Wie unterstützt ‚zenon‘ Unternehmen bei der Implementierung von Sicherheitsrichtlinien gemäß IEC 62443, speziell in vernetzten Produktionsumgebungen?

Copa-Data ist zwar kein Anbieter von IT-Sicherheit, doch mittels ‚zenon‘ verhelfen wir Unternehmen bei der Implementierung von Sicherheitsrichtlinien gemäß IEC 62443, insbesondere in vernetzten Produktionsumgebungen. In den Entwicklungsprozessen unserer Software-Plattform wurden Kernaspekte der IEC 62443-4-1 integriert, so können wir eine modulare und leicht anpassbare Softwarelösung anbieten, die Unternehmen an ihre individuellen Sicherheits-Anforderungen anpassen können. Um die Security Features darzustellen, wurde in der ’zenon Online Hilfe eine IEC 62443-3-3 »Mapping Table« anhand eines dezidierten »Security Use Case« beschrieben, der die möglichen Sicherheitslevel demonstriert.

Darüber hinaus verfügt die Software-Plattform über Segmentierungsfunktionen, um den Zugriff innerhalb von Netzwerkzonen zu beschränken, und entspricht damit den einschlägigen Richtlinien zur Netzwerksegmentierung. Mit den integrierten Kontroll- und Alarm-Funktionalitäten kann die Software so konfiguriert werden, dass ungewöhnliche Aktivitäten in Produktionsumgebungen schneller erkannt werden. Sie unterstützt Software-Updates und Patch-Management, um Sicherheitsrisiken durch veraltete Software Komponenten zu minimieren. Unser Expertenteam führt „Patch Compatibility“-Tests durch und bietet, nach IEC 62443-2-3, die Ergebnisse in einem standardisierten XML-Format an, welches den manuellen Prüfaufwand erheblich verringert.

Bei der Neuinstallation – auch von Teilen der Software-Plattform – können sich Kunden für eine „Hardening-Installation“ entscheiden, um potenzielle Angriffsvektoren zu reduzieren und so sicher stellen, dass ihre Systeme widerstandsfähiger gegen Cyber-Bedrohungen sind.

 Welche Sicherheitsfunktionen sind in zenon integriert, um den Zugriff auf kritische Systeme und Daten zu schützen?

Die in ‚zenon‘ integrierten Sicherheitsfunktionen orientieren sich eng an der IEC 62443, indem sie verschiedene Funktionalitäten unterstützen, um eine robuste, mehrschichtige Verteidigung gegen Cyber-Bedrohungen aufzubauen. Die Software-Plattform bietet integrierte Features zur sicheren Benutzerauthentifizierung, die einen rollenbasierten Zugriff auf sensible Informationen ermöglichen und sicherstellen, dass nur autorisiertes Personal kritische Operationen durchführen kann. Die Benutzerverwaltung ist sowohl FDA-konform als auch vollständig in Active Directory integrierbar. Außerdem wird sowohl eine lokale als auch domänenbasierte Anmeldung unterstützt, was Flexibilität und Ausfallsicherheit schafft. Die Kommunikationsprotokolle und die verschlüsselte Datenübertragung entsprechen den Anforderungen der IEC 62443, schützen die Datenintegrität und reduzieren Risiken in Produktionsumgebungen. Nur authentifizierte Clients erhalten Zugriff auf einen zenon-Server. Darüber hinaus schützt zenon vor Datenmanipulation durch Dateisignaturen und bietet eine lückenlose Änderungsverfolgung im Editor. Auch der Zugriff auf ältere Projektversionen wird durch die Projektversionierung und das integrierte Backup-System erleichtert.

Mit Zertifizierungen wie der für den OPC UA Server und die IEC-61850-Unterstützung sowie durch Windows-Zertifizierungen integriert zenon nahtlos gängige Sicherheitsstandards. 

Wie erleichtert die Plattform die Integration von OT-Systemen in bestehende IT-Netzwerke, ohne Sicherheitslücken zu schaffen?

Die traditionelle Trennung zwischen IT und OT, die oft auf physischen Barrieren basierte, wird durch die zunehmende Vernetzung aufgehoben. Diese Konnektivität eröffnet zwar neue Möglichkeiten für die Überwachung und Steuerung von Produktionsprozessen, schafft jedoch gleichzeitig Angriffsvektoren für Cyberkriminelle. Demnach müssen Unternehmen nicht nur technologisch innovativ sein, sondern auch ganzheitlich sicherheitsbewusst handeln. Die Integration von IT und OT sollte nicht als Kompromiss zwischen Effizienz und Sicherheit wahrgenommen werden, sondern als eine Chance, beide Aspekte in einer synergetischen Balance zu vereinen.

Mit zenon schaffen wir genau dies durch den Einsatz von Lösungen wie den IIoT Services, welche auf aktuelle Authentifizierungsmöglichkeiten und Schnittstellen setzen. Die jeweiligen Schnittstellen nach außen fungieren als Diode, damit die Datenintegrität gewahrt bleibt und schreibende Zugriffe von außen verhindert werden bzw. nur an bestimmten Punkten erlaubt werden. 

Wie unterstützt zenon die Umsetzung von „Defense in Depth“-Strategien in der industriellen Automatisierung?

Es gibt viele Möglichkeiten für Betriebe, sich vor Cyber-Bedrohungen zu schützen, doch Software-Systeme sind ein unverzichtbarer Bestandteil eines ganzheitlichen Sicherheitsansatzes. zenon leistet hier zum einen die Sicherheit, dass die Software-Plattform selbst sicher ist. Zum anderen kann zenon als SIEM-Tool (Security Information and Event Management) agieren, um verschiedene Systeme in der Infrastruktur zu Überwachen und sicherheitskritische Vorgänge frühzeitig zu erkennen und zu melden.

Nehmen wir das Beispiel Kryptografie: Sie verschleiert die Kommunikation, sodass Unbefugte keinen Zugriff auf sie haben. Informationen können damit lediglich von autorisierten Personen eingesehen werden. Kryptografie ist eine gute Ergänzung zu einer verschlüsselten Kommunikation, welche den Angriff auf die interne und externe Benutzerverwaltung minimiert. Ein zentrales IT/OT System-Logging stellt sicher, dass alle dort anfallenden Aktivitäten auch tatsächlich nachvollziehbar sind.

Welche Rolle spielen regelmäßige Software-Updates und Patch-Management in zenon, um aktuelle Sicherheitsstandards aufrechtzuerhalten?

Einmal eingesetzt, sind die meisten Systeme einer Anlage sehr langlebig und verbleiben oft 15 bis 20 Jahre im Feld. In dieser Zeit können sich erhebliche Veränderungen ergeben. Wenn Systemkomponenten das Ende ihres Lebenszyklus erreichen, erhalten sie oft keine Sicherheitsupdates mehr vom Hersteller. Das heißt, bekannte Schwachstellen werden nicht mehr durch Updates geschlossen und können von Angreifern ausgenutzt werden.

Besser wäre es, wenn Anwender selbst in der Lage wären, sich auf Veränderungen einzustellen, ohne umfangreiche Teile der Anlage ersetzen zu müssen. Modulare Automatisierung, MTP-Standards, HTML5-Technologien und innovative Ansätze wie Künstliche Intelligenz bieten Möglichkeiten, sich flexibel auf neue Anforderungen anzupassen. Wer auf Systeme setzt, die flexibel und resilient sind, wird auch den nächsten technologischen Entwicklungen der Zukunft folgen können. Damit Systeme immer auf dem neuesten Sicherheitsstand sind und schnell auf neue Bedrohungen reagiert werden kann, sind installierte Patches und Rollback-Optionen absolut hilfreich.

Copa-Data auf der SPS 2024: Halle 7, Stand 590