Aufrufe
vor 2 Wochen

Industrielle Automation 3/2018

  • Text
  • Industrielle
  • Automation
Industrielle Automation 3/2018

Industrie 4.0 fordert

Industrie 4.0 fordert sichere Identitäten Wie Sie die Basis für eine sichere Maschinenkommunikation legen und Cyberangriffen vorbeugen Der Datenaustausch zwischen Maschinen ist ein Schlüsselkonzept für das industrielle Internet der Dinge. Allerdings schafft die autonome Gerätekommunikation auch neue Sicherheitslücken für Internetkriminelle. Eine oftmals vernachlässigte Gefahr ist der Missbrauch von Maschinen- Identitäten. Warum Sichere Maschinenidentitäten so bedeutsam sind, wie sie erstellt werden und für welche Anwendungen sie sich einsetzen lassen, darüber informiert der folgende Beitrag. Michael Gröber, Senior Product Manager, Bundesdruckerei Trust Center Solutions, Berlin Auf die Frage, welche Folgen ein Cyberangriff auf die Fertigungsanlage haben könnte, antworteten die Konstrukteure einer kanadischen Keksfabrik: „versalzender Keks-Teig“. Mehr als der Verlust eines Tagesvolumens an Keksen sei nicht zu erwarten. Doch dann trat der Ernstfall ein. Hacker drangen in die Unternehmenssysteme ein und übernahmen den Steuerungscomputer. Die Folge: ein kompletter Maschinenstillstand; Teig für die Kekse blieb in den Rohren und Anlagen stecken, wurde hart und konnte nicht mehr entfernt werden. Am Ende mussten die Rohre herausgeschnitten werden – ein langwieriger und aufwändiger Vorgang. Entscheidende Fragen der industriellen IT-Sicherheit Der Fall der kanadischen Keksfabrik illustriert anschaulich, welchen Sicherheitsgefahren sich die Industrie 4.0 gegenübersieht. Maschinen sind mit anderen internen und externen Systemen vernetzt. Permanent werden Daten und Informationen im Verbund Maschine, Steuerungssysteme und IT-Anwendungen ausgetauscht. Kommt es hier zu einer Störung oder einer Manipulation, kann das verheerende Konsequenzen nach sich ziehen. Möglich sind eine geringere Produktqualität, der unerlaubte Zugriff von externen Stelle auf Mithilfe der Physical-Unclonable-Function-Technologie lassen sich Maschinenidentitäten sicher anlegen, beglaubigen und anwenden. Unternehmens- oder Prozessdaten sowie Produktionseinbußen. Die Grundlage für eine sichere Datenkommunikation und einen manipulationsfreien Informationsaustausch bilden „Sichere Maschinenidentitäten“. Sie geben Antworten auf entscheidende Fragen der industriellen IT-Sicherheit: n Wer ist das System auf der anderen Seite? n Wem gehört es? Kann ich ihm vertrauen? Werden nur legitime Steuerbefehle und Auftragsdaten ausgetauscht? Kommen sie unverfälscht vom vorgegebenen Sender? n Wie wird sichergestellt, dass die hin- und hergeschickten Daten vertraulich bleiben? Werden sensible Daten nach dem Versand an Dritte geschützt? 58 INDUSTRIELLE AUTOMATION 3/2018

KOMPONENTEN UND SOFTWARE Was sind Maschinenidentitäten? Maschinelle Identitäten sind, wie beim Menschen, individuelle Merkmale, die sie von anderen unterscheiden und unterscheidbar machen. Informationen, die in einer maschinellen Identität gespeichert werden, sind z. B. ihre Seriennummer und ihr Besitzer. Eine „Sichere Maschinenidentität“ bedeutet, dass diese nicht manipuliert, gefälscht oder missbraucht werden kann. Sie dient als Nachweis, dass eine Maschine tatsächlich diejenige ist, für die sie sich ausgibt. Doch sind „Sichere Maschinenidentitäten“ im industriellen Umfeld noch wenig verbreitet. Lediglich ein Viertel der deutschen Maschinen- und Anlagenbauer set - zen „Sichere Maschinenidentitäten“ in der Praxis ein, so das Ergebnis einer Studie der Bundesdruckerei. Digitale Zertifikate bestätigen Identitäten Die Bundesdruckerei Hauptbestandteil von „Sicheren Maschinenidentitäten“ sind sogenannte digitale Zertifikate. In der analogen Welt weist ein Zertifikat auf die Echtheit einer Urkunde oder einer amtlichen Bescheinigung hin, im Fall vernetzter Produktionsumgebungen bestätigt ein Zertifikat die Echtheit der Maschinen identität. Ein digitales Zertifikat ist ein elektronischer Datensatz, der die Identitäts informationen der Anlage enthält und diese mit kryptografischen Verschlüsselungsmechanismen vor Veränderungen schützt. Unternehmen können Zertifikate zwar selbst ausstellen und verwalten. Doch oft sind die Kosten höher und der Aufwand größer als gedacht. Ein weiterer Nachteil von selbst ausgestellten Zertifikaten: Sie lassen sich nicht in der Kommunikation mit Wartungsdienstleistern, Zuliefererunternehmen oder anderen externen Organisationen nutzen. Denn es fehlt die Beglaubigung durch eine dritte, vertrauenswürdige Instanz. Diese Aufgabe übernehmen externe Zertifizierungsstellen, auch als Vertrauensdiensteanbieter bezeichnet (VDA/früher Trustcenter). Um ein Zertifikat zu erhalten, müssen Unternehmen als Besitzer der Maschine ihre Identität gegenüber dem VDA nachweisen, beispielsweise mit einem Handelsregisterauszug. Zusätzlich kann der Maschinentyp mit einer eindeutigen ID unmittelbar verknüpft sein, zum Beispiel mit der Seriennummer. Verlaufen die Identitätsprüfungen erfolgreich, stellt der Vertrauensdiensteanbieter ein Zerti fikat aus. Dieses enthält alle notwendigen Identitätsinformationen und die Gültigkeitsdauer und ist vom VDA per Signatur beglaubigt. Vom Zertifikat zur „sicheren Maschinenidentität“ Damit die Maschine ihre unverwechselbare „Sichere Identität“ erhält, müssen das Zertifikat und die kryptografischen Schlüssel vor unberechtigten Zugriffen geschützt werden. Dafür eignen sich beispielsweise hardwarebasierte Lösungen. Bei diesem Ansatz werden beide Komponenten auf Chipkarten oder auf einem sogenannten „Hardware Security Module (HSM)“ gespeichert. Eine typische HSM-Lösung besteht aus einer sogenannten PCI-Expresskarte mit Die Bundesdruckerei GmbH unterstützt Unternehmen, Staaten und Behörden bei der sicheren Digitalisierung – von der Beratung über die Umsetzung bis zum Betrieb und Service. Mit Technologien und Dienstleistungen „Made in Germany“ schützt sie sensible Daten, Kommunikation und Infrastrukturen. Die Lösungen basieren auf der sicheren Identifikation von Bürgern, Kunden, Mitarbeitern und Systemen in der analogen und digitalen Welt. D-Trust ist der Vertrauensdiensteanbieter der Bundesdruckerei. Hauptbestandteil von „sicheren Maschinenidentitäten“ sind sog. digitale Zertifikate. Dies ist ein elektronischer Datensatz, der die Identitätsinformationen einer Anlage enthält und diese mit kryptografischen Verschlüsselungsmechanismen vor Veränderungen schützt. Michael Gröber Chip und ist fest in der Maschine eingebaut. Für ein hohes Schutzniveau sorgen viele physische Maßnahmen, wie Bohrschutzfolien, das Eingießen von Chips sowie Temperaturund Spannungssensoren. Versucht zum Beispiel jemand, das HSM zu öffnen, indem er das Gerät aufbohrt, Schichten durch Säuren abträgt oder das Gehäuse vereist und dann aufbricht, erkennen Sensoren den Angriff sofort. Das HSM reagiert darauf in der Regel mit einem Alarm oder dem Löschen aller gespeicherten Daten. Aktuell in der Diskussion zudem ist eine Halbleiter-basierte technologische Alternative zum Hardware-Token. Demnach würden die in Industrie-4.0-Maschinen vorkommenden Halbleiter eine eigene Charakteristik besitzen, die durch kleinste Produktionsschwankungen hervorgerufen wird und aus der sich eine eindeutige Identität ableiten lässt. Ähnlich wie ein Fingerabdruck beim Menschen ist dieses Identitätsmerkmal an einen Halbleiter gebunden. Die Identität wird danach von einem Vertrauensdiensteanbieter durch die Ausstellung eines Zertifikats beglaubigt. Antworten gefunden Die auf diese Weise erzeugten „Sicheren Maschinenidentitäten“ geben die Antworten auf die vorhin gestellten Fragen der industriellen IT-Sicherheit. Sie werden für drei zentrale Aufgaben eingesetzt: n Zum Nachweis der sicheren Maschinenidentität, zum Beispiel wenn Maschinendaten in die Cloud übertragen werden. Dabei kann der Zertifikatestatus – Gültigkeit, Laufzeit, etc. – jederzeit beim Vertrauensdiensteanbieter überprüft werden n Für die elektronische Signatur von Steuerbefehlen und Log-Daten, um sie vor Manipulationen zu schützen und ihre Herkunft zweifelsfrei nachzuweisen n Zu der Verschlüsselung der Maschinenkommunikation Bilder: Bundesdruckerei Literaturhinweis: *)Bundesdruckerei: IT-Sicherheit im Rahmen der Digitalisierung, https://www. bundesdruckerei.de/de/studie-it-sicherheit www.bundesdruckerei.de INDUSTRIELLE AUTOMATION 3/2018 59

AUSGABE