Zum Hauptinhalt springenZum Seitenfuß springen
 

 |  Blog

Zurück

Firmware Updates mit OPC UA: Sicher. Smart. Standardisiert.

Mit dem CRA werden Firmware-Updates Pflicht. Das ist eine Herausforderung bei isolierten Netzwerken, unterschiedlichen Herstellern und abgelegenen Anlagen. Wir zeigen, wie OPC UA Updates herstellerübergreifend, sicher und effizient umsetzt.

Mit dem EU Cyber Resilience Act (CRA) rückt die Sicherheit industrieller Systeme, etwa speicherprogrammierbarer Steuerungen, stärker in den Fokus. Ziel der neuen Vorschrift ist es nicht nur, Sicherheitslücken zu vermeiden, sondern auch bekannte Schwachstellen konsequent zu beheben. Der CRA ist keine unverbindliche Empfehlung, sondern eine verbindliche rechtliche Vorgabe für Hersteller solcher Geräte. Die Nichteinhaltung kann sowohl sicherheitsrelevante als auch rechtliche Folgen haben. Für Unternehmen bedeutet das: Firmware-Updates dürfen nicht länger aufgeschoben werden. Nur regelmäßige und zeitnahe Aktualisierungen schließen bekannte Sicherheitslücken. Gleichzeitig sorgen sie für die Einhaltung gesetzlicher Anforderungen.

Warum Firmware-Updates in der Industrie schwierig sind

Im privaten Umfeld gehören Softwareaktualisierungen längst zum Alltag. Smartphones, Laptops oder Smart-Home-Geräte erhalten ihre Updates meist automatisch über das Internet (Over-the-Air, OTA). Die Updates werden dabei direkt vom Hersteller heruntergeladen und installiert, ohne dass Nutzer manuell eingreifen müssen.

In industriellen Umgebungen unterscheidet sich die Situation deutlich. Steuerungssysteme befinden sich häufig an abgelegenen oder schwer zugänglichen Standorten, was den physischen Zugriff erschwert. Besonders in sogenannten air-gapped Infrastrukturen, in denen Produktionsnetze bewusst von externen Netzwerken isoliert sind, ist ein OTA-Ansatz nicht realisierbar. Auch in sicherheitskritischen Anlagen wird der Netzwerkzugriff oft stark eingeschränkt, um Manipulationen oder unautorisierte Zugriffe zu verhindern. In solchen Fällen müssen Firmware-Updates weiterhin über physische Datenträger eingespielt werden. 

Doch selbst wenn die technischen Voraussetzungen gegeben sind, bestehen weitere praktische Hürden. Viele Hersteller verwenden eigene Update-Mechanismen und proprietäre Tools. Für das Instandhaltungspersonal bedeutet das einen großen Aufwand. Es muss für jedes Gerät das passende Werkzeug auswählen, die Anleitung beachten und die Kompatibilität prüfen. 

Der Wunsch nach einem einheitlichen, sicheren Update-Mechanismus

Die Möglichkeit, sicherheitsrelevante Firmware-Updates aus der Ferne durchzuführen, ist entscheidend für Cyber-Resilienz und effiziente Wartung. Um die Instandhaltung herstellerunabhängig zu vereinfachen, ist ein standardisierter Update-Mechanismus erforderlich. Dabei sollte der Betreiber selbst entscheiden können, wann und wie Updates installiert werden, zum Beispiel während geplanter Wartungsfenster.

Hier bietet sich OPC UA als Lösung an. Diese Technologie ist in der OT-Welt weit verbreitet, etabliert und akzeptiert. Durch ihre modulare Architektur eignet sie sich hervorragend als Schnittstelle für sichere, standardisierte Firmware-Updates.

OPC UA als Basis für herstellerübergreifende Updates

Mit dem in der OPC UA-Spezifikation Part 100 definierten Interface existiert bereits ein offener Standard, um Updates herstellerübergreifend umzusetzen. Wir haben diesen Ansatz am Beispiel eines WAGO PFC200 getestet. Die Firmware des PFC200 wird als Board Support Package bereitgestellt und lässt sich von Entwickler:innen anpassen und erweitern.

Dafür haben wir einen eigenen OPC UA-Server auf Basis von Open-Source-Bibliotheken entwickelt, der das Update-Interface bereitstellt. Intern nutzt der Server die systemeigenen Update-Prozeduren, um die Aktualisierung auszuführen. 

Der OPC UA-Standard definiert verschiedene Möglichkeiten, die Update-Datei auf das Gerät zu übertragen, in unserem Fall über einen direkten Dateisystemzugriff. Alternativ kann die Datei auch zwischengespeichert (gecached) oder streamingbasiert übertragen werden, sodass sich der Update-Mechanismus flexibel auf andere Geräteklassen anwenden lässt.

Zukunftssichere Updates mit offenen Standards

Dank der generischen OPC UA-Schnittstelle ergeben sich zahlreiche Möglichkeiten für clientseitige Erweiterungen; von einfachen Skripten bis hin zu komplexen Anwendungen, die eine firmeneigene Update-Policy abbilden. Dabei bleibt das System sicher, da es auf den bewährten Sicherheitsmechanismen von OPC UA aufbaut.

Wir unterstützen Sie dabei, Firmware-Updates sicher, smart und herstellerübergreifend umzusetzen.

 

Über den Autor

 

Can Yanpinar ist Softwareentwickler und schloss sein Studium der Allgemeinen Informatik an der Hochschule Furtwangen ab. Bereits während des Studiums war er als Praktikant und Werkstudent bei M&M Software tätig und wirkte dort an verschiedenen Entwicklungsprojekten mit. In seiner Bachelorarbeit „Remote Firmware Update im Industrial Internet of Things“ untersuchte er den Einsatz von OPC UA unter Berücksichtigung der Anforderungen der IEC 62443, des Cyber Resilience Act (CRA) sowie der NIS2-Richtlinie.

Erstellt von
Zurück