Refine
Year of publication
Document Type
- Article (14)
- Conference Proceeding (13)
- Report (9)
- Working Paper (3)
Has Fulltext
- yes (39)
Is part of the Bibliography
- no (39)
Keywords
- Computersicherheit (11)
- Energiemanagement (9)
- Ethernet (7)
- IT-Sicherheit (7)
- PROFInet (7)
- Energieeffizienz (6)
- Ethernet-APL (5)
- IEC 62443 (5)
- OT-Security (5)
- IT Security (4)
- PROFINET Security (4)
- Feldgeräte (3)
- OT Security (3)
- Produktion (3)
- energy management (3)
- Automation (2)
- Automatisierungstechnik (2)
- Automatisierungsystem (2)
- Cyber-Security (2)
- Elektromagnetische Verträglichkeit (2)
- Fertigungsanlage (2)
- IT security (2)
- Industrial Security (2)
- Industrie 4.0 (2)
- Klein- und Mittelbetrieb (2)
- OPC UA (2)
- PROFIBUS (2)
- Potentialausgleich (2)
- Richtlinie (2)
- electromagnetic compatibility (2)
- energy efficiency (2)
- energy information model (2)
- equipotential bonding (2)
- technical energy management (2)
- 2-Draht-Ethernet (1)
- 2-wire Ethernet (1)
- APL-Engineering-Richtlinie (1)
- Anforderungsermittlung (1)
- Automation ML (1)
- AutomationML (1)
- Automatische Sicherheitsanalyse (1)
- Automatisierungssystem (1)
- Backup (1)
- Bedrohungsanalyse (1)
- Big Data (1)
- Big-Data-Datenplattform (1)
- Code (1)
- Codegenerierung (1)
- Cyber Security (1)
- Cyberattacke (1)
- DIN ISO 27000 (1)
- DIN-ISO-Norm (1)
- Datensicherung (1)
- EMC (1)
- EMC-compliant installation of automation networks (1)
- EMV (1)
- Energieaufnahme (1)
- Energieinformationsmodell (1)
- Energiemanagement, Energiemanagementsystem, Integration, Automatisierungssystem (1)
- Feldkommunikation (1)
- Fernwartung (1)
- Field Devices (1)
- Field devices (1)
- Framework <Informatik> (1)
- Generierung (1)
- Hochverfügbarkeit (1)
- ICS Security (1)
- IEC 62443-4-1 (1)
- IEC-Norm (1)
- ISO 27000 (1)
- Informationsmodell (1)
- Informationsmodellierung (1)
- Integriertes Engineering (1)
- Internet der Dinge (1)
- Knowledge Life Cycle (1)
- Kommunikation (1)
- Kryptologie (1)
- Lastmanagement (1)
- Lastverteilung <Energietechnik> (1)
- Messwerterfassung (1)
- Middleware (1)
- Normenvergleich IT-Sicherheit (1)
- OT security (1)
- OT-Sicherheit (1)
- Organisatorische Aspekte (1)
- PKI (1)
- PROFINET (1)
- PROFIenergy (1)
- PROFIsafe (1)
- Production (1)
- Produktlebenszyklus (1)
- Profinet (1)
- Prozessindustrie (1)
- Public-Key-Infrastruktur (1)
- Redundanz (1)
- Requirements engineering (1)
- Resilienz (1)
- SDL (1)
- SEC_PRO (1)
- Secure Development Lifecycle (1)
- Secure communication (1)
- Secure development lifecycle (1)
- Security Advisories (1)
- Security Knowledge (1)
- Security Ontology (1)
- Sicherer Entwicklungslebenszyklus (1)
- Sicherer Produktentwicklungslebenszyklus (1)
- Softwareschwachstelle (1)
- Steuerung (1)
- Technisches Energiemanagementsystem (tEnMS) (1)
- Trojanisches Pferd <Informatik> (1)
- Verfahrensindustrie (1)
- Vergleich (1)
- Verification of Request (1)
- Verschlüsselungstrojaner (1)
- Vorgehensmodell (1)
- Zwei-Draht-Ethernet (1)
- aggregation server (1)
- code generation (1)
- cyber security (1)
- energy data (1)
- energy data information model (1)
- energy monitoring (1)
- energy profiles (1)
- engineering guideline (1)
- field communication (1)
- information modeling (1)
- measurement data acquisition (1)
- organizational aspects (1)
- procedural model (1)
- remote maintenance (1)
- secure development lifecycle (1)
- security (1)
- security protocol extensions (1)
- standardized semantics (1)
- two wire Ethernet (1)
Institute
- Fakultät I - Elektro- und Informationstechnik (39) (remove)
Betreiber von Produktionsanlagen stehen oft vor der Frage, welche Norm für die Absicherung der Anlage gegen Cyberangriffe heranzuziehen ist. Aus dem IT-Bereich ist die Normreihe ISO 27000 bekannt. Im Produktionsbereich wird häufig die Normreihe IEC 62443 herangezogen. Dieser Beitrag gibt einen Überblick über beide Normreihen und schlägt einen Ansatz zur gemeinsamen Nutzung beider Standards vor.
This paper reflects the content of the presentation “The Next Generation: Ethernet-APL for Safety Systems” at the NAMUR Annual General Meeting 2022. It deals with the use of the Ethernet Advanced Physical Layer (Ethernet-APL) in combination with the PROFINET/PROFIsafe protocol for safety applications. It describes the virtues of the digital communication between the field and safety system. In parallel the aspect of OT security for this use case is touched as well. The paper proposes a secure architecture, where safety- and non-safety field communications are still separated. At the end a set of requirements for the development of future APL devices is described.
Kleine und mittlere Unternehmen (KMU), die dem Bereich der Automatisierungstechnik zuliefern, stehen vor der wachsenden Herausforderung, dass Kundinnen und Kunden vermehrt Produkte fordern, die im Sinne der IT-Sicherheit „sicher“ entwickelt werden. Die Norm IEC 62443-4-1 beschreibt einen solchen sichereren Produkt-Entwicklungslebenszyklus. Derartige Standards stellen hohe Anforderungen an die Organisation der Prozesse. Um die Umsetzung dieses Prozesses auch KMU zu ermöglichen, werden im folgenden Dokument Musterprozesse beschrieben, die Unternehmen befähigen die Anforderungen zu verstehen und im eigenen Unternehmen ein-, bzw. fortzuführen.
Operators of production plants are increasingly emphasizing secure communication, including real-time communication, such as PROFINET, within their control systems. This trend is further advanced by standards like IEC 62443, which demand the protection of realtime communication in the field. PROFIBUS and PROFINET International (PI) is working on the specification of the security extensions for PROFINET (“PROFINET Security”), which shall fulfill the requirements of secure communication in the field.
This paper discusses the matter in three parts. First, the roles and responsibilities of the plant owner, the system integrator, and the component provider regarding security, and the basics of the IEC 62443 will be described. Second, a conceptual overview of PROFINET Security, as well as a status update about the PI specification work will be given. Third, the article will describe how PROFINET Security can contribute to the defense-in-depth approach, and what the expected operating environment is. We will evaluate how PROFINET Security contributes to fulfilling the IEC 62443-4-2 standard for automation components.
Two of the authors are members of the PI Working Group CB/PG10 Security.
Aufgrund der klimatischen Veränderungen und steigender Energiepreise hat das nachhaltige und umweltbewusste Handeln in den letzten Jahren an Bedeutung gewonnen. Um dieses Handeln zu unterstützen, können Unternehmen Energiemanagementsysteme nach dem ISO-Standard 50001 einführen. Diese Systeme ermöglichen es u. a. Energieverbräuche in einem Energie-Monitoring visuell aufzubereiten und auf Basis der Ergebnisse Analysen durchzuführen. Aus den Ergebnissen der Analyse können Energieeffizienzmaßnahmen abgeleitet werden. Nach einer Überprüfung der energetischen Optimierung kann der Zyklus erneut beginnen, sodass eine kontinuierliche Verbesserung der Energieeffizienz erfolgen kann. Im industriellen Umfeld bestehen jedoch noch Hindernisse in Bezug auf eine einheitliche Auswertung von Energiedaten für ein effektives Energiemanagement. Verschiedene semantische Interpretationen von Energiedaten und proprietäre Datenformate erschweren die Einrichtung und Erweiterung von Energiemanagementsystemen. Im Rahmen des IGF-Vorhabens "IoT_EnRG" wurde ein universelles Energieinformationsmodell entwickelt. Dieses Modell ermöglicht es, Energiedaten eine einheitliche Semantik zu geben, damit diese einfacher interpretierbar werden. Durch die Anwendung des Energieinformationsmodells können Energiedaten schneller und mit weniger Engineering-Aufwand in technische Energiemanagementsysteme integriert werden. Diese Integration war bisher erschwert, denn konventionelle Lösungen konnten für die Interpretation der Energiedaten aus unterschiedlichen Quellen der Feldebene verschiedene proprietäre Semantiken unterschiedlicher Kommunikationsprotokolle verwenden. Der Ansatz des universellen Energieinformationsmodells reduziert den Engineering-Aufwand technischer Energiemanagement-Systeme und unterstützt die Industrie bei der Installation von Energiemanagementsystemen für eine sparsame und klimaneutrale Produktion. Die Ergebnisse des Vorhabens wurden der Joint Working Group "Power Consumption Management" [1] übergeben, die sich das Ziel gesetzt hat, einen einheitlichen OPC UA-Standard für Energieinformationen auf Basis des entwickelten Modells in Form einer OPC UA Companion Spezifikation zu erarbeiten. Durch die Übergabe der Forschungsergebnisse in die Joint Working Group konnte eine nachhaltige Nutzung der Forschungsergebnisse sichergestellt werden, die deutlich über den Keis der Unternehmen im projektbegleitenden Ausschuss hinausgeht. Das Ziel des Vorhabens wurde erreicht.
PROFINET Security: A Look on Selected Concepts for Secure Communication in the Automation Domain
(2023)
We provide a brief overview of the cryptographic security extensions for PROFINET, as defined and specified by PROFIBUS & PROFINET International (PI). These come in three hierarchically defined Security Classes, called Security Class 1, 2 and 3. Security Class 1 provides basic security improvements with moderate implementation impact on PROFINET components. Security Classes 2 and 3, in contrast, introduce an integrated cryptographic protection of PROFINET communication. We first highlight and discuss the security features that the PROFINET specification offers for future PROFINET products. Then, as our main focus, we take a closer look at some of the technical challenges that were faced during the conceptualization and design of Security Class 2 and 3 features. In particular, we elaborate on how secure application relations between PROFINET components are established and how a disruption-free availability of a secure communication channel is guaranteed despite the need to refresh cryptographic keys regularly. The authors are members of the PI Working Group CB/PG10 Security.
The PROFINET protocol has been extended in the current version to include security functions. This allows flexible network architectures with the consideration of OT security requirements to be designed for PROFINET, which were not possible due to the network segmentation previously required. In addition to the manufacturers of the protocol stacks, component manufacturers are also required to provide a secure implementation in their devices. The necessary measures go beyond the use of a secure protocol stack. Using the example of an Ethernet-APL transmitter with PROFINET communication, this article shows which technical and organizational conditions will have to be considered by PROFINET device manufacturers in the future.
Das PROFINET Protokoll wurde in der aktuellen Version um Security-Funktionen erweitert. Damit können für PROFINET flexible Netzwerkarchitekturen unter Berücksichtigung von OT-Security Anforderungen entworfen werden, die durch die bisher erforderliche Netzwerksegmentierung nicht möglich waren. Neben den Herstellern der Protokollstacks sind nachfolgend auch die Komponentenhersteller gefordert, eine sichere Implementierung in ihren Geräten umzusetzen. Die erforderlichen Maßnahmen gehen dabei über die Nutzung eines sicheren Protokollstacks hinaus. Der Beitrag zeigt am Beispiel eines Ethernet-APL Messumformers mit PROFINET-Kommunikation die künftig von PROFINET-Geräteherstellern zu berücksichtigenden technischen und organisatorischen Rahmenbedingungen.
Die Konvergenz von Netzwerken ist ein zunehmender Trend im Bereich der Automatisierung. Immer mehr Anlagenbetreiber streben eine Vereinheitlichung der Netzwerke in ihren Anlagen an. Dies führt zu einer nahtlosen Netzwerkstruktur, einer vereinfachten Überwachung und einem geringeren Schulungsaufwand für das Personal, da nur eine einheitliche Netzwerktechnologie gehandhabt werden muss. Ethernet-APL ist ein Teil des Puzzles für ein solches konvergentes Netzwerk und unterstützt verschiedene Echtzeitprotokolle wie PROFINET, EtherNet, HART-IP sowie das Middleware-Protokoll OPC UA. Dieses Papier gibt einen Überblick über die Auswirkungen von Ethernet-APL-Feldgeräten auf die OT-Sicherheit und schlägt vor, wie die OT-Sicherheit für diese Geräte gewährleistet werden kann.
Network convergence is an increasing trend in the automation domain. More and more plant owners strive for a unification of networks in their plants. This yields a seamless network structure, simplified supervision, and reduced training effort for the personnel, as only one unified network technology needs to be handled. Ethernet-APL is one piece of the puzzle for such a converged network, supporting various real time protocols like PROFINET, EtherNet, HART-IP as well as the middleware protocol OPC UA. This paper gives an overview on the impact of Ethernet-APL field devices to OT security and proposes how to ensure OT security for them.
Die technische Betreuung von Produktionsanlagen durch den Anlagenhersteller oder einen Dienstleister ist in der Industrie häufig anzutreffen. Die Durchführung solcher Wartungsarbeiten erfolgt zum Großteil vor Ort an der jeweiligen Anlage. Mit der Fernwartung gibt es jedoch die Möglichkeit, die jeweiligen Arbeiten aus der Ferne durchzuführen. Unternehmen stellen sich bei der Einrichtung einer Fernwartungslösung die Frage, wie ein solches System zu planen ist. Der vorliegende Artikel beleuchtet daher, welche Anforderungen an Fernwartungssysteme zu stellen sind, welche Fernwartungskonzepte es gibt, was allgemein bei dem Einsatz eines Fernwartungssystems insbesondere aus Sicht der OT-Security zu beachten ist und wie die NOA Verification of Request bei der Fernwartung einzusetzen ist.
In dieser Studie wurden Unternehmen, die Produktionsanlagen betreiben oder betreuen, zu ihrem Sicherheitsaufwand bei der Abfrage von Security Advisories für Automatisierungskomponenten befragt. Die befragten Unternehmen (vorwiegend KMU) machten Angaben zum zeitlichen, technischen und personellen Aufwand für die Auswertung von Security Advisories im Produktionsumfeld. Es wurde festgestellt, dass in vielen Unternehmen Defizite in Bezug auf diese Fragestellung bestehen. Dieses resultiert im Wesentlichen aus Mangel an Zeit und Mangel an qualifiziertem Personal. Eine in der Studie vorgeschlagene automatisierte Abfrage von Asset Inventories und eine automatisierte Zuordnung von Security Advisories zu den Assets wird von den befragten Unternehmen durchgehend als sinnvoll erachtet.
Mit der Anwendung der Norm ISO 50001 und der einhergehenden Einführung eines Energiemanagementsystems (kurz EnMS) kann eine sukzessive Erhöhung der Energieeffizienz erreicht werden. Zur Umsetzung von Energie-Monitoring- oder Standby-Management-Funktionalitäten müssen Energiedaten in der Feldebene bereitgestellt werden und auf Edge-Devices oder SPSen mittels eines Energiemanagement-Programms ggf. im Datenformat angepasst, skaliert und auf eine etablierte Kommunikationsschnittstelle (z.B. basierend auf OPC UA- oder MQTT) abgebildet werden. Die Erstellung dieser Energiemanagement-Programme geht mit einem hohen Engineering-Aufwand einher, denn die Feldgeräte aus der heterogenen Feldebene stellen die Energiedaten nicht in einer standardisierten Semantik bereit. Um diesem Engineering-Aufwand entgegenzuwirken, wird ein Konzept für ein universelles Energiedateninformationsmodell (kurz UEDIM) vorgestellt. Dieses Konzept sieht die Bereitstellung der Energiedaten an das EnMS in einer semantisch standardisierten Form vor. Zur weiteren Entwicklung des UEDIM wird im Beitrag näher untersucht, in welcher Form Energiedaten in der Feldebene bereitgestellt werden können und welche Anforderungen für das UEDIM aufzustellen sind.
With the use of an energy management system in an industrial company according to ISO 50001, a step-by-step increase in energy efficiency can be achieved. The realization of energy monitoring and load management functions requires programs on edge devices or PLCs to acquire the data, adapt the data type or scale the values of the energy information. In addition, the energy information must be mapped to communication interfaces (e.g. based on OPC UA) in order to convey this energy information to the energy management application. The development of these energy management programs is associated with a high engineering effort, because the field devices from the heterogeneous field level do not provide the energy information in standardized semantics. To mitigate this engineering effort, a universal energy data information model (UEIM) is developed and presented in this paper.
Die Vision „Industrial Ethernet bis zu den Sensoren und Aktoren“ wurde Realität. Auf der Achema im Juni 2021 wurde Ethernet-APL in den Markt eingeführt. Basis dieser Technologie ist ein 2-Draht-Ethernet (engl. 2-wire-Ethernet), das sowohl Informationen als auch Energie zu den Sensoren und Aktoren des Automatisierungssystems überträgt. Ethernet-APL basiert auf dem Ethernet-Standard IEEE 802.3cg und arbeitet mit einer Datenrate von 10 Mbit/s. Eine zusätzliche Spezifikation, die Ethernet-APL Port Profile Specification, definiert zusätzliche Parameter für den Einsatz in der Prozessindustrie, insbesondere in explosionsgefährdeten Bereichen. In einem nächsten Schritt müssen sich potenzielle Anwender mit dem Engineering-Prozess von Ethernet-APL-Netzwerken vertraut machen. Zu diesem Zweck stellt das Ethernet-APL-Projekt die Ethernet-APL-Engineering-Richtlinie zur Verfügung, welche die wichtigsten Bereiche der Planung, Installation und Abnahmeprüfung abdeckt. Dieser Artikel soll einen Überblick über den Ethernet-APL-Engineering-Prozess geben und die relevanten Planungsschritte aufzeigen.
Deutsche Übersetzung des englischen Beitrags, abrufbar unter https://doi.org/10.25968/opus-2087
In the area of manufacturing and process automation in industrial applications, technical energy management systems are mainly used to measure, collect, store, analyze and display energy data. In addition, PLC programs on the control level are required to obtain the energy data from the field level. If the measured data is available in a PLC as a raw value, it still has to be processed by the PLC, so that it can be passed on to the higher layers in a suitable format, e.g. via OPC UA. In plants with heterogeneous field device installations, a high engineering effort is required for the creation of corresponding PLC programs. This paper describes a concept for a code generator that can be used to reduce this engineering effort.
Requirements for an energy data information model for a communication-independent device description
(2021)
With the help of an energy management system according to ISO 50001, industrial companies obtain the opportunities to reduce energy consumption and to increase plant efficiencies. In such a system, the communication of energy data has an important function. With the help of so-called energy profiles (e.g. PROFIenergy), energy data can be communicated between the field level and the higher levels via proven communication protocols (e.g. PROFINET). Due to the fact that in most cases several industrial protocols are used in an automation system, the problem is how to transfer energy data from one protocol to another with as less effort as possible. An energy data information model could overcome this problem and describe energy data in a uniform and semantically unambiguous way. Requirements for a unified energy data information model are presented in this paper.
With regard to climate change, increasing energy efficiency is still a significant issue in the industry. In order to acquire energy data at the field level, so-called energy profiles can be used. They are advantageous as they are integrated into existing industrial ethernet standards (e.g. PROFINET). Commonly used energy profiles such as PROFIenergy and sercos Energy have been established in industrial use. However, as the Industrial Internet of Things (IIoT) continues to develop, the question arises whether the established energy profiles are sufficient to fullfil the requirements of the upcoming IIoT communication technologies. To answer this question the paper compares and discusses the common energy profiles with the current and future challenges of energy data communication. Furthermore, this analysis examines the need for further research in this field.
Planer und Betreiber von Produktionsanlagen stehen vor der Frage, welche Normen für die IT-Sicherheitskonzepte und ggf. auch für eine Auditierung dieser Anlagen anzuwenden sind. Da die Verantwortlichkeit in Bezug auf die IT-Sicherheit für die Operational Technology (OT) oft in anderen Händen liegt, als die für Information Technology (IT), gibt es hier gelegentlich abweichende Auffassungen darüber welche Normen zu Grunde zu legen sind.
Personen aus dem IT-Umfeld fokussieren in der Regel auf die Normreihe ISO 27001, während Personen aus dem OT-Umfeld eher die Normreihe IEC 62443 favorisieren. Dieser Beitrag beschreibt die Grundlagen und Ausrichtung der beiden Normreihen und gibt Anregungen, in welchem Kontext welche die Normen sinnvoll und ggf. auch kombiniert nutzbar sind.
Das Dokument schließt mit einer Empfehlung für ein Vorgehen im Bereich von Produktionsanlagen für die Fertigungs- und Prozessindustrie (OT-Security). Abschließend wird im Anhang noch am Beispiel einer Abwasserbehandlungsanlage die Anwendbarkeit der Normen diskutiert.