Eine standardisierte und sichere Kommunikation von der Maschine oder dem Feldgerät bis zum Enterprise Server oder in die Cloud ist heute keine Vision mehr. OPC UA macht's möglich. Die Open Platform Communications Unified Architecture (kurz OPC UA) gilt als Klassenprimus unter den Kommunikationsstandards für die Industrie 4.0, zumindest für den deutschen und europäischen Markt. Statt proprietäre herstellerspezifische Protokolle über Netzgrenzen hinweg umzuwandeln und sich damit beschäftigen zu müssen, wie Daten in Netzwerken oder Anwendungsschichten ausgetauscht werden, können Automatisierer und Anlagenbetreiber mit OPC UA ein einheitliches Protokoll vom Sensor bis in die Cloud nutzen. Die Vernetzung von Geräten, Maschinen und Anlagen birgt jedoch grundsätzlich immer Sicherheitsrisiken. Wie ist OPC UA also aus dem Blickwinkel der IT Security zu bewerten?
Grundsätzlich wurde IT Security als Teil des OPC-UA-Standards mitgedacht und eigens ein Security Layer spezifiziert. Insgesamt berücksichtigt OPC UA sieben Sicherheitsziele: Vertraulichkeit, Integrität, Authentifizierung auf Applikationsebene und auf User-Ebene, Autorisierung, Auditing sowie Verfügbarkeit. Die Sicherheitsarchitektur von OPC UA basiert bei Client-Server-basierter Kommunikation auf Sessions zwischen einer Client App und einer Server App über einen verschlüsselten, sicheren Kommunikationskanal. Der Standard definiert mehrere Sicherheitsmechanismen: die Transportsicherheit der Übertragungsschicht, die Anwender- und App- Authentifizierung, die rollenbasierte Anwenderautorisierung, ferner eine Auditierung, um die Rückverfolgbarkeit (Traceability) der Aktionen von Anwendern und Apps sowie die Datenkonsistenz sicherzustellen. Die Security-Profile des Standards beschreiben die Fähigkeiten von Clients und Servern, d.h. welche Security-Funktionen unterstützt werden. Die Security Policies definieren, welche der unterstützten Security-Mechanismen ein Server erlaubt.
Die OPC-UA-Spezifikation bietet also an sich vorbildliche Security Features. Das Problem: In der Praxis ist der Anwender von der Qualität der Implementierung des jeweiligen Stack-Herstellers abhängig. Beispielsweise kann ein Stack einer Maschine oder die OPC-UA-Security-Schicht auf dem Stack der Maschine kompromittiert werden, weil die Implementierung der Software Schwachstellen enthält. Derlei Sicherheitsrisiken sind schwer einzuschätzen. Mit Blick auf die ständig steigende Gefahrenlage bei Cyber-Angriffen sollte daher für sensible Anlagen und Netzsegmente im Sinne einer gestaffelten Verteidigung (Defense in Depth) über ergänzende Sicherheitskonzepte nachgedacht werden, die eine Kompromittierung von Anlagen von vornherein ausschließen. Es stellt sich die Frage, wie Domänen- und Segmentübergänge wirkungsvoll abzusichern sind und gleichzeitig die Chancen der Industrie 4.0 genutzt werden können, wie eine flexible Produktion und die intelligente Steuerung, Überwachung sowie Optimierung aller Vorgänge in Bezug auf Qualität, Energieeffizienz, Materialverbrauch und Kosten.
Als Antwort bieten sich insbesondere zwei sich ergänzende Lösungsansätze an. Zum einen ist dies Zero Trust, das bedeutet, dass Berechtigungen des Nutzers und der Status des Client-Systems in der Applikation überprüft werden. Zum anderen dienen die Netzsegmentierung sowie Trennung durch Stateful Firewalls (Transportschicht), Application Level Firewalls, Application Gateways und Datendioden als wesentliche Verteidigungslinie. Die Entscheidung welche Sicherheitslösungen im konkreten Fall eingesetzt werden, hängt von den Sicherheitszielen, dem Sicherheitslevel und dem Anwendungsfall ab.