- IT&Production - https://www.it-production.com -

Sichere Automation: Eine Frage der Integrität

Sichere Automation: Eine Frage der Integrität

Industrielle Prozesse und Informationstechnik wachsen zurzeit zusammen: Maschinen, Anlagen und Geräte werden intelligenter, sind miteinander und mit dem Internet vernetzt und tauschen selbstständig Informationen aus. Diesen Wandel bezeichnet man als die vierte industrielle Revolution, oder 'Industrie 4.0'. Eine Entwicklung, die weitreichende Auswirkungen auf Safety und Security hat.




Bild: Wibu-Systems AG

Sicherheit in der Industrie hat zwei Facetten: Betriebssicherheit oder ‚Safety‘ und Angriffssicherheit oder ‚Security‘. Die Betriebssicherheit befasst sich mit dem Schutz von Mensch und Umwelt vor der Maschine, während sich die Angriffssicherheit dem Schutz der Maschine vor einem Angreifer widmet. Gängige Security-Vorkehrungen umfassen etwa Wachpersonal, Authentifizierung am Eingang, Überwachungssysteme oder Zäune. In der modernen Fabrik der Industrie 4.0 genügen diese klassischen Security-Vorkehrungen aufgrund der Vernetzung nicht mehr. Doch auch die klassischen Schutzmaßnahmen der IT wie Virenschutz, Verschlüsselung, Benutzerbeschränkungen oder Firewalls sind nicht 1:1 in den Fabrikalltag übertragbar.

Sicherheit bedeutet auch Know-how-Schutz

Angriffe durch Stuxnet, Duqu oder Flame haben in den vergangenen Jahren gezeigt, wie verwundbar industrielle Systeme sind: Unberechtigte können ‚von außen‘ durch geschickte Angriffe auf Schwachstellen, wie z.B. Internet-Zugänge für die Fernwartung, an sensible Informationen gelangen oder die Einstellungen an Maschinen verändern. Die Manipulationen können dazu führen, dass fehlerhaft produziert wird oder sogar die komplette Produktion lahmgelegt wird. Und Sabotage ist nicht die einzige Gefahr: Was eine Maschine kann und wie sie funktioniert wird heute nicht mehr alleine von ihrem mechanischen Aufbau oder einer einfachen Steuerelektronik bestimmt, sondern mehr und mehr von ihrer Embedded-Software. Mit all dem Wissen und den Erfahrungen eines Herstellers, die in der Embedded-Software enthalten sind, wird diese zum lohnenden Ziel von Know-how-Dieben und Produktpiraten.

Schutz gegen Manipulation in der Produktion

Daher sollte der Integritätsschutz einen wesentlichen Bestandteil von Sicherheitsstrategien im industriellen Umfeld darstellen. Unter diesem Begriff versteht man Sicherheitsmaßnahmen gegen unberechtigte Manipulation. Jederzeit muss das Produktionssystem erkennen können, ob Programme oder Daten manipuliert wurden. Nur so lässt sich sicherstellen, dass der Code erst ausgeführt wird, wenn der berechtigte Herausgeber erkannt wurde. Im Falle einer Manipulation muss das System sofort in einen sicheren Zustand gebracht werden. Daher sind Lösungen, die sowohl starke Kryptographie als auch sichere Hardwareelemente wie Secure Elements oder Smart-Card-Chips unterstützen, erforderlich, die den nötigen Integritätsschutz bieten können. Beim Integritätsschutz sollten verschiedene Ebenen durchlaufen werden, die aufeinander aufbauen, beginnend mit der untersten. Die jeweils nachfolgende Ebene wird nur geladen und durchlaufen, wenn ihr Vorgänger zuvor korrekt geprüft und als ‚vertrauenswürdig‘ eingestuft wurde. Die Prüfungen gehen bei umfassenden Schutzkonzepten sowohl von einer Ebenen zur nächsten, als auch in Form einer ‚Rückwärtsprüfung‘ wieder zurück. Dabei sollten folgende Schritte durchgeführt werden:

Zum umfassenden Absichern dieser Prüfmechanismen empfiehlt es sich, für jeden Programmcode oder für alle Daten sowohl einen Hash-Wert als auch eine Signatur zu erzeugen. Über den Hash-Wert erkennt das System, ob die Daten verändert wurden. Die Prüfung der Signatur gegen eine Zertifikatskette zeigt an, ob der Programmcode oder die Daten vom berechtigten Herausgeber stammen. Dazu signiert der Herausgeber zunächst die Originalsoftware mit seinem privaten Schlüssel und codiert die Software anschließend. Dann kommt die verschlüsselte Software zusammen mit dem öffentlichen Teil des Signaturzertifikates auf der Maschine zum Einsatz.

Verschlüsseln und Signieren einer Anwendung am Beispiel des Tools Codemeter AxProtector: Kern der Lösung ist die sichere Verschlüsselung jeder Art von Software und digitaler Daten. Nur wenn die passenden Nutzungsrechte vorliegen, die sicher in der Schutzhardware oder der Aktivierungsdatei gespeichert sind, werden Software oder Daten entschlüsselt, um ausgeführt oder weiterverarbeitet zu werden. Bild: Wibu-Systems AG

Durchgehende Zertifikatskette sicherstellen

Programmcode und Parameter sollten dabei mit privaten Schlüsseln oder ‚private keys‘ signiert werden, da diese mehr Sicherheit bieten als der Zugriff auf globale Verschlüsselungsmechanismen oder ‚public keys‘. Diese Schlüssel werden in einer sicheren Hardware gespeichert. Die unterschiedlichen Zertifikate werden von einem Rootzertifikat abgeleitet, das als Vertrauensanker in einer sicheren Ebene liegt, auf die nur selten zugegriffen werden muss. Damit wird dieses Rootzertifikat relativ sicher vor Missbrauch aufbewahrt. Es dient als Basis für sogenannte ‚Certificate Revocation Lists‘ (CRLs), mit deren Hilfe bei Bedarf die im Feld befindlichen Zertifikate zurückgezogen werden können.

Rückwärtsprüfung als zusätzliche Absicherung

Im Rahmen der Rückwärtsprüfung wird sichergestellt, dass die Folgeebene erst freigegeben wird, wenn die Vorgängerebene korrekt durchlaufen wurde. Die Prüfung einer Ebene und ihrer Folgeebene ist schwierig, da der nachfolgende Schritt jeweils nur begrenzten Zugriff auf den vorherigen hat. Nur mit einer Zustandsmaschine in einer vertrauenswürdigen Hardware, etwa in Form von Dongles, ist diese Rückwärtsprüfung möglich. Die Freigabe zur Entschlüsselung des Betriebssystems erfolgt dabei erst, wenn der Bootprozess mit korrekter Integrität durchlief. Auch können so gemeinsam vertrauliche Daten genutzt werden. Das ist aber erst möglich, wenn der vorherige Schritt als ‚in Ordnung‘ bewertet wurde.

Anforderungen an Software- und Know-how-Schutz

Embedded-Software, Maschinentagebücher und auch das Produkt-Know-how in digitaler Form wie beispielsweise Serviceunterlagen werden bei diesem Konzept verschlüsselt und können nur mit der passenden Berechtigung im Dongle oder der Aktivierungsdatei genutzt werden. Nicht manipulierbare Zähler in der Schutz-Hardware können daher helfen, Grauproduktionen beim Auftragnehmer, der Originaldaten für die Produktion erhalten hat, in Nachtschichten oder Wochenendproduktionen zu verhindern. Insgesamt sollte eine umfassende Sicherheitslösung folgende Eigenschaften für den Integritätsschutz von Embedded-Software zur Verfügung stellen:

Die eingesetzte Hardware sollte dabei sowohl breit einsetzbar sein als auch den speziellen Anforderungen industrieller Umgebungen Rechnung tragen:

Auch eine Revolution benötigt Sicherheit

Viele Akteure aus Forschung, Wirtschaft und Staat beteiligen sich an der vierten industriellen Revolution und treiben sie gemeinsam voran. So haben zum Beispiel die drei großen Wirtschaftsverbände Bitkom, VDMA und ZVEI als eine gemeinsame Geschäftsstelle die ‚Plattform Industrie 4.0‘ gegründet, um zur zentralen Anlaufstelle für das Zukunftsthema Industrie 4.0 zu werden. Im Mittelpunkt all dieser Bestrebungen steht, Deutschland zum Vorreiter von Industrie 4.0 zu machen und damit den Industriestandort zu sichern. Es gilt aber auch, praxistaugliche Lösungen zu entwickeln, die vor den Gefahren dieser Revolution schützen.