Alsensio Navigator
Der Auslöser

V2.5 ist da — jetzt wird Security implementiert

PROFINET V2.5 überführt die Sicherheitskonzepte in eine konkrete Spezifikation mit eigenem Security-Profil (IEC 61784-6-3). Für Gerätehersteller ist das keine Konzeptfrage mehr, sondern eine Implementierungsaufgabe.

Neuer sicherer Transport (SXP)

SXP ersetzt CL-RPC und RSI und ermöglicht kryptografisch geschützte Kommunikation über Layer 2 (RTAv3) und Layer 3 (TCP/IP) — mit Schlüsselerneuerung im laufenden Betrieb.

Zertifikate & PKI

Zertifikatsbasierte Authentisierung über IDevID (herstellerseitig) und LDevID (betreiberseitig), EAP-TLS 1.3 und PROFINET-Security-Configuration-Management.

Security-Eventing

Auditierbare Sicherheitsereignisse (syslog-basiert) lösen den bisherigen Logbook-Dienst ab und schaffen Nachvollziehbarkeit.

Signierte Beschreibungen

GSDX-V1.3-Container signieren GSD und die maschinenlesbare Konformitätserklärung (MRCD) — Integrität und Authentizität der Gerätebeschreibung.

Einordnung / in Einführung: Secure Cell ist im Feld, Secure Access / Secure Realtime in Einführung und Test. Angaben zum Spezifikationsstatus nach aktuellem Stand der PI-Quellen — keine verbindliche „draft/final"-Aussage.

Das Stufenmodell

Drei Security-Stufen — eine Implementierungsaufgabe

V2.5 hat die früheren Security Class 1/2/3 zum Drei-Stufen-Modell und zur Conformance Class E (CC-E) weiterentwickelt. Jede Stufe baut auf der vorigen auf.

1
Secure Cell
früher Security Class 1
Robustheit & Defense-in-Depth

Härtung und Perimeterschutz ohne kryptografische Absicherung auf dem Draht: SNMP-/DCP-/CLRPC-Policies („Lockdown"), Record-Access-Limitation, auditierbare Ereignisse und signierte GSDX. Für sauber zonierbare, nach außen abschottbare Systeme.

2
Secure Access
früher Security Class 2
Integrität, Authentizität & kontrollierter Zugriff

Kryptografisch geschützte PROFINET-Kommunikation über die Zellgrenze (SXP über TCP/IP), zertifikatsbasierte Authentisierung (IDevID/LDevID, PROFINET SCM), Role-Based Access Control und Trennung von Plain- und Secure-Ports. Für schlecht zonierbare/exponierte Systeme oder hohe Kundenanforderungen.

3
Secure Realtime
früher Security Class 3
„Security inside" bis in die Echtzeit

Zusätzlich kryptografisch geschützte Echtzeit-Kommunikation innerhalb der Zelle (SXP-via-RTAv3/RTA/RTC), inklusive Vertraulichkeit der IO-Daten und Deaktivierung des Plain-Ports. Nur nötig, wenn aus zyklischen IO-Daten Firmengeheimnisse ableitbar wären.

Die Brücke

PROFINET Security ist angewandtes IEC 62443-4-2

Wer die Security-Stufen im Gerät umsetzt, zahlt direkt auf die Komponentenanforderungen der 62443-4-2 ein — dieselbe Kernkompetenz sichere Geräteentwicklung, anderer Einstieg.

FR1/FR2

Zertifikate & Authentisierung → Identification & Authentication Control / Use Control

FR3

Integrität & Authentizität (AEAD, SXP, signierte GSDX) → System Integrity

FR4

Vertraulichkeit der IO-Daten (Secure Realtime) → Data Confidentiality

FR6

Auditierbare Ereignisse (syslog) → Timely Response to Events

PROFINET Security ist darauf ausgelegt, zur Erfüllung von IEC 62443-4-2 beizutragen — nicht, sie vollständig zu erfüllen.

Sie kommen von der Prozess-Seite? Unser Schwester-Hub bewertet die Reife Ihres Secure Development Lifecycle nach IEC 62443-4-1/4-2.

Zum SDL Maturity Hub →
Angebot

PROFINET Security Implementation Assessment

Fixe Leistung, fixer Preis: Für ein Leitgerät legen wir die Ziel-Security-Class fest, analysieren den aktuellen Stack-Gap und liefern eine Umsetzungs-Roadmap samt 62443-4-2-Nachweisführung.

Das nehmen Sie konkret mit:

🎯

Empfohlene Security Class + Begründung

Secure Cell / Secure Access / Secure Realtime — passend zum Schutzbedarf Ihres Geräts.

🔍

Stack-Gap-Analyse

Zertifikatsmanagement, SXP, Schlüsselablage, GSD-Signierung, Eventing — Ist gegen Ziel.

🗺️

Priorisierte Umsetzungs-Roadmap

Konkrete Schritte mit Aufwandsschätzung — direkt umsetzbar in Ihrer Firmware.

📐

Mapping auf 62443-4-2

Nachweisführung, worauf die umgesetzten Controls einzahlen — „trägt bei zu".

Ausbaupfad

Je nach Ergebnis begleiten wir nahtlos die Umsetzung:

UmsetzungsbegleitungKrypto- / SchlüsselverwaltungSecure-Boot-AnbindungTest- / Plugfest-VorbereitungZertifizierung
Dauer: ca. 3–5 Tage · Preis: auf Anfrage
Implementation Assessment anfragen →

Häufige Fragen

Welche Security Class braucht mein Gerät? +

Das hängt vom Schutzbedarf ab: Secure Cell (früher Class 1) für sauber zonierbare Systeme mit Basishärtung; Secure Access (früher Class 2), wenn über die Zellgrenze kommuniziert wird oder Kunden Kryptografie fordern; Secure Realtime (früher Class 3), wenn aus den zyklischen IO-Daten Firmengeheimnisse ableitbar wären. Der Security-Class-Navigator gibt eine erste Orientierung; die verbindliche Festlegung erfolgt im Assessment.

Was ändert V2.5 konkret für Hersteller? +

V2.5 überführt die Security-Konzepte in eine konkrete Spezifikation (IEC 61784-6-3): kryptografisch geschützte Kommunikation (AEAD, EAP-TLS 1.3) über den neuen Service-Transport SXP, zertifikatsbasierte Authentisierung über IDevID/LDevID, Role-Based Access Control, auditierbare Ereignisse und signierte GSDX-Container. Die früheren Security Class 1/2/3 werden zum Drei-Stufen-Modell und zur Conformance Class E (CC-E) weiterentwickelt.

Wie hängt das mit IEC 62443-4-2 zusammen? +

PROFINET Security ist angewandtes 62443-4-2: Zertifikate und Authentisierung zahlen auf Identification & Authentication Control und Use Control ein, kryptografische Integrität auf System Integrity, IO-Vertraulichkeit auf Data Confidentiality, auditierbare Ereignisse auf Timely Response to Events. Formuliert wird das als „trägt bei zu" — nicht als vollständige Erfüllung.

Zertifikatsmanagement / PKI — was heißt das für die Firmware? +

Das Gerät braucht eine Identität ab Werk (IDevID nach IEEE 802.1AR) und betreiberseitig verwaltbare Zertifikate (LDevID), inklusive sicherer Schlüsselablage (Secure Element/TPM, Secure-Boot-Anbindung) und Anbindung an das PROFINET Security Configuration Management für Bereitstellung, Erneuerung und Widerruf. Das ist Implementierungsarbeit im Stack und in der Hardware.

Bleibt Rückwärtskompatibilität erhalten? +

Ja. Geräte können V2.46 und V2.5 in einer Implementierung unterstützen (Übergangsphase), Legacy-Protokolle lassen sich optional aktivieren oder deaktivieren, und die Feature-Auswahl erfolgt über Application Classes. So ist eine schrittweise Migration möglich.

Wie läuft das Implementation Assessment ab? +

Für ein Leitgerät legen wir die Ziel-Security-Class fest, analysieren den Stack-Gap (Zertifikatsmanagement, SXP, Schlüsselablage, GSD-Signierung, Eventing) und liefern eine priorisierte Umsetzungs-Roadmap mit 62443-4-2-Mapping. Richtwert: ca. 3–5 Tage. Preis: auf Anfrage.

Implementation Assessment anfragen

Security Class 1, 2 oder 3 — wir bringen sie in Ihre Firmware. Sprechen Sie uns an. Preis: auf Anfrage.