A lock in a dark environment. The lock is surrounded by blue PCB-like lines.
empowering communication

Industrielle Kommunikation mit Sicherheit

Die zunehmende Verschmelzung von Informationstechnologie (IT) und operativer Technologie (OT) stellt wachsenden Anforderungen an die IT-Sicherheit in der Produktionslandschaft. Ronald Heinze, Chefredakteur des VDE Verlag, hat dazu Thomas Rauch, Chief Technology Officer (CTO) bei Hilscher, interviewt und mit ihm über die Herausforderungen und Lösungsansätze einer sicheren industriellen Kommunikationsinfrastruktur in einer Ära der Digitalisierung gesprochen.

Text: Ronald Heinze

"Die traditionell getrennten Welten der IT und OT wachsen immer mehr zusammen", betont T. Rauch. Diese Integration ist essenziell, da beide Bereiche zunehmend miteinander kommunizieren müssen, um effektive Produktionsprozesse zu gewährleisten. Die durchgehende Konnektivität reicht heute von der Produktionsebene bis zur Private oder Public Cloud und schließt verschiedene digitale Services mit ein.

Die digitale Transformation bringt allerdings auch neue Risiken mit sich: Technologischer Fortschritt führt zur Entstehung neuer Angriffsvektoren, die zuvor undenkbar waren. Diese Entwicklung erfordert eine kontinuierliche Optimierung der Sicherheitsmaßnahmen für Field Devices und eine Stärkung der Resilienz in den Lieferketten. Die wachsende Vernetzung und der Wunsch nach weiterer Digitalisierung erhöhen die Fläche für potenzielle Cyberangriffe.

Die Bedrohungslage hat sich laut T. Rauch von isolierten Hackerangriffen zu einem globalen Szenario entwickelt, das von staatlich gesponserten Cyberoperationen bis hin zu Handelskriegen reicht. „Damit kann auch zielgerichtet die Produktion gestört oder sogar zum Erliegen gebracht werden“, betont der CTO. Diese Entwicklung stellt eine ernst zu nehmende Bedrohung dar, mit der nicht nur schadhaft auf Anlagen eingewirkt wird, sondern die sogar Menschenleben gefährden kann, indem sie direkt die funktionale Sicherheit der Anlagen betreffen kann. Laut dem Hilscher-Manager werden täglich 70 neue Schwachstellen für Angriffsvektoren vom Bundesamt für Sicherheit in der Informationstechnik (BSI) genannt.

Thomas Rauch
Technologische Antworten auf globale Sicherheitsherausforderungen

„Die heutigen technologischen Möglichkeiten führen die Sicherheitsherausforderungen in andere Dimensionen“, betont T. Rauch. „So wird beispielsweise das Quantencomputing selbst komplexe Sicherheitsmechanismen, die wir heute nutzen, aushebeln können.“ Dazu kommt die künstliche Intelligenz. „Neue EU-Regularien wie der vor kurzem verabschiedete Cyber Resilience Act verpflichten Unternehmen, sich mit diesem Thema intensiv auseinanderzusetzen – und zwar entlang der gesamten Supply Chain“, schließt der Manager an. Die Frage dabei ist: Wie lässt sich diesen begegnen, ohne in Panik zu verfallen?

Um diesen komplexen Herausforderungen zu begegnen, müssen Unternehmen auf fortschrittliche technologische Lösungen setzen, die selbst Entwicklungen im Bereich der Post-Quanten-Kryptografie berücksichtigen, die darauf abzielen, den anspruchsvoller werdenden Wettlauf gegen die entstehenden Bedrohungen zu gewinnen.

Das Unternehmen Hilscher geht hier vorneweg: „Als Experte für industrielle Kommunikation bringen wir unser Know-how ein“, weiß T. Rauch, der seit zwei Jahren bei Hilscher dabei ist. Das Konzept des „One-Stop-Shopping“ ermöglicht es dem Unternehmen mit Hauptsitz in Hattersheim, eine abgestimmte Kombination aus Software- sowie Hardware-Lösungen anzubieten, die speziell für den Schutz vor den neuartigen Angriffsvektoren konzipiert wurden. „Damit können wir komplett auf die Herausforderungen reagieren“, ergänzt der CTO, der für die Technologieentwicklung bei Hilscher für die netX-Chips, die Protokoll-Stacks und das Industrial IoT in den Standorten in Hattersheim, Berlin und Varna/Bulgarien zuständig ist. „Wir haben damit den Generalschlüssel gegen die neuen Angriffsvektoren.“ Er schließt an: „Allein mit Software wird es zukünftig nicht möglich sein, eine hohe Sicherheit zu gewährleisten.“

„Wir lassen dabei das Know-how der Open-Source-Community sowie der relevanten Real-time-Ethernet- und Feldbus-Organisationen, in denen wir ausnahmslos mitarbeiten und damit auch alle Anforderungen kennen, in unsere Lösungen einfließen“, setzt T. Rauch fort. Als Beispiel nennt er CIP Security der ODVA, Profinet Security der Profibus & Profinet international sowie OPC UA Security. Entscheidend ist auch der Einsatzort der Kommunikationslösung. Dabei muss der gesamte Security Life Cycle berücksichtigt werden.

Aktuelle und zukünftige Anforderungen abgedeckt

„Bereits die sich auf dem Markt etablierte Chipgeneration netX 90 deckt alle aktuellen Sicherheitsanforderungen ab“, ist sich der CTO sicher. „Hochentwickelte Sicherheitsmechanismen sind auf diesem Chip integriert.“ Diese Netzwerkprozessoren sind speziell darauf ausgelegt, den Anforderungen des Sicherheitsstandards IEC 62443 und des Cyber Resilience Acts gerecht zu werden und bieten eine solide Grundlage für die Absicherung der Kommunikation innerhalb des industriellen IoT.

„Unser netX 90 enthält beispielsweise Secure-Boot-Mechanismen. Die Firmware kann applikationsseitig signiert werden, damit ist keine schadhafte Software ladbar“, erläutert der 42-jährige Manager. Das Thema Sicherheit gewinnt aber in allen Produktbereichen weiter an Bedeutung hinzu. Hilscher will sicherstellen, dass auch zukünftig alle Sicherheitsstandards berücksichtigt werden, einschließlich neuer Sicherheitsmechanismen für verschiedene Kommunikationsprotokolle.

Noch einen Schritt weiter geht Hilscher daher mit der neuen Generation netX 900. Die Secure-Gigabit-Kommunikationsprozessoren integrieren Sicherheitsmechanismen auf verschiedenen Ebenen und bieten gleichzeitig hohe Leistung bei niedrigem Energieverbrauch. Das Security Management Processing verfügt über Sicherheitsfunktionen, wie Secure Debug, UniqueID, Key Management Certificate Management, Lifecycle Management und Crypto Engine.

„Selbst im Datenpfad ist ‚Security on the fly‘ integriert – und dies de facto ohne Einschränkung der Geschwindigkeit der Datenübertragung“, bestärkt T. Rauch. „Der netX 900 enthält einen eigenen Security-Prozessor mit Krypto-Engines.“ Er stellt heraus, dass die neue Generation von Kommunikationscontrollern eine zu 100 % hochoptimierte und abgestimmte Kombination aus Hard- und Software darstellt.

„Wir haben auch wieder alle Secure-Boot-Mechanismen in Bezug auf die Stacks integriert“, hebt er hervor. „Wenn wir Kommunikationscontroller entwickeln, betrachten wir dediziert alle Anforderungen. Angriffsvektoren können bereits im ROM Code enthalten sein.“ Er betont: „Als allumfassender Kommunikationsexperte haben wir alles in der Hand und können Schwächen dort beheben, wo es am wirksamsten ist.“ Diese integrierten Technologien unterstützen Security nach aktuellen Standards, erfüllen die Anforderungen der IEC 62443 und berücksichtigen sogar die sichere Entsorgung von Daten bei der Außerbetriebnahme. Die Sicherheitsstandards der Nutzerorganisationen sind integriert.

Die Entwicklung von Secure-Kommunikationscontrollern wie netX 900, die Secure Boot und die Möglichkeit der Signierung von Firmware bieten, stellt einen wichtigen Schritt dar, um industrielle Kommunikationsgeräte gegen unbefugte Eingriffe zu schützen. Die ersten Muster der netX-900-Familie stehen zur SPS 2024 zur Verfügung. Er betont, dass Hilscher dabei auch auf resiliente Lieferketten großen Wert legt: „Die von uns eingesetzten Halbleiter-Chips mit 22-Nanometer-Technologie beziehen wir von TSMC. Diese werden demnächst in Dresden und in Japan hergestellt. Wir sichern so langfristig die Lieferkette ab.“

A tray of embedded modules with a netX chip onboard in a production machine. A red gleam is seen in the background. A small golden needle for testing comes from the top pointing at the tray.
Regulatorische Anforderungen und Marktveränderungen

Aufgrund wachsender Risiken sind regulatorische Anforderungen zwingend erforderlich. Nach einer Karenzzeit von drei Jahren wird der inzwischen beschlossene Cyber Resilience Act (CRA) der Europäischen Union in Kraft treten, wobei einige Teilaspekte, darunter die Meldepflicht für Hersteller bei Sicherheitsvorfällen, deutlich früher bestehen. Auch die CE-Kennzeichnung steht dann damit im unmittelbaren Zusammenhang. Inverkehrbringer von entsprechenden Produkten sind verpflichtet, die CRA-Anforderungen zu erfüllen.

Die Einführung des CRA und die damit einhergehenden regulatorischen Anforderungen, wie die Verpflichtung zur Bereitstellung von Sicherheitspatches für mindestens fünf Jahre, werden den globalen Markt erheblich beeinflussen. Die Meldepflichten beinhalten, dass Probleme innerhalb von 24 Stunden an die zuständigen Stellen bekannt gegeben werden müssen. Die vorgesehenen Strafen bei Nichteinhaltung der gestellten Verpflichtungen sind ähnlich dimensioniert wie bei einem Verstoß gegen die Datenschutzgrundverordnung (DSGVO). T. Rauch ist überzeugt, dass die hohen Anforderungen an die industrielle Kommunikation zu einer Portfolio- bzw. Marktbereinigung führen wird.

„Bei Hilscher als Enabler der industriellen Kommunikation sind wir in der Lage, die hohen Security-Anforderungen zu berücksichtigen“, ist sich T. Rauch sicher. Dies gilt laut dem Manager für das gesamte Portfolio von Hilscher – angefangen von den Kommunikationscontrollern und insbesondere auch für den IoT-Bereich mit seinen netFIELD-Edge-Computing- und -Edge-Management-Lösungen. „Wir sehen auch in der IoT-Branche einen riesigen Umbruch, wenn Hersteller halbausgereifter Linux-Anwendungen oder Anlagenbetreiber mit selbstgebauten Lösungen die Kriterien des CRA erfüllen müssen.“ Dies ist seiner Meinung nach für viele Anbieter nicht wirtschaftlich, ihre Lösungen dauerhaft den wachsenden IT-Security-Anforderungen entsprechen zu lassen, da hierfür spürbare Ressourcen aufgebaut werden müssen.

Das könnte Sie auch interessieren
A lock in a dark environment. The lock is surrounded by blue PCB-like lines.

Entwickeln Sie sichere Geräte und Anlagen mit unseren netX-Kommunikationscontrollern und unserer Secure-Protokoll-Firmware. Damit sind Sie für Anforderungen aus Standards wie der IEC 62443 oder dem Cyber Resilience Act bestens gerüstet.

A photo collage showcasing various Hilscher products

Von schlüsselfertigen Produkten über hochintegrierte Lösungen bis hin zu ergänzender Software – Hilscher ist Ihr Partner für industrielle Kommunikation. Verschaffen Sie sich einen Überblick, wie Sie mit uns die Vernetzung Ihrer Maschinen auf ein neues Level bringen!

Roadmap zum CRA

„Wir sehen in diesen Regulierungen nicht nur eine Herausforderung, sondern auch eine Chance, uns als Vorreiter in Sachen Sicherheit zu positionieren“, freut sich der Manager. „Wir kennen die Risiken für unsere Kunden und können darauf reagieren.“ Durch die frühzeitige Anpassung an diese Standards und die Schaffung eines eigenen Sicherheitsexpertenteams kann Hilscher sogar seine Kunden in dem komplexen Zertifizierungsprozess begleiten und ein umfassendes Sicherheitsportfolio anbieten. Dabei geht es unter anderem darum, die Sicherheitsnorm IEC 62443 zu etablieren – und zwar auf der Prozess- als auch auf der Produktseite. Aber auch die Richtlinie NIS 2 ist betroffen. Das entsprechende Know-how liegt im Hause Hilscher vor.

Bei Hilscher gibt es einen festen Plan, rechtzeitig vor dem Inkrafttreten des CRA die Prozesse und die Produkte vom TÜV Rheinland für die IEC 63443 zertifizieren zu lassen. Das Unternehmen startet mit dem Maturity Level 2, welches einen bestimmten Reifegrad für Prozesse beschreibt. Für die Erfüllung einer bestimmten Stufe eines Reifegrads müssen immer alle prozessualen Anforderungen bei der Produktentwicklung bzw. Integration praktiziert werden. „Der Abschlussbericht für die Prozesszertifizierung wird zur SPS 2024 erwartet“, erläutert T. Rauch.

Technische Anforderungen an Systeme (IEC 62443-3-3) und Produkte (IEC 62443-4-2) werden in der Norm durch vier sogenannte Security Level (SL) bewertet. Die verschiedenen Level geben dabei die Widerstandsfähigkeit gegenüber verschiedener Angreiferklassen an. „Dementsprechend werden wir unsere Produkte klassifizieren“, erklärt er weiter. „Danach startet die Produktzertifizierung, die in zwei Stufen bis zur SPS 2026 endgültig abgeschlossen sein wird.“ Unterstützt wird der Kommunikationsexperte Hilscher dabei von einem Beratungsunternehmen.

Ein weiteres Thema ist die aktuelle NIS-2-Richtlinie. Bei der NIS-Richtlinie geht es darum, Angreifer fernzuhalten und auf Sicherheitsvorfälle vorbereitet zu sein. Neu bei NIS-2 ist der Anwendungsbereich: Die Richtlinie weitet Cybersicherheit auf sehr viele mittelständische Unternehmen aus. Der Stichtag für NIS 2 ist der 18. Oktober 2024. „NIS 2 lässt sich gut mit der Informationssicherheit nach der Norm ISO 27001 begegnen“, weiß T. Rauch. „Wir empfehlen, sowohl die IEC 62443 sowie die ISO 27001 anzuwenden. Auch hier arbeiten wir an der Zertifizierung nach ISO 27001, welche wir bis 2025 abschließen.“

Fazit

Eine ganzheitliche Sicherheitsstrategie, die sowohl die physische als auch die digitale Ebene umfasst, ist in der industriellen Kommunikation unumgänglich. In einer Zeit, in der die industrielle Produktion zunehmend digitalisiert und vernetzt wird, erfordert dies eine enge Zusammenarbeit zwischen IT und OT, die Entwicklung robuster Sicherheitslösungen und eine proaktive Anpassung an sich wandelnde regulatorische Anforderungen. Hilscher positioniert sich durch seinen integrativen Ansatz und sein umfassendes Know-how in der industriellen Kommunikation als zentraler Akteur, der die Sicherheitsanforderungen der modernen Produktionslandschaft nicht nur versteht, sondern auch aktiv gestaltet.

Der Text ist zuerst erschienen bei etz elektrotechnik & automation.

Weiterführende Links
A man in a dark blue business suit and a white blue shirt smiles into the camera. He has short dark hair.
Über den Autor: Ronald Heinze

Ronald Heinze ist in der Automatisierungsbranche als einer der am besten vernetzten und informierten Redakteure bekannt. Er ist Publishing Director und Chefredakteur der VDE VERLAG GmbH, einem deutschen Medienunternehmen für Fachzeitschriften wie das Digital Factory Journal oder etz.

Vernetzen Sie sich mit ihm auf LinkedIn

"etz" written in large blue letters on white background.

Die Fachzeitschrift etz elektrotechnik & automation des VDE Verlag liefert Ihnen die aktuellsten Meldungen aus den Bereichen Unternehmen und Branchen, sowie die neuesten Produktberichte und Fachartikel aus den Bereichen Fertigungs- und Maschinenautomation, Prozess- und Energieautomation, Antriebs- und Schalttechnik und Komponenten & Peripherie.

[Translate to Deutschland:] A photo of the male and female customer support phone operator with different internationality
Customer Center / Sales: Hilscher Hilscher Gesellschaft für Systemautomation mbH

Sie haben Fragen? Wir haben die Antworten!