Pressemitteilung

EtherCAT erfüllt die CRA-Anforderungen für Security Level 2 ohne Änderung. Für besonders anspruchsvolle Anwendungen werden derzeit Erweiterungen vorbereitet. TÜV SÜD arbeitet mit der EtherCAT Technology Group an einem entsprechenden Prüfbericht.

Cyber-Security und Cyber-Resilienz gewinnen an Bedeutung: neue Gesetzgebung verlangt nicht nur in Europa nach entsprechender Risikobewertung und dem Nachweis passender Gegenmaßnahmen. Hersteller sind gefordert, belastbare Aussagen zur Cyber-Resilienz ihrer Produkte zu liefern.

EtherCAT ist der Ethernet Feldbus: auf Ethernet basierend, aber mit der Einfachheit der Feldbusse und ohne sich auf IT-Technologien abzustützen. Gängige IT-Cyber-Security Schutzmaßnahmen passen daher nur bedingt oder sind nicht erforderlich.

Das besondere Funktionsprinzip von EtherCAT – die Verarbeitung der Ethernet-Frames im Durchlauf durch spezielle EtherCAT-Chips – sorgt nicht nur für die außergewöhnlich hohe Performance der Technologie, sondern auch für ihre hohe Widerstandsfähigkeit gegenüber Cyberangriffen. Dies wird durch die Systemarchitektur unterstützt, die eine klare Trennung des EtherCAT Segments vom überlagerten IT-basierten Netzwerk vorsieht: die Steuerung sorgt hier für eine signifikante Verkleinerung der Angriffsfläche. Die Steuerung selbst muss natürlich entsprechend geschützt werden: dann kann EtherCAT nicht von außen angegriffen werden – also nicht vom Internet oder vom Firmennetzwerk aus. Ein Angriff würde physikalischen Zugang zum EtherCAT Segment erfordern. Das EtherCAT Device Protokoll nutzt das Ethernet Frame zudem direkt, und nicht über das Internet-Protokoll (IP), während praktisch alle Malware auf IP aufsetzt, weil sie IP fürs Routing braucht.

Die EtherCAT Chips zerstören alle Ethernet-Frames, die nicht nativ EtherCAT sind. EtherCAT Geräte können aufgrund der Chip-Eigenschaften keine Daten manipulieren, die nicht für sie bestimmt sind – daran kann auch eine kompromittierte Firmware nichts ändern. Nicht genutzte EtherCAT-Ports auf den Geräten können von der Steuerung deaktiviert werden. Die Steuerung kann sogar zusätzlich eingefügte Geräte erkennen, auch wenn es sich nicht um EtherCAT Geräte handelt.

Martin Rostan, Executive Director der EtherCAT Technology Group: „Wir sind daher überzeugt, dass EtherCAT die Anforderungen des IEC 62443 Standards und des CRA für fast alle gängigen Anwendungen bereits erfüllt, ohne dass Änderungen und Erweiterungen am Protokoll erforderlich sind.“

IEC 62443 definiert Maßnahmen und Prozesse für die Cybersicherheit industrieller Steuerungssysteme und bildet die Basis für die entsprechenden Standards des europäischen Cyber Resilience Acts.

Für Anwendungen mit außergewöhnlich hohen Security Anforderungen arbeitet die ETG an Protokollerweiterungen, die bei Bedarf aktiviert werden können und die keine Hardwareänderungen erfordern. Zusätzlich bereitet die ETG eine eigene Zertifizierungsstelle (Certificate Authority, CA) vor, damit ETG-Mitglieder einfach und einheitlich EtherCAT-Gerätebeschreibungsdateien und Software signieren und authentisieren können.

EtherCAT erfüllt demnach die Anforderungen des Cyber Resilience Acts ohne Änderungen an der Technologie, wobei für spezielle Anforderungen abwärtskompatible Erweiterungen in Vorbereitung sind.

TÜV SÜD arbeitet an einem Prüfbericht zur Cyber-Resilienz von EtherCAT gemäß IEC 62443. Die Experten des TÜV SÜD teilen dabei die prinzipielle Einschätzung der ETG, wobei der finale Prüfbericht aktuell noch aussteht.