Anzeige
Anzeige
Anzeige
Beitrag drucken

OPC UA und die Informationssicherheit

Mechanismen für jeden Anwendungsfall

Der Standard OPC UA hält eine Reihe von Mechanismen zur Absicherung der Kommunikation zwischen Automatisierungskomponenten bereit. Anhand eines Drei-Ebenen-Modells lässt sich ein Cyber Security Management-System einrichten, das auf den jeweiligen Anwendungsfall abgestimmte IT-Sicherheitslösungen gestattet.

oben: Zugriffsbeschränkungen für einen Nutzer (rot markiert, links) oder eine Anwenung (rot markiert, rechts). Unten: Abgesicherter Kommunikationskanal (Secure Channel, rot markiert) zwischen zwei Applikationen, betrieben durch zwei unterschiedliche Nutzer. Bilder: Fraunhofer IOSB und TeDo Verlag GmbH

Funktionale Sicherheit (functional safety), Zuverlässigkeit (reliability) und Informationssicherheit (IT security) spielen eine immer bedeutendere Rolle in der industriellen Automatisierung. Durch die Öffnung der Produktionsnetzwerke nach außen müssen gerade Standard-Kommunikations- und Managementplattformen, die dort eingesetzt werden und die Informationen aus der Produktion über Netzwerkinfrastrukturen zugänglich machen, ein großes Augenmerk auf einen angemessenen Schutz der kommunizierten Informationen legen. Unerheblich ist dabei, ob der Zugriff lokal oder standort-/unternehmensübergreifend zum Beispiel via Internet erfolgt. Die erforderlichen Schutzmechanismen variieren von Fall zu Fall. Die OPC Unified Architecture (OPC UA), als ein Vertreter solcher Standards, spezifiziert eine Reihe an möglichen Mechanismen, die es im Bedarfsfall zu nutzen gilt. Diese sind nicht Standard-spezifisch, sondern bauen auf aktuell in der Praxis vorherrschenden Mechanismen auf. Das Fraunhofer IOSB setzt OPC UA in laufenden Forschungsprojekten und in vielen Industrieprojekten ein. Gerade die Sicherheitsmechanismen des Standards geben häufig den Ausschlag zur Entscheidung für diese Technologie. Die OPC UA-Spezifikationen benennen mögliche Angriffsszenarien, wie das unerlaubte Eindringen in das System, die Verfälschung oder Manipulation von Werten, Nachrichten und Anmeldedaten, das unerlaubte Abhören der Kommunikation oder die Kompromittierung von OPC UA-Servern durch eine Nachrichtenflut sowie explizite umsetzbare Gegenmaßnahmen.

Sicherheitsmodell mit drei Ebenen

Mittels OPC UA lässt sich ein Cyber Security Management-System (CSMS) auf der Grundlage eines Sicherheitsmodells mit drei Ebenen einrichten. Die Nutzer-Authentifizierung in OPC UA erfolgt mit einer Benutzerpasswort-Kombination oder basierend auf einem Sicherheitsschlüssel, einem ’security token‘. Hierfür wird der Einsatz von Zertifikaten vorgeschlagen, zum Beispiel X.509v3. Auch Server und Clients erhalten eine eigene Identität basierend auf einem solchen Zertifikat. Dabei spielt es keine Rolle, ob dies selbst-signierte oder von einer Zertifizierungsstelle (Trusted Authority) verifizierte Zertifikate sind. Während Local Discovery Server (LDS) Informationen über alle Server vorhalten, die bei ihnen registriert wurden, kann ein Global Discovery Server (GDS) auch Discovery-Informationen über Applikationen in einem Unternehmen bereitstellen. Der GDS übernimmt das Zertifikatsmanagement, die Verteilung und das Management von Zertifikaten und realisiert Trust- und Revocation List. Dabei muss die Erstverteilung ebenso wie die Erneuerung von Zertifikaten unterstützt werden. Für Nutzer oder Gruppen kann der Zugriff auf einen OPC UA-Server oder seine Knoten geregelt werden. Diese Autorisierungsmechanismen regeln den lesenden (read, historyread), schreibenden (write, historywrite) oder ausführenden Zugriff (execute) auf Daten.

Wird der Zugriff verweigert, gibt es hierfür entsprechende vordefinierte Status-Codes, zum Beispiel ‚BadÜuseraccessdenied‘. So kann für Personen mit bestimmten Rollen wie Inbetriebnehmer, Servicetechniker oder den Anlagenbetreiber der Zugriff auf wichtige Produktionsinformationen geregelt werden. Das Fraunhofer IOSB nutzt diese Mechanismen beispielsweise im Projekt SecurePLUGandWORK. Auch die Integrität der Daten muss sichergestellt werden: Ein Empfänger muss sicher sein, dass die Daten ohne jegliche Verfälschung bei ihm eintreffen – gerade so, wie sie der Sender verschickt hat. Dazu werden Daten ’signiert‘. Hierfür werden symmetrische und asymmetrische Signaturen genutzt. Gleichzeitig enthält jede Request-/Response-Nachricht in OPC UA eindeutige Session-IDs, Secure Channel-IDs, Zeitstempel, Sequenznummern und Request-IDs, auf Basis derer geprüft werden kann, ob Nachrichten verfälscht wurden. Um die Vertraulichkeit der auf einem spezifischen Kommunikationskanal, oder secure channel, zwischen zwei Partnern übermittelten und verwalteten Informationen sicherzustellen, wird eine asymmetrische Verschlüsselung genutzt. Dies soll das das ungewollte Abhören von Nachrichten verhindern.

Redundanzmechanismen für OPC UA-Server

Der Kompromittierung von OPC UA-Servern auf Grund von Nachrichtenfluten wirkt OPC UA entgegen, indem nur eine definierte maximale Anzahl an Sessions von einem Server akzeptiert wird und gleichzeitig die Verfügbarkeit der Server auf Basis von Redundanzmechanismen sichergestellt wird. Zusätzlich zur vorbeugenden Sicherung gilt es auch, den aktuellen Zustand, Aktionen und Ergebnisse als Audit-Spuren zu dokumentieren und nachvollziehen zu können, um im Nachgang einer Kommunikation die sogenannte Prüffähigkeit – oder auditability – sicherzustellen. Daher werden mit OPC UA erfolgreiche und erfolglose Verbindungsversuche ebenso aufgezeichnet wie Konfigurationsänderungen, Zurückweisungen von Sessions und so weiter. Anhand der Audit-Spuren kann beispielsweise das versuchte Eindringen von Angreifern frühzeitig erkannt und klassifiziert werden. Diese Mechanismen nutzt das IOSB beispielsweise innerhalb eines Frühwarnsystems für Cyber-Attacken auf IT-Systeme kritischer Infrastrukturen. OPC UA bietet also eine Vielzahl von Möglichkeiten für die IT-Sicherheit. Welche ausgewählt und umgesetzt werden sollten, entscheidet sich anhand des Anwendungsfalls und den möglichen Bedrohungen.


Das könnte Sie auch interessieren:

Zuken hat seit kurzem die Lösung E³.WiringSystemLab im Programm. Die Software ist auf die Optimierung komplexer Kabelbaumdesigns auf Basis von Schaltplänen aus heterogenen Quellen ausgelegt.‣ weiterlesen

Im Rahmen des Zukunftsprojekts Industrie 4.0 werden Manufacturing Execution Systems oft grundlegend in Frage gestellt - und trotzdem ist bisher keine alternative Lösung verfügbar. Zwar hält der Markt bereits innovative Plattform-Ansätze bereit, aber sind die schon produktiv nutzbar? Ein kritischer Blick in die Zukunft soll ein Gespür für die Entwicklungen der kommenden Jahre vermitteln.‣ weiterlesen

Hersteller von Komponenten für Automationsnetzwerke müssen ihre Produkte auf Industrie-4.0-Anwendungen vorbereiten. Nur dann können sie Anwender beim Aufbau leistungsstarker und zukunftssicherer Kommunikationsinfrastrukturen unterstützen. Die neuen Funktionen von Netzwerkkomponenten geben ein klares Bild, in welche Richtung dieser Weg führt.‣ weiterlesen

In vielen Branchen müssen Manufacturing Execution Systeme spezifische Herausforderungen besonders gut bewältigen. Soll ein System etwa die Montage abbilden, muss es meist eine äußerst leistungsstarke Planung des Personalseinsatzes unterstützen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige