TÜV-geprüfte IT-Sicherheit

Fraunhofer IEM unterstützt Phoenix Contact bei sicherer Entwicklung von Industriesteuerungen

Paderborn. Die Industrie 4.0 vernetzt Steuerungen von Maschinen und Anlagen über das Internet. Das schafft viele Möglichkeiten, stellt aber auch hohe Anforderungen an die Sicherheit der Industriesteuerungen. Phoenix Contact gestaltet mit dem Fraunhofer IEM einen Entwicklungsprozess, der die IT-Sicherheit von Beginn an berücksichtigt. Dafür wurde das Unternehmen vom TÜV Süd nach der IT-Sicherheitsnorm IEC 62443-4-1 zertifiziert.

„Die Zertifizierung bestätigt, dass wir Industriesteuerungen auf höchstem Niveau der IT-Sicherheit entwickeln. So ermöglichen wir eine Vernetzung der Industrie, die Angriffen oder teuren Ausfallzeiten vorbeugt“, so Boris Waldeck, Senior Project Manager Phoenix Contact. Mit dem Fraunhofer IEM hat das Automatisierungsunternehmen in einem umfangreichen Projekt neue Methoden in seine Entwicklungsprozesse eingeführt. Im Fokus stand dabei die IT-Sicherheitsnorm IEC 62443-4-1 (Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung), für die Phoenix Contact nun als eines der ersten Unternehmen seiner Branche ein Zertifikat besitzt.

Die modellbasierte Methode STRIDE eignet sich besonders gut für eine fachübergreifende Bedrohungsanalyse in der Entwicklung softwareintensiver Systeme. © Fraunhofer IEM

Die modellbasierte Methode STRIDE eignet sich besonders gut für eine fachübergreifende Bedrohungsanalyse in der Entwicklung softwareintensiver Systeme. © Fraunhofer IEM

Lösungsansatz: Bedrohungsanalyse

Ziel der Norm ist ein einheitlicher IT-Sicherheitsstandard für die Automatisierung. Der Weg dahin sieht bei jedem Unternehmen unterschiedlich aus – eine Herausforderung, vor der auch Phoenix Contact stand. „Die fachliche Expertise und die strukturierte methodische Herangehensweise des Fraunhofer IEM hat uns bei der Ergänzung unseres Entwicklungsprozesses unterstützt“, so Boris Waldeck. Phoenix Contact entschied, bei zwei wesentlichen Anforderungen der IEC 62443-4-1, der Bedrohungs- und der dazugehörigen Risikoanalyse, mit dem Fraunhofer IEM zusammenzuarbeiten, da sie ein elementarer Baustein für die sichere Entwicklung der Steuerungen sind.

Dafür empfahl das Fraunhofer IEM die etablierte, modellbasierte STRIDE- Methode, mit der Entwickler Sicherheitslücken nicht nur erkennen, sondern sie gleichzeitig auch bewerten und Gegenmaßnahmen erarbeiten können. Das Fraunhofer IEM passte die STRIDE-Methode für Bedrohungsanalysen an die Bedürfnisse der Automatisierungstechnik an und entwickelte sie unter Einsatz des Microsoft Threat Modeling Tools methodisch weiter. Die Entwickler von Phoenix Contact verfügen damit über ein maßgeschneidertes Werkzeug, um verschiedene Typen von Bedrohungen zu identifizieren und Schutzmaßnahmen gemäß der Norm auszuwählen.

Zertifikats-Übergabe durch den TÜV Süd an die Phoenix Contact-Geschäftsführung. © Phoenix Contact

Zertifikats-Übergabe durch den TÜV Süd an die Phoenix Contact-Geschäftsführung. © Phoenix Contact

IT-Sicherheit ist immer ein individueller Weg

Die Norm IEC 62443-4-1 (IT-Sicherheit für industrielle Automatisierungssysteme) gilt als international anerkannter Standard für die Prozess- und Automatisierungsindustrie. Aufgrund fehlender Standardisierungsvorgaben greifen heute auch viele Unternehmen anderer Branchen darauf zurück. „Die konkrete Umsetzung im Unternehmen ist jedoch immer von den bestehenden Prozessen abhängig und muss stets mit einer eigens aufgestellten Strategie erfolgen. Hier bietet sich der Ansatz Security-by-Design an. Die für Phoenix Contact entwickelte Bedrohungsanalyse ist da nur ein Baustein. Security-by- Design betrachtet IT-Security systematisch vom ersten Entwicklungsschritt für ein System, über seinen Betrieb bis zu seiner Außerbetriebnahme“, erläutert Prof. Eric Bodden (Direktor Softwaretechnik und IT-Sicherheit am Fraunhofer IEM).

Das Fraunhofer IEM

Das Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM bietet am Standort Paderborn Expertise für intelligente Mechatronik im Kontext Industrie 4.0. Wissenschaftlerinnen und Wissenschaftler aus dem Maschinenbau, der Softwaretechnik und der Elektrotechnik arbeiten fachübergreifend an der effizienten, sicheren Entwicklung der Produkte, Produktionssysteme und Dienstleistungen von morgen. Kernkompetenzen sind dabei Intelligenz in mechatronischen Systemen, Systems Engineering und Virtual Prototyping. Ein breites Portfolio an Methoden und Werkzeugen für innovatives Engineering, wirksamen Lösungen für IT-Security und umfangreichem Know-How zu digitalen Technologien ermöglicht Unternehmen, die Herausforderungen der Digitalisierung zu meistern.

Heilpraktiker Stiv Dudkin