Interviews
So sicher ist OPC UA aus Sicht von IT-Security-Experten
Wie bewerten IT-Security-Experten die Vernetzung von Maschinen und Anlagen mit OPC UA? Eignet sich OPC UA auch für kritische Infrastrukturen (KRITIS) und sensible Anlagensegmente? Steve Schoner, Produkt Marketing Manager und Markus Maier, Product Owner für Industrieprodukte bei genua, erklären, wie die Industrie den Zielkonflikt zwischen Digitalisierung und Safety lösen kann.
Markus, Steve, warum ist das Thema OPC UA für die Industrie 4.0 so wichtig?
Markus Maier: OPC UA ist das Industrieprotokoll der Zukunft, zumindest für den deutschen und europäischen Markt. Als offener, plattformunabhängiger Kommunikationsstandard ist er unabhängig von der Übertragungsschicht, ob TCP IP oder echtzeitfähige Protokolle wie TSN. Und er funktioniert auf kleinen Controllern ebenso wie auf Enterprise Servern. Das gilt nicht nur für den Informationsaustausch, sondern auch für Dienste, die Geräte bereitstellen. Damit ist standardisiert, wie Geräte miteinander kommunizieren.
Steve Schoner: Industrie 4.0 und Digitalisierung erfordern eine starke Vernetzung und OPC UA ermöglicht genau das. Statt proprietäre herstellerspezifische Protokolle über industrielle Netzgrenzen hinweg umzuwandeln und sich damit beschäftigen zu müssen, wie Daten in Netzwerken oder Anwendungsschichten ausgetauscht werden, kann mit OPC UA ein einziges Protokoll verwendet werden, vom Sensor bis in die Cloud. Ich kann mit OPC UA einen Großteil der horizontalen und vertikalen Ebenen abbilden. Wir von genua begreifen uns als unabhängige IT-Security-Experten. Deshalb unterstützen wir OPC UA als ein führendes Standardprotokoll. Mit OPC UA ist der Kunde nicht auf einen Anbieter festgelegt, den er an einem Ebenenübergang in der Automatisierungspyramide wählen muss. Er kann auf beliebige Diensteanbieter zurückgreifen.
Könnt ihr ein Beispiel für Dienste nennen, die in der Industrie 4.0 typischerweise eingebunden werden?
Markus Maier: Zum einen sind das klassische Netzwerkdienste, z. B. für die Gerätediagnose. Es gibt auch gerätespezifische Gruppen, so genannte Companion Specifications, mittels derer z.B. standardisiert wird, welche Dienste ein Roboter anbietet. Hersteller bestimmter Geräte- oder Maschinenkategorien schließen sich dafür zusammen und entwickeln eigene Erweiterungen des OPC-UA-Standards.
Video: OPC UA sicher implementieren
Welche grundlegenden Fragen stellen sich aus Sicht der IT Security, wenn ein sicheres Netzwerk für die Industrie 4.0 aufgebaut werden soll?
Steve Schoner: Zunächst sollte man sich im Klaren sein, welche Assets sich im Netz befinden, das vielleicht im Laufe der Jahre organisch gewachsen ist und nicht immer umfassend dokumentiert wurde. Um diese Frage zu beantworten, kann unser cognitix Threat Defender helfen, indem er per Asset Detection bzw. Asset Tracking analysiert, welche Sender und Empfänger miteinander kommunizieren. Weiter wichtige Fragen sind:
- Wie soll das Netz strukturiert werden?
- Wie kann man sicher vernetzen?
- Will man überhaupt alles miteinander vernetzen?
Wie bewertet Ihr als IT-Security-Experten die Vernetzung von Maschinen und Anlagen mit OPC UA? Ist das in erster Linie nützlich oder riskant?
Markus Maier: Unter dem Aspekt der Vernetzung und Digitalisierung ist der Standard für die Industrie auf jeden Fall nützlich. Das Thema Sicherheit spielt natürlich eine elementare Rolle. IT Security ist Teil des OPC UA-Standards, hierfür wurde eigens ein Security Layer spezifiziert. Dieser legt Mechanismen fest, wie sich Dienste oder Geräte authentifizieren, Daten verschlüsselt werden und deren Authentifizierung gewährleistet ist. Er ermöglicht zudem abgesicherte Sitzungen zwischen einem OPC UA Client und Server und bietet Auditierungsdienste an, im Sinne von "Wann hat welches Gerät bzw. welcher Client, Server oder User bestimmte Dienste in Anspruch genommen". OPC UA definiert außerdem ein Informationsmodell, wie auf Daten strukturiert zugegriffen werden kann, z. B. auf Maschinendaten, Maschinenzustände oder Alarme. Hierfür existiert ein eigenes Datenmodell vorhanden. Somit ist auch die Interpretation der Daten standardisiert.
Steve Schoner: Das OPC UA-Protokoll gewährleistet damit in der Tat Sicherheit. Es definiert einheitliche Schnittstellen, wie man auf Daten und Anwendungen zugreift.
Markus Maier: Man muss aber auch sehen, dass man von der Sicherheit der Implementierung des OPC-UA-Protokolls oder Stacks abhängig ist. Mit dem jeweiligen Stack handelt man sich auch dessen Schwachstellen ein. Wer diese Risiken ausschließen will, sollte über ergänzende Sicherheitslösungen wie unsere hochsichere cyber-diode nachdenken. Sie erlaubt per sé nur eine unidirektionale Kommunikation, z. B. um Daten aus sensiblen Industrieanlagen in aus IT-Security-Sicht unsichere Umgebungen wie das Internet oder eine Cloud auszuleiten. Selbst wenn der OPC UA Stack aufgrund von Schwachstellen kompromittiert wird, schlägt sich das nicht auf die Integrität der Industrieanlage nieder. Angreifer haben in keinem Fall Zugriff auf die Maschinen oder Anlagen. Wir liefern zudem einen verschlüsselten Datenkanal via IPsec aus dem Geheimschutz mit, unabhängig von der OPC UA-Verschlüsselung.
Heißt das, dass OPC UA zwar die Kommunikation in industriellen Netzwerken deutlich vereinfacht, aber mit Blick auf die IT-Sicherheit das Risiko für eine Kompromittierung erhöht?
Markus Maier: So kann man das nicht sagen. Der OPC UA-Standard adressiert durchaus den Aspekt der IT Security und hat wie bereits erläutert einen integrierten Security Layer zur Authentifizierung und Verschlüsselung im Design berücksichtigt. Das Problem ist, dass der Anwender von der Implementierung des OPC UA Stacks des jeweiligen Herstellers abhängig ist. Dieses schwer abzuschätzende Sicherheitsrisiko lässt sich durch unsere Lösungen sehr gut abfangen, z. B. mittels Netzwerksegmentierung oder einer strikten Netztrennung zwischen sensiblen und unsicheren Bereichen. Mit der Industrial Firewall genuwall stehen Kunden Segmentierung, Authentifizierung und Autorisierung zur Verfügung, um zu prüfen, ob ein Nutzer oder eine Maschine autorisiert ist, einen bestimmten OPC UA-Serverdienst zu nutzen. Und die Datendiode cyber-diode trennt hochkritische Netzwerke, in denen Standard-Firewalls keinen ausreichenden Schutz bieten, strikt ab. Sie bietet einen zuverlässigen Kommunikationskanal ins Internet, ohne sich von außen angreifbar zu machen.
genua ist IT-Security-Spezialist. Welche Expertise kann das Unternehmen für die Industrie 4.0 beitragen?
Steve Schoner: Wenn alles mit allem vernetzt ist, stellt sich die Frage, wie man einzelne Segmente wirkungsvoll absichert. Das ist der Bereich, in dem genua seine Expertise hat. Unsere Lösungen sichern Domänen- und Segmentübergänge. Was unsere Produkte von denen anderer IT-Security-Anbieter unterscheidet, ist, dass wir nicht nur Stateful Firewalls anbieten, sondern auch einen OPC UA-Applikationsfilter haben, der Berechtigungslagen abfragt, z. B. ob jemand eine Nachricht an ein bestimmtes Zielsystem schicken darf. Wir können Netzwerksegmentierung nicht nur auf TCP/IP Level wie klassische Firewalls sondern auch auf Anwendungsebene. Darüber hinaus ermöglichen wir auch Edge Computing, d. h. die Datenvorverarbeitung und Analyse auf einer sicheren Plattform mit flexiblen Docker-Apps im eigenen Netz, bevor diese zur weiteren Verarbeitung vertikal ausgeleitet werden.
Warum OPC UA?
Open Platform Communications Unified Architecture, kurz OPC UA, ist ein hersteller- und plattformunabhängiger Standard für die industrielle Kommunikation im Kontext von Industrie 4.0. Er ermöglicht den Zugriff auf Daten und Anwendungen in vertikaler Richtung, also von Maschinen oder Feldgeräten bis in die Cloud, sowie auf horizontaler Ebene, von Maschine zu Maschine (M2M).
Der offene Kommunikationsstandard ist unabhängig vom Betriebssystem, von der Anwendung und der Programmsprache. Das erlaubt eine gesicherte Kommunikation direkt im Protokoll und ohne zusätzliche Hardware. Die Bandbreite erstreckt sich von auf Geräten, Maschinen oder Anlagen integrierten OPC-UA-Komponenten bis hin zu Enterprise Servern. OPC UA integriert zudem Sicherheitsmechanismen zur Verschlüsselung, Signierung und Authentifizierung. Damit bietet OPC UA gute Voraussetzungen für die erfolgreiche Vernetzung und Digitalisierung der Industrie.
Wem gehört OPC UA?
Der hersteller- und plattformunabhängige Standard wurde von der 1996 gegründeten OPC Foundation entwickelt. Die OPC Foundation ist eine globale gemeinnützige Organisation mit mehr als 450 Mitgliedern aus allen Industriebereichen, darunter seit Kurzem auch genua. Sie arbeitet eng mit Anwendern und Herstellern zusammen, um den offenen Standard OPC UA laufend weiterzuentwickeln und an die Marktbedürfnisse anzupassen.
Wie sicher ist OPC UA?
Durch die Vernetzung von Geräten, Maschinen und Anlagen ergeben sich grundsätzliche Sicherheitsrisiken. Daher wurde der Aspekt der IT-Security als Teil des OPC UA-Standards mitgedacht. Ein integrierter Security Layer zur Authentifizierung und Verschlüsselung ist im Design berücksichtigt. In der Praxis ist der Anwender allerdings von der Qualität der Implementierung des jeweiligen Herstellers abhängig. Für sensible Anlagen und Netzsegmente können daher ergänzende Sicherheitslösungen sinnvoll sein.