Startseite » Security »

ODVA unterstützt mit CIP Security die Authentifizierung

Sicher auf Geräteparameter zugreifen
ODVA unterstützt mit CIP Security die Authentifizierung auf Benutzerebene

CIP-Security.jpg
CIP-Safety-Update Bild: ODVA

(ge) Die ODVA hat bekannt gegeben, dass CIP Security, die Cybersecurity-Netzwerkerweiterung für Ethernet/IP, die Authentifizierung auf Benutzerebene unterstützt. Vorherige Veröffentlichungen der Spezifikationen für CIP Security beinhalteten wichtige Sicherheitsmerkmale, u. a. eine umfassende Trust Domain für eine ganze Gruppe von Geräten, Datenvertraulichkeit, Geräteauthentifizierung, Geräteidentität und Geräteintegrität. Mit CIP Security kommt jetzt eine eng nach Benutzer und Rolle gefasste Trust Domain, eine verbesserte Geräteidentität, die den Benutzer einschließt, und die Benutzerauthentifizierung hinzu.

Integration von IT und OT

Im Zuge der Integration von IT- und OT-Systemen in die industrielle Automatisierung ist es jetzt wichtiger denn je, dass Steuerungstechniker, IT-Administratoren und Wartungstechniker die Möglichkeit haben, sicher auf Geräteparameter zuzugreifen und diese zu ändern. Die Sicherheit auf Geräteebene ist für das IIoT eine Grundvoraussetzung für den Schutz kritischer Anlagen und Menschen vor möglichen physischen Schäden und finanziellen Verlusten. Um diese Voraussetzung zu erfüllen, bietet das von CIP Security bereitgestellte Benutzerauthentifizierungsprofil eine Authentifizierung auf Benutzerebene mit einer festgelegten Benutzerzugriffsrichtlinie, die auf klar definierten Rollen und einfachen Genehmigungen per lokaler und zentraler Benutzerauthentifizierung basiert. Da CIP Security in der Lage ist, die Authentifizierung über das Gerät oder über einen zentralen Server durchzuführen, lässt sie sich in kleineren, einfachen Systemen ganz unkompliziert implementieren, bietet aber auch bei großen, komplexen Installationen höchste Effizienz.

Offene Security-Technologien

CIP Security ist bereits mit robusten, bewährten und offenen Sicherheitstechnologien ausgestattet, u. a. TLS (Transport Layer Security) und DTLS (Datagram Transport Layer Security), Kryptografieprotokolle, die zur Bereitstellung einer sicheren Übertragung von EtherNet/IP-Verkehr genutzt werden, Hashes bzw. HMAC (Keyed-Hash Message Authentication Code) als kryptografische Methode zur Bereitstellung von Datenintegrität und Nachrichtenauthentifizierung für den EtherNet/IP-Verkehr sowie Verschlüsselung als Mittel zur Codierung von Nachrichten oder Informationen in einer Weise, die das Lesen oder Anzeigen von Ethernet/IP-Daten durch unbefugte Parteien verhindert. Das neue CIP-Benutzerauthentifizierungsprofil bietet Authentifizierung auf Benutzerebene für die CIP-Kommunikation auf der Anwendungsschicht. In Zukunft kann CIP Security ein CIP-Autorisierungsprofil nutzen, das CIP mit weiteren Sicherheitsmerkmalen ausstattet, z. B. mit einer allgemeinen, flexiblen Autorisierung, wobei die Zugriffsrichtlinie auf einem beliebigen Attribut des Benutzers und/oder Systems basieren kann. Außerdem kann CIP Security möglicherweise so ausgeweitet werden, dass auch andere Nicht-Ethernet/IP-Netzwerke unterstützt werden.

Das neue Benutzerauthentifizierungsprofil nutzt mehrere offene und gängige, Technologien, u. a. OAuth 2.0 und OpenID Connect, für eine kryptografisch geschützte Token-basierte Benutzerauthentifizierung, JSON Web Tokens (JWT) als Authentifizierungsnachweise, Benutzernamen und Kennwörter sowie bereits vorhandene X.509-Zertifikate zur Bereitstellung kryptografisch sicherer Identitäten für Benutzer und Geräte. Es verwendet eine kryptografisch sichere Benutzerauthentifizierungs-Sitzungs-ID, die nach Vorlage eines gültigen JWT durch den Benutzer vom Ziel generiert wird, um eine Zuordnung zwischen einem Authentifizierungsereignis und den von einem Benutzer für die CIP-Kommunikation gesendeten Nachrichten herzustellen. Die Benutzerauthentifizierungs-Sitzungs-ID wird mithilfe von (D)TLS und einer Verschlüsselungssammlung mit aktivierter Vertraulichkeit gemäß dem Ethernet/IP-Vertraulichkeitsprofil von CIP Security über EtherNet/IP übertragen.

Benutzerauthentifizierung als wichtige Komponente

„Die Benutzerauthentifizierung ist ein weiterer wichtiger Schritt in der Entwicklung von CIP Security, einer Netzwerkerweiterung, die einen wichtigen Bestandteil des vollständigen industriellen Ethernet/IP-Kommunikations-Ökosystems darstellt. CIP Security ist Teil einer umfassenden Verteidigungsstrategie und wurde als wirksame Abschreckung gegen böswillige Cyber-Angreifer konzipiert, die nach geeigneten Zielen Ausschau halten, um ganze Betriebe lahmzulegen“, so Jack Visoky, stellvertretender Vorsitzender der Ethernet/IP System Architecture Special Interest Group (SIG). „Angesichts vernetzter Infrastruktur- und Automatisierungssysteme spielt CIP Security eine außerordentlich wichtige Rolle beim Schutz wertvoller Investitionen und der Produktion kritischer Erzeugnisse weltweit vor böswilligen Cyberangriffen“ erklärte Dr. Al Beydoun, President und Executive Director von ODVA. „ODVA wird auch weiterhin in die zukünftige Entwicklung von CIP Security und EtherNet/IP investieren, damit der Schutz von Endnutzern vor physischen und finanziellen Schäden, die von Tätern mit arglistigen Absichten verursacht werden, gewährleistet werden kann.“

Sicherheit auf Geräteebene

Im Rahmen dieses Updates bietet CIP Security jetzt eine noch höhere Sicherheit auf Geräteebene mit einer eng nach Benutzer und Rolle gefassten Trust Domain, einer verbesserten Geräteidentität, die den Benutzer einschließt, und einer festen Benutzerauthentifizierung. ODVA wird auch in Zukunft sicherstellen, dass CIP Security stets dem neuesten Stand des Geräteschutzes entspricht, damit kritische industrielle Automatisierungsanlagen optimal geschützt werden und das Versprechen von IIoT und Industrie 4.0 vollständig erfüllt werden kann..

Kontakt:
ODVA
4220 Varsity Drive, Suite A, Ann Arbor, MI
48108-5006 USA
Tel: +1 734 975 8840
sfales@odva.org

Video

So war das mit den Messen vor dem Auftauchen des Coronavirus: Blicken Sie mit uns zurück auf die SPS in Nürnberg...

Aktuelle Ausgabe
Titelbild elektro AUTOMATION 6
Ausgabe
6.2021
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Automation Award
Videos

Hier finden Sie alle aktuellen Videos

Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de