A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

08.12.2015

Cybersecurity wird Teil der Ethernet/IP-Spezifikation

Die internationale Vereinigung ODVA hat die anstehende Veröffentlichung eines neuen Kapitels ihrer Spezifikationen angekündigt. Dieses Kapitel ist ausschließlich der Cybersecurity gewidmet. Es wird unter dem Namen CIP Security veröffentlicht und gehört zur Familie der bezeichnenden CIP-Services, darunter CIP Safety, CIP Energy, CIP Sync und CIP Motion. CIP Security wird zunächst für Ethernet/IP anwendbar sein.

Da Ethernet/IP auf COTS (commercial-off-the-shelf/kommerziell und serienmäßig produzierten)-Technologien basiert, ist es Benutzern schon seit längerem möglich, traditionelle Defense-in-Depth-Techniken in Ethernet/IP-Systemen einzusetzen, was ODVA bereits 2011 in ihrer Publikation „Securing Ethernet/IP Networks“ bekannt gab. CIP Security wird den Anwendern dabei helfen, zusätzliche Maßnahmen zum Schutz ihrer industriellen Steuersysteme mittels branchenbewährter Techniken zur Sicherung des Nachrichtentransports zwischen Ethernet/IP-Geräten und Systemen zu ergreifen und somit die Gefahr von Cyber-Bedrohungen zu reduzieren.

Die erste CIP Security-Version enthält Mechanismen gegen Identitäts-Spoofing, Datenmanipulation und die Offenlegung von Informationen. Zu den Mechanismen, die in der ersten CIP Security-Version unterstützt werden, gehören Geräteautorisierung, Integrität des Nachrichtentransports und Vertraulichkeit der Nachrichten. Für die Unterstützung dieser Mechanismen hat ODVA Standards der IETF (Internet Engineering Task Force) zur Verschlüsselung übernommen, denen TLS (Transport Layer Security), DTLS (Data Transport Layer Security) und Authentifizierung auf Basis des X.509v3-Standards für die Zertifikathandhabung zugrunde liegen. Einzelheiten zu ODVAs erstmaliger Implementierung von CIP Security und die Zukunftsaussichten wurden in einem Fachbeitrag auf dem ODVA Fachkongress 2015 und in der 17. jährlichen Mitgliederversammlung vorgestellt.

„Die Veröffentlichung des Kapitels zur Cybersecurity in der Ethernet/IP-Spezifikation ist der nächste Schritt, um Anwendern die Mechanismen zur Verwaltung von Bedrohungen und Schwachstellen in Ethernet/IP-Systemen zur Verfügung zu stellen“, so Katherine Voss, ODVA President und Executive Director. „Der nächste Schritt besteht in der Realisierung der Mechanismen, die über CIP Security in ODVA-konforme Ethernet/IP-Produkten bereitgestellt werden.“

Der Fokus der ODVA auf Cybersecurity ist nicht nur ein Resultat der wachsenden Bedeutung von Cybersecurity für industrielle Steuersysteme, sondern auch aus der weit verbreiteten Anwendung von Ethernet/IP in zahlreichen Applikationen, von der Fertigung bis hin zu kritischen Infrastrukturen. Bedingt durch die Breite der Anwendungen wird die nächste Ausgabe der Ethernet/IP-Spezifikation die Bandbreite auf IEC 62439-3 „Industrielle Kommunikationsnetzwerke – Hochverfügbarkeit von Automatisierungsnetzwerken – Teil 3” ausdehnen und High Availability Seamless Redundancy (HSR) zusätzlich zum Parallel Redundancy Protocol (PRP) einschließen. HSR wird gegenwärtig in der Umspannwerksautomatisierung (gemäß IEC-61850) eingesetzt. Andere, in der Ethernet/IP-Spezifikation unterstützte Hochverfügbarkeitsmechanismen sind RSTP (Rapid Spanning Tree) und DLR (Device Level Ring).

Die Spezifikationserweiterungen für Cybersecurity und Hochverfügbarkeit sind Teil einer größeren Gruppe von Erweiterungen, die ODVA zur Veröffentlichung in den nächsten Ausgaben ihrer Spezifikationen (für Dezember 2015) genehmigt hat. Insgesamt veröffentlicht ODVA zwei mal jährlich fünf Spezifikationen , welche Ethernet/IP-, Devicenet-, Componet-, Controlnet- und CIP Safety-Technologien und Standards umfassen.