Mehr Absicherung für Automatisierungsprozesse

Die bereits auf der SPS IPC Drives 2016 vorgestellte Lösung bietet Schutz für SPS (Speicherprogrammierbare Steuerungen) beziehungsweise RTUs (Remote Terminal Unit), die auf der Technologie Codesys basieren, eine der wichtigsten Entwicklungsumgebungen im Bereich industrielle Automation. Basis der Lösung ist Kaspersky Security System, eine Plattform zum Schutz sicherheitskritischer Aufgaben und Infrastrukturen. Es steht Anbietern als OEM-Komponente zur Verfügung.

Mit dem System können industrielle Kontrollsysteme abgesichert werden, unabhängig von der verwendeten Softwaretechnologie. Die beiden Unternehmen haben daher gemeinsam eine Implementierung entwickelt, die den bei der Codesys-Technologie verwendeten Hauptkommunikationskanal, den Codesys-Gateway, schützt.

„Softwaretool-Hersteller schenken dem Thema Cybersicherheit große Aufmerksamkeit. Allerdings ist der Steuerungshersteller selbst für die gesamte Sicherheit seines Systems verantwortlich, weil die Firmware verschiedene einzelne Softwaretechnologien nutzt. Als Systempartner bieten wir Anpassungen und Erweiterungen für das Laufzeitsystem an, oftmals unter Einbindung anderer Softwareprodukte. Die Integration einer Lösung für industrielle Kontrollsysteme, die das System nutzen, ist ein typisches Projekt für uns“, sagt Dimitri Philippe, CEO von BE.services.

Die Implementierung des Systems gewährleistet Sicherheit vor den größten Bedrohungen und fungiert als Informationsfilter, sodass nur vertrauenswürdige Aktionen ausgeführt werden können. Dazu wird das Laufzeitsystem (Codesys Runtime) in zwei isolierte Domains separiert. Die Interprozesskommunikation wird über Kaspersky Security System abgewickelt. Zudem kontrolliert und verwaltet es eintreffende Anfragen über den Gateway.

Die entwickelte Integration erfordert Modifikationen innerhalb der Embedded-Software-Architektur sowie im Laufzeitsystem. Auch kann sie auf vielen verschiedenen Prozessoren beziehungsweise Betriebssystemplattformen eingesetzt werden.

Sicherheitsrichtlinien können mit den Tools von Kaspersky Lab konfiguriert, aber auch direkt innerhalb von Codesys IDE über die neue Plug-in-Komponente, ESS Security Editor Plug-in for Codesys, erledigt werden. Die Kommunikation zwischen dem Editor und dem System erfolgt über einen vertrauenswürdigen Kanal.

„Wir wollen skalierbare Sicherheitslösungen für alle Ebenen von Industrieobjekten anbieten – von SPS- beziehungsweise RTU-Geräten über industrielle Netzwerke bis hin zu Manufacturing Execution Systems (MES) und ERP-Systemen“, sagt Andrey Nikishin, Special Projects Director, Future Technologies, bei Kaspersky Lab.

Die neue Lösung schützt mittels Technologien und Dienstleistungen und kann auf Geräte-, Industriesystem- sowie Unternehmensnetzwerkebene eingesetzt werden. So werden einzelne physische Geräte geschützt, aber auch Produktionsprozesse kontrolliert (stapelweise, kontinuierlich und einzeln), Fertigungsprozesse zur Kontrolle von Arbeitsabläufen innerhalb der Produktion sicher verwaltet sowie das Management von Ende-zu-Ende-Versorgungsketten (beispielsweise zur Produktion, für den Materialeinsatz oder die Auslieferung) geplant und logistisch organisiert. „Die meisten Softwaretools im Embedded-Bereich sind per Design unsicher, weil Sicherheit niemals Teil der Spezifikationen war. Zudem sind diese Technologien oftmals auf Feldebene installiert und weisen viele Schwachstellen auf“, so Andrey Nikishin.

Die Lösung Embedded Security Shield ist in einer Betaversion verfügbar. Seit der SPS IPC Drives steht ein SDK (Software Development Kit) bereit. tha