIn Logo YouTube Logo
ANZEIGE
Community-Projekt: Top 20 Secure PLC Coding Practices

Sichere Programmierprinzipien

Programmierprinzipien für mehr Sicherheit sind in der IT sehr gängig, für das Programmieren von SPSen gab es so etwas aber bislang nicht. Im Rahmen eines Community-Projekts wurden jetzt erstmals Secure Coding Practices für Industriesteuerungen veröffentlicht. Sie zielen insbesondere auf die Absicherung von kritischen Infrastrukturen wie Strom- und Wasserversorger oder Nahrungsmittelproduzenten ab.
Bild: ©getti/stock.adobe.com

SPSen gehören zu den verwundbarsten Komponenten in automatisierten Anlagen gehören. Es gibt zahlreiche Berichte über Schwachstellen und inhärent unsichere Features in Steuerungen, die nicht zuletzt für die bekannten Security-Vorfälle Stuxnet oder Triton/Trisis ausgenutzt wurden. Dem gegenüber steht jedoch wenig Konkretes, um SPSen sicherer zu machen.

Abhilfe schaffen sollen hier die ‚Top 20 Secure PLC Coding Practices‘. Sie sind das Ergebnis eines internationalen Community-Projekts, für das alle Mitarbeitenden ehrenamtlich tätig waren. Nach über einem Jahr Arbeit steht das Projektergebnis nun zum kostenfreien Download zur Verfügung (siehe QR-Code). Es enthält eine zweiseitige Zusammenfassung aller 20 Programmierpraktiken sowie weitergehende Informationen auf bis zu vier Seiten je Practice mit Anleitung, Hintergrundinformationen, Security-Nutzen, Implementierungsbeispielen und Referenzen auf verwandte Standards oder Frameworks.

Freie Verbreitung im Sinne der Sicherheit

Das Dokument ist frei verfügbar und mit einer Lizenz ausgestattet, die jegliche Weiterverwendung, Kopie und Nutzung für kommerzielle und nicht-kommerzielle Zwecke erlaubt. Der Wunsch der Projektinitiatoren und des Projektteams ist es, das Wissen über sie sichere Programmierung von SPSen stärker zu verbreiten und fest im Knowhow von SPS-Programmierern, -Herstellern und -Anwendern zu verankern. Die Secure Coding Practices könnten in Informationssicherheits-Managementsystemen, Leitlinien für die sichere Systementwicklung sowie in Anforderungen für Lieferanten genutzt werden. Das Dokument darf und soll daher genutzt und kommentiert werden. Es wird ein Kommentarformular auf der Projektwebsite zur Verfügung stehen. Vor allem das Feedback von Anwendern und Herstellern von SPSen ist ausdrücklich erwünscht. Die Practices sollen regelmäßig aktualisiert werden.

Initiiert wurde das Community-Projekt nach einem Konferenzbeitrag von Jake Brodsky zur ICS-Security-Konferenz S4 im Januar 2020 durch den Konferenzleiter Dale Peterson. Die Leitung des Projekts übernahmen Sarah Fluchs, CTO des auf industrielle IT-Security spezialisierten deutschen Beratungsunternehmens Admeritia, und Vivek Ponnada, tätig für General Electric Canada. Die Resonanz auf das Community-Projekt war von Anfang an groß: Auf der eigens für das Projekt erstellten öffentlichen Plattform (top20.isa.org) registrierten sich knapp 1.000 Nutzer, reichten Secure Coding Practices ein, kommentierten die Einreichungen und wählten die Top20-Programmierpraktiken aus. Auch von deutschen Integratoren, Betreibern und Verbänden aus dem Kontext der Automatisierungstechnik waren Mitglieder an der Erstellung beteiligt.

Das könnte Sie auch Interessieren

Weitere Beiträge

Bild: ©bk_assets/stock.adobe.com
Bild: ©bk_assets/stock.adobe.com
Was kommt nach IE4?

Was kommt nach IE4?

Nicht erst seit dem Trend zu Nachhaltigkeit wird in der Industrie über Effizienz diskutiert. Mit Blick auf die Antriebstechnik gibt es mit der Ökodesign-Richtlinie – mittlerweile Ökodesign-Verordnung – ein Rahmenwerk für die Mindestansprüche beim Energieverbrauch. Doch es kommen aktuell immer mehr Motoren und Antriebslösungen auf den Markt, die in Sachen Effizienz über die bisher höchste definierte Wirkungsgradklasse IE4 hinausgehen. Wann deren Einsatz Sinn macht und wie der Anwender den Überblick behalten kann, dazu hat das SPS-MAGAZIN bei den in Europa etablierten Antriebsanbietern nachgefragt. Während es im hier vorliegenden, ersten Teil dieser Umfrage um die technologische Entwicklung, die steigende Nachfrage sowie die Vergleichbarkeit der verschiedenen Konzepte auf dem Markt geht, zielt der zweite Umfrageteil im SPS-MAGAZIN 7/2025 auf die konkreten Angebote und die Ausweitung der Effizienzfrage auf den gesamten Antriebsstrang.

mehr lesen
Bild: ©Frank H./stock.adobe.com
Bild: ©Frank H./stock.adobe.com
Vom Risiko zur Resilienz: Wie wird die Technik CRA-fit?

Vom Risiko zur Resilienz: Wie wird die Technik CRA-fit?

Für Automatisierungs- und Fertigungsunternehmen bedeutet der Cyber Resilience Act (CRA) eine signifikante Veränderung. Ihre Produkte und Systeme rücken in den Fokus neuer regulatorischer Forderungen. Die Einhaltung des CRA erfordert nicht nur technologische Anpassungen, sondern auch eine strategische Neuausrichtung in Bezug auf Entwicklungsprozesse, Risikomanagement und die Zusammenarbeit innerhalb der gesamten Wertschöpfungskette. Somit bietet es aber auch die Chance, Cybersicherheit stärker als Qualitätsmerkmal zu verankern. Wie wichtig ist dabei die Zusammenarbeit aller Beteiligten? Wie können Unternehmen ihre Kunden konkret bei der Umsetzung unterstützen? Und was bedeutet das für kleine und mittelständische Betriebe? Security-Spezialisten einiger Unternehmen geben wertvolle Einblicke und Empfehlungen für die Praxis. (Teil 3 von 3)

mehr lesen
Bild: TeDo Verlag GmbH
Bild: TeDo Verlag GmbH
Safety und Security 
im Blick

Safety und Security im Blick

Die Pilz Unternehmensgruppe blickt auf ein herausforderndes Geschäftsjahr 2024 zurück. Der Umsatz sank auf 341 Mio. Euro – ein Rückgang von 21 Prozent gegenüber dem Vorjahr. Vor allem in Europa, insbesondere in Deutschland, war die Nachfrage nach Investitionsgütern schwächer. Trotz dieser Entwicklung stellt sich das Familienunternehmen auf die veränderten Marktbedingungen ein und richtet den Blick nach vorne, wie die geschäftsführenden Gesellschafter von Pilz, Susanne Kunschert und Thomas Pilz, auf dem Jahrespressegespräch berichteten.

mehr lesen