Im Zuge der Integration von IT- und OT-Systemen in die industrielle Automatisierung ist es jetzt wichtiger denn je, dass Steuerungstechniker, IT-Administratoren und Wartungstechniker die Möglichkeit haben, sicher auf Geräteparameter zuzugreifen und diese zu ändern. CIP Security umfasst sicherheitsrelevante Anforderungen und Fähigkeiten für CIP-Geräte, insbesondere Ethernet/IP-Geräte.
Die Sicherheit auf Geräteebene ist für das IIoT eine Grundvoraussetzung für den Schutz kritischer Anlagen und Menschen vor möglichen physischen Schäden und immer wahrscheinlicher werdenden finanziellen Verlusten. ODVA hat nun bekannt gegeben, dass CIP Security, die Cybersecurity-Netzwerkerweiterung für Ethernet/IP, nun eine Authentifizierung auf Benutzerebene unterstützt. Zu den bisherigen Sicherheitsmerkmale, u. a. eine umfassende Trust Domain für eine ganze Gruppe von Geräten, Datenvertraulichkeit, Geräteauthentifizierung, Geräteidentität und Geräteintegrität, kommt jetzt eine eng nach Benutzer und Rolle gefasste Trust Domain, eine verbesserte Geräteidentität, die den Benutzer einschließt, und die Benutzerauthentifizierung hinzu.
Klar definierte Rollen und einfachen Genehmigungen
Das Benutzerauthentifizierungsprofil bietet eine Authentifizierung auf Benutzerebene mit einer festgelegten Benutzerzugriffsrichtlinie, die auf klar definierten Rollen und einfachen Genehmigungen per lokaler und zentraler Benutzerauthentifizierung basiert. Da CIP Security in der Lage ist, die Authentifizierung über das Gerät oder über einen zentralen Server durchzuführen, lässt sie sich in kleineren, einfachen Systemen ganz unkompliziert implementieren, bietet aber auch bei großen, komplexen Installationen höchste Effizienz.
Das neue Benutzerauthentifizierungsprofil nutzt mehrere offene, gängige, ubiquitäre Technologien, u. a. OAuth 2.0 und OpenID Connect, für eine kryptografisch geschützte Token-basierte Benutzerauthentifizierung, JSON Web Tokens (JWT) als Authentifizierungsnachweise, Benutzernamen und Kennwörter sowie bereits vorhandene X.509-Zertifikate zur Bereitstellung kryptografisch sicherer Identitäten für Benutzer und Geräte. Es verwendet eine kryptografisch sichere Benutzerauthentifizierungs-Sitzungs-ID, die nach Vorlage eines gültigen JWT durch den Benutzer vom Ziel generiert wird, um eine Zuordnung zwischen einem Authentifizierungsereignis und den von einem Benutzer für die CIP-Kommunikation gesendeten Nachrichten herzustellen. Die Benutzerauthentifizierungs-Sitzungs-ID wird mithilfe von (D)TLS und einer Verschlüsselungssammlung mit aktivierter Vertraulichkeit gemäß dem Ethernet/IP-Vertraulichkeitsprofil von CIP Security über Ethernet/IP übertragen.
„Angesichts vernetzter Infrastruktur- und Automatisierungssysteme spielt CIP Security eine außerordentlich wichtige Rolle beim Schutz wertvoller Investitionen und der Produktion kritischer Erzeugnisse weltweit vor böswilligen Cyberangriffen“ erklärte Dr. Al Beydoun, President und Executive Director von ODVA. „ODVA wird auch weiterhin in die zukünftige Entwicklung von CIP Security und Ethernet/IP investieren, damit der Schutz von Endnutzern vor physischen und finanziellen Schäden, die von Tätern mit arglistigen Absichten verursacht werden, gewährleistet werden kann.“
