NOA-Konzept und Cybersecurity NOA Security Gateway – erste Ergebnisse aus dem Penetrationstest

Anbieter zum Thema

HIMA Paul Hildebrandt GmbH

Weidmüller GTI Software GmbH

Glatt Ingenieurtechnik GmbH

PHOENIX CONTACT Deutschland Gm

Eine wichtige Rolle im Namur Open Architecture (NOA)-Konzept spielt das NOA Security Gateway. In einem aufwändigen Penetrationstest wurden inzwischen die ersten Prototypen der Geräte geprüft – speziell im Hinblick auf Cybersecurity. Die Ergebnisse zeigen, dass das Konzept funktioniert und sicher ist.

Ein Seitenkanal für Daten, der sich wortwörtlich an die bekannte Automatisierungspyramide anlehnt: Mit dieser plakativen Darstellung wurde das in der Namur-Empfehlung NE 175 beschriebene NOA-Konzept bekannt. Durch den Seitenkanal sollen zukünftig Daten aus der Produktion, die sich zur Überwachung und Verbesserung von Prozessen nutzen lassen, rückwirkungsfrei aus den prozesstechnischen Anlagen in Auswertungs- und Prozessoptimierungstools fließen. Zahlreiche Vertreter von Namur und ZVEI haben daran gearbeitet. Nun ist es so weit: Die ersten Hersteller von Prozessautomatisierungstechnik bieten mit dem NOA Security Gateway – auch NOA-Diode genannt – die Schnittstelle an, die die Verbindung aus der Feldebene sicher und rückwirkungsfrei in den Seitenkanal schaffen soll. Wie in der NE 177 definiert, stand bei der Entwicklung der „unidirektionale Datenfluss ohne jegliche Rückwirkung“ im Vordergrund: der wesentliche Schritt in Richtung Digitalisierung und Offenheit.

Prüfung durch Security-Experten aus der Prozessindustrie

Bevor die ersten NOA Security Gateways auf den Markt kommen können, sind die Prototypen umfassend getestet worden – besonders im Hinblick auf Sicherheit. Initiatoren waren die Mitglieder des Namur-Arbeitskreises 2.8.4 „Automation Architecture – NOA-Diode & Security“, gemeinsam mit dem ZVEI, unter der Leitung von Markus Runde (BASF/Namur) und Christian Barth (Festo/ZVEI), die einen NOA-Security-Demonstrator konzipierten. In der IDEA-4.0-Anlage in Frankfurt-Höchst sind jeweils die Security-Umsetzungen von Firewalls, Ports und webbasierten Anmeldungen validiert worden. Dazu wurden vom Offensive-Security-Team von BASF professionelle Penetrationstests durchgeführt. Die Teammitglieder sind mit den Besonderheiten der Prozessautomation vertraut.

Bildergalerie

Ronny Becker von Bilfinger Maintenance kann aus erster Hand von den Erfahrungen berichten, denn er betreut die IDEA-4.0-Anlage (IGR Demonstrations- und Experimentier-Anlage). Dabei handelt es sich um eine Demonstrationsanlage für Industrie-4.0-Anwendungen, die von der Interessengemeinschaft Regelwerk Technik (IGR) entwickelt wurde. In der Vergangenheit hat Becker bereits Erfahrungen mit der mangelnden Konnektivität ohne das NOA-Konzept gemacht. Als Mitglied im Arbeitskreis NOA-Security weiß er, welche elementare Bedeutung Sicherheit in der Prozessindustrie hat – im Fall des NOA-Gateways das sichere Ausschleusen von Daten aus Prozessanlagen. Becker erklärt: „Deshalb haben wir großen Wert daraufgelegt, dass der Test von Security-Experten aus der Prozessindustrie realisiert wird. Sie verstehen, was ein Leitsystem ist, wie man mit Steuerungen in der Prozessindustrie umgeht und welche Fallstricke ein Gateway hier abdecken muss. Das Pen-Test-Team hat die drei Gateways, die ihnen von den jeweiligen Herstellern zur Verfügung gestellt worden sind, zwei Wochen intensiv geprüft.“

Rahmenbedingungen der NE 177 erfüllt

Die wichtigsten Anforderungen: Feldgeräte – aber auch M+O-Sensoren – sollen sich durch Einsatz des Gateways ohne Sicherheitsrisiko aus der Kernautomatisierung nach außen verbinden können. Dies muss ebenfalls für Bestandsanlagen funktionieren. Außerdem misst der Arbeitskreis NOA-Security der Interoperabilität eine große Bedeutung zu. Natürlich ist auch die grundlegende Funktion als „NOA-Datendiode“ – beispielsweise die rückwirkungsfreie Nutzung der OPC-UA-Kommunikation – inspiziert worden. Der Schwerpunkt des Penetrationstests lag auf dem Versuch, das Security-Gateway zu überwinden und von außen auf die Kernprozesssteuerung zuzugreifen. Ferner sollte geprüft werden, ob NOA-Daten verändert oder eingesehen werden können.

Um es vorwegzunehmen: keines der drei Produkte erfüllte die Anforderungen zu 100 Prozent, aber mit rund 98 Prozent schnitten alle Testkandidaten sehr gut ab und stimmten mit den Rahmenbedingungen der NE 177 überein. Das bestätigt Ronny Becker für den Arbeitskreis AK 2.8.4: „Die Ergebnisse waren durchweg positiv. Bei sämtlichen Gateways haben die Pen-Test-Kollegen lediglich Kleinigkeiten gefunden, die auch noch dem Prototypenstatus geschuldet waren. Diese sollten mit dem nächsten Software-Update behoben worden sein.“ Technikexperte Niklas Lecker von Phoenix Contact berichtet: „Zum Zeitpunkt des Tests hatten wir schon die nächste Version unseres NOA Security Gateways fertiggestellt. Geprüft wurde jedoch die Vorgängerversion. Die wenigen Sicherheitslücken hatten wir bereits selbst detektiert und beseitigt.“

Zertifizierung gemäß IEC 62443-4-2

Jeder der drei Anbieter hatte seine „Datendiode“ wie vorgesehen aus den Modulen Datenaggregator, One-Way-Datentransfer und Datenbereitstellung umgesetzt, allerdings auf unterschiedliche Weise. Das Gerät von Phoenix Contact setzt auf Standard-Hardware auf: einem Hart-Gateway, das als Datenaggregator aus der Feldinstrumentierung fungiert, sowie einer PLCnext-Steuerung AXC F 3152, die den unidirektionalen Datenaustausch in Richtung des OPC-UA-Servers und damit zur M&O-Anwendung realisiert. Hinzu kommt eine entsprechende Software. Findet die PLCnext-Steuerung als Teil des NOA Security Gateways Anwendung, wird das Sicherheitsprotokoll aktiviert. Es unterstützt verschiedene Sicherheitsfunktionen und kontrolliert die Integrität beim Booten. In Kombination mit speziellen Benutzerrollen – wie SecurityAdmin und SecurityAuditor für die Gerätekonfiguration und das Security Monitoring – stellte dies die Grundlage für die Zertifizierung gemäß der IEC 62443-4-2 als Leitsystemkomponente dar.

Erhöhung der Sicherheit und Verfügbarkeit durch ergänzenden Security Router

In der IDEA-4.0-Konfiguration wird das Hart-Gateway von Phoenix Contact passiv genutzt. Es liest die Informationen vorhandener Hart-Verbindungen aus, wobei eine Rückwirkung auf den Prozess ausgeschlossen ist. Das Hart-Gateway wird über sein Webinterface parametriert. Eine Zugangsdatenabfrage stellt sicher, dass die Schnittstelle nur von Berechtigten aktiviert werden kann. Die Kommunikation läuft über ein Ethernet-Kabel. Die PLCnext-Steuerung sorgt dafür, dass die Weiterleitung lediglich in eine Richtung funktioniert: Daten können hier zwar von der Anlage in den NOA-Seitenkanal transportiert werden, aber nicht in die andere Richtung.

Tipp der Redaktion: Treffen Sie die Experten von Phoenix Contact auf dem Smart Process Manufacturing Kongress am 13./14. September in Würzburg:

An dieser Stelle gibt es ebenfalls eine Zugriffskontrolle, sodass keine unberechtigten Manipulationen möglich sind, zum Beispiel die Umstellung vom Lese- auf den Schreibzugriff. Dafür kommt ein OPC-UA-Server zum Einsatz, der keinen Schreibzugriff umfasst. Als dritter Bestandteil des NOA Security Gateways wird auch der NOA-Aggregationsserver auf der Steuerung ausgeführt. Er bildet die Daten im NOA-Informationsmodell (PA-DIM) ab und stellt sie dem M+O-System über OPC UA zur Verfügung. Ein noch höheres Sicherheitslevel und höhere Verfügbarkeit lassen sich durch ergänzende Security Router der Produktfamilie mGuard von Phoenix Contact erreichen. Die Geräte beinhalten Firewall-Funktionen, VPN-Verbindungen und Redundanzeigenschaften.

Die vom Pen-Test-Team verwendete Prüfmethode für die Infrastruktur basiert auf dem Open Source Security Testing Methology Manual (OSSTMM), einem De-facto-Standard für Sicherheitskontrollen. Webapplikationen wurden auf der Grundlage des OWASP Application Security Verification Standards getestet. Ziel der Prüfung war das Eindringen in die Applikation. Wie schon angeführt, fand das Team Lücken bei allen NOA Security Gateways, die von den Herstellern jedoch einfach geschlossen werden konnten.

Einfachheit in der Handhabung

Der Arbeitskreis AK 2.8.4 zeigt sich zufrieden: „Gemeinsam mit den Security-Testern von BASF konnten wir nachweisen, dass das NOA-Konzept und hier insbesondere das in der NE 177 beschriebene Prinzip eines NOA Security Gateways funktioniert. Man kann sich auf das Regelwerk verlassen.“ Die Lösung von Phoenix Contact zeichnet sich zudem durch ihre einfache Handhabung aus, die für spätere Anwender wichtig ist. Becker: „Der Anwender kauft die Steuerung und das Hart-Gateway von der Stange und steckt die SD-Karte des NOA Security Gateways in die PLCnext-Steuerung – das war’s. Schließlich möchte niemand bei jeder Anwendung einen Security-Spezialisten hinzuziehen müssen, wenn er ein NOA Security Gateway aufsetzt.“

Die Mitglieder des AK 2.8.4 wünschen sich, dass der Stresstest wiederholt wird, sobald die Gateways offiziell auf den Markt kommen. Für sie sowie die Produktentwickler von Phoenix Contact ist selbstverständlich, dass eine eventuell auftauchende neue Sicherheitslücke sofort mit dem nächsten Patch behoben wird. In diesem Zusammenhang hat Becker eine Frage an die Gateway-Hersteller: „Wie lange können die Nutzer mit Updates rechnen? Werden sie zehn, 15 oder 20 Jahre entsprechend versorgt?“ Niklas Lecker und Boris Waldeck, die für die Entwicklung und Pflege des Gateways bei Phoenix Contact verantwortlich zeichnen, haben darauf eine eindeutige Antwort: „Treten im Lebenszyklus des Produkts Schwachstellen auf, sind Security-Updates essenziell. Nur so kann die Security über viele Jahre auf dem ursprünglichen Niveau sichergestellt werden.

Es reicht allerdings nicht aus, wenn die Hersteller die Schwachstellen beseitigen, der Betreiber muss das Update auch zeitnah in seine Anlage übernehmen. Da dieses Verfahren für beide Seite nicht immer reibungslos funktioniert, wird das Thema gerade in den Gesetzesentwürfen der EU zum Cyber Resilience Act (Hersteller) und zu NIS 2 (Betreiber) diskutiert. Hier werden Fristen von fünf bis zehn Jahren für neue Security-Updates und darüber hinaus eine langjährige Verfügbarkeit der Updates auf den Servern der Hersteller genannt, aber ebenso die Verpflichtung an die Betreiber, die Updates über lange Jahre zeitnah zu verwenden.“ Einen hohen Stellenwert hat dabei die „Sichere Softwareentwicklung“ gemäß IEC 62443, die proaktiv ausgerichtet ist. Durch die Integration von Security in die Softwareentwicklung werden Secure-by-Design-Produkte wie das NOA Security Gateway nachhaltig sicher.

(ID:49015159)