Interview zu Industrie 4.0 und IT Security Mit OPC UA sicher ins unsichere Netz

Autor: Dipl. -Ing. Ines Stotz

Wie bewerten IT-Security-Experten die Vernetzung von Maschinen und Anlagen mit OPC UA? Und wie lässt sich der Konflikt zwischen Vernetzung und Sicherheit lösen?

Firmen zum Thema

Industrie 4.0 und Digitalisierung erfordern eine starke Vernetzung und OPC UA ermöglicht genau das. Doch wenn alles mit allem vernetzt ist, stellt sich die Frage, wie man einzelne Segmente wirkungsvoll absichert.
Industrie 4.0 und Digitalisierung erfordern eine starke Vernetzung und OPC UA ermöglicht genau das. Doch wenn alles mit allem vernetzt ist, stellt sich die Frage, wie man einzelne Segmente wirkungsvoll absichert.
(Bild: ©kras99 - stock.adobe.com)

Industrielle Netzwerke müssen immer höheren Anforderungen gerecht werden, um die Bedarfe der Industrie 4.0 zu erfüllen. Gefragt sind durchgängige und sichere Netzwerkarchitekturen, die dynamisch skaliert werden können, standardisierte Schnittstellen bieten sowie eine einfache Maschinenintegration erlauben. In diesem Spannungsfeld ist OPC UA als offener Standard für die sichere und plattformneutrale industrielle Kommunikation ein wichtiger Baustein.

Steve Schoner, Produkt Marketing Manager und Markus Maier, Product Owner für Industrieprodukte beim deutschen IT-Security-Unternehmen Genua, erklären im Experteninterview, wie die Industrie den Konflikt zwischen Vernetzung und Sicherheit lösen kann.

Bildergalerie

Warum ist das Thema OPC UA für die Industrie 4.0 so wichtig?

Markus Maier: OPC UA ist das Industrieprotokoll der Zukunft, zumindest für den deutschen und europäischen Markt. Als offener, plattformunabhängiger Kommunikationsstandard ist er unabhängig von der Übertragungsschicht, ob TCP IP oder echtzeitfähige Protokolle wie TSN. Und er funktioniert auf kleinen Controllern ebenso wie auf Enterprise Servern. Das gilt nicht nur für den Informationsaustausch, sondern auch für Dienste, die Geräte bereitstellen. Damit ist standardisiert, wie Geräte miteinander kommunizieren.

Steve Schoner: Industrie 4.0 und Digitalisierung erfordern eine starke Vernetzung und OPC UA ermöglicht genau das. Statt proprietäre herstellerspezifische Protokolle über industrielle Netzgrenzen hinweg umzuwandeln und sich damit beschäftigen zu müssen, wie Daten in Netzwerken oder Anwendungsschichten ausgetauscht werden, kann mit OPC UA ein einziges Protokoll verwendet werden, vom Sensor bis in die Cloud. Ich kann mit OPC UA einen Großteil der horizontalen und vertikalen Ebenen abbilden.

Wir von Genua begreifen uns als unabhängige IT-Security-Experten. Deshalb unterstützen wir OPC UA als ein führendes Standardprotokoll. Mit OPC UA ist der Anwender nicht auf einen Anbieter festgelegt, den er an einem Ebenenübergang in der Automatisierungspyramide wählen muss. Er kann auf beliebige Diensteanbieter zurückgreifen.

Könnt ihr ein Beispiel für Dienste nennen, die in der Industrie 4.0 typischerweise eingebunden werden?

Maier: Zum einen sind das klassische Netzwerkdienste, zum Beispiel für die Gerätediagnose. Es gibt auch gerätespezifische Gruppen, so genannte Companion Specifications, mittels derer beispielsweise standardisiert wird, welche Dienste ein Roboter anbietet. Hersteller bestimmter Geräte- oder Maschinenkategorien schließen sich dafür zusammen und entwickeln eigene Erweiterungen des OPC-UA-Standards.

Welche grundlegenden Fragen stellen sich aus Sicht der IT Security, wenn ein sicheres Netzwerk für die Industrie 4.0 aufgebaut werden soll?

Schoner: Zunächst sollte man sich im Klaren sein, welche Assets sich im Netz befinden, das vielleicht im Laufe der Jahre organisch gewachsen ist und nicht immer umfassend dokumentiert wurde. Um diese Frage zu beantworten, kann unser Cognitix Threat Defender helfen, indem er per Asset Detection beziehungsweise Asset Tracking analysiert, welche Sender und Empfänger miteinander kommunizieren.

Weitere wichtige Fragen sind: Wie soll das Netz strukturiert werden? Wie kann man sicher vernetzen? Will man überhaupt alles miteinander vernetzen?

Wie bewertet Ihr als IT-Security-Experten die Vernetzung von Maschinen und Anlagen mit OPC UA? Ist das in erster Linie nützlich oder riskant?

Maier: Unter dem Aspekt der Vernetzung und Digitalisierung ist der Standard für die Industrie auf jeden Fall nützlich. Das Thema Sicherheit spielt natürlich eine elementare Rolle. IT Security ist Teil des OPC-UA-Standards, hierfür wurde eigens ein Security Layer spezifiziert. Dieser legt Mechanismen fest, wie sich Dienste oder Geräte authentifizieren, Daten verschlüsselt werden und deren Authentifizierung gewährleistet ist.

Er ermöglicht zudem abgesicherte Sitzungen zwischen einem OPC UA Client und Server und bietet Auditierungsdienste an, im Sinne von ‚Wann hat welches Gerät bzw. welcher Client, Server oder User bestimmte Dienste in Anspruch genommen‘.

OPC UA definiert außerdem ein Informationsmodell, wie auf Daten strukturiert zugegriffen werden kann, zum Beispiel auf Maschinendaten, Maschinenzustände oder Alarme. Hierfür existiert ein eigenes Datenmodell. Somit ist auch die Interpretation der Daten standardisiert.

Schoner: Das OPC-UA-Protokoll gewährleistet damit in der Tat Sicherheit. Es definiert einheitliche Schnittstellen, wie man auf Daten und Anwendungen zugreift.

Maier: Man muss aber auch sehen, dass man von der Sicherheit der Implementierung des OPC-UA-Protokolls oder Stacks abhängig ist. Mit dem jeweiligen Stack handelt man sich auch dessen Schwachstellen ein. Wer diese Risiken ausschließen will, sollte über ergänzende Sicherheitslösungen wie unsere hochsichere Cyber-Diode nachdenken. Sie erlaubt per sé nur eine unidirektionale Kommunikation, zum Beispiel um Daten aus sensiblen Industrieanlagen in aus IT-Security-Sicht unsichere Umgebungen wie das Internet oder eine Cloud auszuleiten. Selbst wenn der OPC UA Stack aufgrund von Schwachstellen kompromittiert wird, schlägt sich das nicht auf die Integrität der Industrieanlage nieder. Angreifer haben in keinem Fall Zugriff auf die Maschinen oder Anlagen. Wir liefern zudem einen verschlüsselten Datenkanal via IP sec aus dem Geheimschutz mit, unabhängig von der OPC-UA-Verschlüsselung.

Heißt das, dass OPC UA zwar die Kommunikation in industriellen Netzwerken deutlich vereinfacht, aber mit Blick auf die IT-Sicherheit das Risiko für eine Kompromittierung erhöht?

Maier: So kann man das nicht sagen. Der OPC-UA-Standard adressiert durchaus den Aspekt der IT Security und hat wie bereits erläutert einen integrierten Security Layer zur Authentifizierung und Verschlüsselung im Design berücksichtigt. Das Problem ist, dass der Anwender von der Implementierung des OPC UA Stacks des jeweiligen Herstellers abhängig ist.

Dieses schwer abzuschätzende Sicherheitsrisiko lässt sich durch unsere Lösungen sehr gut abfangen, etwa mittels Netzwerksegmentierung oder einer strikten Netztrennung zwischen sensiblen und unsicheren Bereichen. Mit der Industrie-Firewall Genuwall stehen Anwendern Segmentierung, Authentifizierung und Autorisierung zur Verfügung, um zu prüfen, ob ein Nutzer oder eine Maschine autorisiert ist, einen bestimmten OPC-UA-Serverdienst zu nutzen. Und die Cyber-Diode trennt hochkritische Netzwerke, in denen Standard-Firewalls keinen ausreichenden Schutz bieten, strikt ab. Sie bietet einen zuverlässigen Kommunikationskanal ins Internet, ohne sich von außen angreifbar zu machen.

Das OPC-UA-Protokoll gewährleistet in der Tat Sicherheit. Es definiert einheitliche Schnittstellen, wie man auf Daten und Anwendungen zugreift.

Steve Schoner, Produkt Marketing Manager, Genua

Genua ist IT-Security-Spezialist. Welche Expertise kann das Unternehmen für die Industrie 4.0 beitragen?

Schoner: Wenn alles mit allem vernetzt ist, stellt sich die Frage, wie man einzelne Segmente wirkungsvoll absichert. Das ist der Bereich, in dem wir unsere Expertise haben. Unsere Lösungen sichern Domänen- und Segmentübergänge.

Was unsere Produkte von denen anderer IT-Security-Anbieter unterscheidet, ist, dass wir nicht nur Stateful Firewalls anbieten, sondern auch einen OPC-UA-Applikationsfilter haben, der Berechtigungslagen abfragt, zum Beispiel ob jemand eine Nachricht an ein bestimmtes Zielsystem schicken darf.

Wir können Netzwerksegmentierung nicht nur auf TCP/IP Level wie klassische Firewalls sondern auch auf Anwendungsebene. Darüber hinaus ermöglichen wir auch Edge Computing, das heißt die Datenvorverarbeitung und Analyse auf einer sicheren Plattform mit flexiblen Docker-Apps im eigenen Netz, bevor diese zur weiteren Verarbeitung vertikal ausgeleitet werden.

Buchtipp

Ohne eine herstellerunabhängige Vernetzung von Geräten und Anlagen ist Industrie 4.0 nicht umsetzbar. OPC UA ist genau dafür konzipiert – doch der Einstieg ist nicht immer einfach. Das "Praxishandbuch OPC UA" gibt einen Überblick und zeigt auf, was am Markt verfügbar ist, welche Tools bei der Umsetzung helfen und wie es andere realisieren.

Mehr erfahren bei Vogel Fachbuch

(ID:47493341)

Über den Autor

Dipl. -Ing. Ines Stotz

Dipl. -Ing. Ines Stotz

Fachredakteurin Automatisierung, Maschinenbau-Ingenieurin, Fachjournalistin seit 2001; Vogel Communications Group