Newsletter abonnieren

placeholder
Security-Router für das Produktionsnetzwerk

Umfassend geschützt vor Cyber-Attacken

Täglich lesen wir über neue Security-Vorfälle. Betroffen sind immer häufiger die Fertigungsbereiche von Unternehmen. Security-Router schützen die letzte Meile des Produktionsnetzwerks vor Cyber-Angriffen – direkt an der Maschine.
IEC62443 beschreibt die prozessualen und technischen Maßnahmen und Anforderungen im OT-Bereich - und gilt als Blaupause für den Cyber Resilience Act.
IEC62443 beschreibt die prozessualen und technischen Maßnahmen und Anforderungen im OT-Bereich – und gilt als Blaupause für den Cyber Resilience Act.Bild: Phoenix Contact Deutschland GmbH

Schon allein aus rechtlichen Gründen müssen sich fertigende Industrieunternehmen mit der Sicherheit ihrer Anlagen und Produktionsprozesse auseinandersetzen. Denn seit Januar 2023 gilt in der EU die NIS-2-Richtlinie, in Deutschland ist dafür mit kommendem Herbst zu rechnen. Dann müssen Unternehmen mit über 50 Mitarbeitern sowie mit einem Umsatz ab 100 Millionen Euro bestimmte Standards zur Informationssicherheit erfüllen. Für 2027 ist darüber hinaus der Cyber Resilience Act (CRA) geplant. Das heißt: Bis Ende dieses Jahres müssen alle neuen Produkte sämtlich Anforderungen des CRA erfüllen. Und das betrifft alle Hersteller von Produkten mit digitalen Komponenten während deren gesamten Lebenszyklus. Problematisch: Bisher liegen keine harmonisierten Normen für den CRA vor.

Blaupause für Cyber Resilience Act

Als ein solcher Standard im OT-Bereich bietet sich die IEC62443 an. Mit dieser Norm geht ein Standard einher, der Anforderungen auf unterschiedlichen Ebenen einschließt – vom Anlagenbetreiber über den Systemintegrator bis hin zum Komponentenhersteller. Zudem beschreibt die IEC62443 die prozessualen und technischen Maßnahmen und Anforderungen. Zahlreiche Unternehmen ziehen diese Norm bereits heran, um die NIS-2-Richtlinie im Fertigungsfeld umzusetzen. Für Komponentenhersteller wiederum wurde die Ebene IEC62443-4-X erdacht. Derzeit stellen sich diese Normteile als Blaupause heraus für die entstehenden harmonisierten CRA-Normen.

Schutzmaßnahmen gemäß IEC62443

Defense-in-Depth-Maßnahmen zeigen sich bei der Umsetzung der IEC62443 als wichtiger Aspekt. Dieses Konzept beruht auf einem Mehrschichtprinzip: Mehrere Sicherheitsschichten werden nacheinander implementiert, gemeinsam schützen sie das System umfassend. Perimeter sind hier die äußere Grenze des Netzwerks – also Zäune, Türen oder Zutrittskontrollen. Die Network-Security-Schicht enthält die Unternehmens- und Office-Zone sowie eine Service-Management-Zone, die durch IT-Sicherheitskonzepte abgesichert sind. Die System-Integrity-Schicht umfasst OT-Geräte und -Anwendungen, die durch die IEC62443-Konzepte geschützt sind.

Security-Router sichern Infrastruktur

Zu den Maßnahmen dieser Normenreihe zählen: die Konfiguration und Segmentierung der Netzwerke, der Datenschutz bei ihrer Speicherung und Übertragung sowie die Authentifizierung der Nutzer. Hinzu kommen die Überwachung und Protokollierung von Nutzer- und Systemaktionen, die Security-Härtung der Geräte sowie Konfiguration, Updates und Backup-and-Restore-Lösungen. Auch organisatorische Anforderungen an das System-Handling sind berücksichtigt. Viele dieser Funktionen übernehmen Security-Router, z.B. die Netzwerksegmentierung, die verschlüsselte Kommunikation über VPN oder die Firewall-Funktion. Diese Geräte sichern die letzte Meile der Infrastruktur der Produktion, und zwar direkt an den Maschinen und Robotern.

Geschützt kommunizierende Netzwerke

In diesem Bereich ist Phoenix Contact bekannt: Die Produktfamilie FL mGuard ist inzwischen in einer mehrfach weiterentwickelten Generation verfügbar – mit Gbit-Datendurchsatz. Als dezentrale Firewall ermöglichen diese Geräte die Kontrolle und den Schutz der Kommunikation innerhalb des Maschinen- und Fertigungsnetzwerks. Dazu sichern sie das Netzwerk vor unautorisierten Zugriffen durch Personen und Schadsoftware. Über den Stealth-Modus lassen sich die Security-Router auch unkompliziert in vorhandene Netzwerke einbinden. Wer mehrere FL-mGuard-Router nutzt, sollte die Konfiguration über die dazugehörige, zentrale Managementsoftware steuern.

Die Security-Router FL mGuard 2100 und 4300 kontrollieren und sichern die Kommunikation innerhalb von Produktionsnetzwerken.
Die Security-Router FL mGuard 2100 und 4300 kontrollieren und sichern die Kommunikation innerhalb von Produktionsnetzwerken.Bild: Phoenix Contact Deutschland GmbH

Vorgaben ab Produktentwicklung

Einerseits wichtig sind das sichere Netzwerkdesign sowie die richtigen Schutzmechanismen und -komponenten. Andererseits müssen auch die eingesetzten Komponenten selbst Security-Anforderungen genügen. Um durchgehend IEC62443-zertifiziert zu sein, und zwar entlang des gesamten Produktlebenszyklus, müssen die Vorgaben schon bei der Produktentwicklung erfüllt sein. Phoenix Contact hat die Zertifizierung für FL mGuard bereits 2020 erhalten. Bestätigt vom TÜV Rheinland, entsprechen die Security-Router den höchsten Ansprüchen an Sicherheitsvorschriften für Produktionsanlagen: Die Baureihe erreicht durchgängig die Security Level Capability SL-C 2. Und regelmäßige Firmware-Updates und Maßnahmen zur Software-Pflege sorgen dafür, dass dieses Niveau auch langfristig beibehalten wird.

Gesamter Lebenszyklus abgedeckt

Die Router sind Teil des ganzheitlich gedachten 360-Grad-Security-Konzepts von Phoenix Contact. Mit diesem Ansatz zielt das Unternehmen darauf ab, Sicherheit im gesamten Lebenszyklus der Automatisierungsprodukte und -lösungen zu verankern. Das beginnt bei der sicheren Produktentwicklung – und dafür schafft die IEC62443-4-1 die Grundlage. Geräte, die diesem Normenteil entsprechen, dürfen sich Security-by-Design nennen. Über dieses Zertifikat verfügen inzwischen sieben Business Units von Phoenix Contact. Die Produkte selbst müssen strenge Anforderungen erfüllen: den Schutz vor DDoS-Angriffen, ein User-Management sowie die Vertraulichkeit von Daten bei der Übertragung und Speicherung. Von FL mGuard einmal abgesehen, ist z.B. auch die Steuerung des offenen Automatisierungssystems PLCnext Control derart gemäß IEC62443-4-2 zertifiziert. Weitere Zertifizierungen sind geplant.

Immer einen Schritt voraus bleiben

Cyber Security geht jedoch über die einzelnen Komponenten hinaus: Das komplette Netzwerk muss nach derlei Gesichtspunkten aufgebaut sein. Im Rahmen des 360-Grad-Security-Konzepts entwickelt Phoenix Contact ebenfalls maßgeschneiderte Lösungen – und unterstützt Anwender so bei sicherem Netzwerkdesign. Um das Thema ganzheitlich zu betrachten, ist es auch wichtig, die eigenen Produkte regelmäßig auf Sicherheitslücken zu prüfen. Zudem reagiert das Security-Team auf Vorfälle und andere Probleme im Zusammenhang mit der Sicherheit von Produkten, Lösungen und Dienstleistungen. Denn viele Gefahren kommen aus Hackerangriffen oder Schadsoftware, die ständig neue Bedrohungsszenarien entwickeln. Das entsprechende Phoenix-Contact-Team legt Sicherheitslücken offen, untersucht sie, koordiniert die Arbeit der internen Produktexperten und veröffentlicht Sicherheitshinweise zu bestätigten Schwachstellen. Das Ziel jeder erfolgreichen Sicherheitsstrategie ist gleich: den Angreifern immer einen Schritt voraus bleiben.

Mehr zu Thema

Thematik: Allgemein Ausgabe: HOB Die Holzbearbeitung 5+6 (Juni) 2025
Phoenix Contact Deutschland GmbH
Zur Firmenwebsite

das könnte sie auch interessieren