Software & Security Intelligente Sicherheit für Industrie 4.0


Reihenfolge beim Integritätsschutz

18.10.2012

Programme und Daten steuern die Produktion. Aufgrund des Wandels in der Produktion zeichnet sich ab, wie wichtig der Schutz vor Manipulation ist.

Unter der vierten industriellen Revolution oder kurz Industrie 4.0 wird das Zusammenwachsen moderner Technologien der Informationstechnik mit klassischen industriellen Prozessen bezeichnet. Schritt für Schritt verschmilzt die physikalische Welt mit der digitalen Welt. Die intelligenten Maschinen stehen in modernen Fabriken und zeichnen sich durch neue Eigenschaften aus: Sie sind immer stärker miteinander vernetzt, steuern sich selbst über Embedded-Systeme und tauschen selbständig Informationen aus - auch über das Internet. Ein wichtiger Aspekt beim Zukunftsprojekt Industrie 4.0 ist die Sicherheit (Security). Virenschutz, Verschlüsselung, Benutzerbeschränkungen oder Firewalls gehören zu Abwehrmaßnahmen der klassischen IT und können nicht 1:1 im Zukunftsprojekt eingesetzt werden. Deswegen fordert die Industrie neue, ganzheitliche Security-Konzepte.

Security und Safety in der Produktion

Bisher kannte die Industrie hauptsächlich Betriebssicherheit „Safety“, um die Umwelt und den Mensch vor den Maschinen zu schützen. Weiterhin galt es, Produktionsstätten vor Unberechtigten oder die Maschine und Anlagen an sich zu schützen: Wachpersonal, Geräte zur Personenkontrollen und Authentifizierung, Überwachungssysteme oder bauliche Maßnahmen wie abschließbare Türen oder Zäune um die Gebäude.Aufgrund der wachsenden Vernetzung einzelner Maschinen reichen die vorhandenen traditionellen Schutzkonzepte für Industrie 4.0 nicht aus. Beispielsweise muss jetzt auch Angriffssicherheit, „Security“ für Anlagen, Produkte, Daten und Know-how, berücksichtigt werden. Die Produktionsnetze an sich sind sensibler und könnten durch schwache oder nicht vorhandene Schutzmaßnahmen von Unberechtigten lahmgelegt werden. In den letzten Jahren haben die Angriffe durch Stuxnet, Duqu oder Flame die Verwundbarkeit industrieller Systeme gezeigt. Einzelne Maschinen könnten nach einer Manipulation fehlerhaft produzieren. Die Modernisierung in der Produktion bringt jedoch auch Vorteile: Durch Fernwartung können Techniker die Maschinen ohne Reisetätigkeit betreuen und somit schneller reagieren und gleichzeitig die Kosten reduzieren. Gerade solche Zugänge müssen besonders gut gesichert sein.

Präventiver Schutz

Zu den Anforderungen für den Schutz industrieller Systeme gehören:

�?� Kopierschutz gegen Nachbau, �?� Know-how-Schutz gegen Reverse-Engineering, �?� flexible Freischaltung von Gerätefunktionen, um neue Geschäftsmodelle abzubilden und �?� Integritätsschutz gegen Manipulation und Cyberangriffe.

Ein elegantes Schutzkonzept beruht auf dem präventiven Schutz der Embedded-Software, ohne die eine Maschine, Anlage oder ein Gerät nicht funktioniert. Beispielsweise bietet der Karlsruher Verschlüsselungsexperte Wibu-Systems mit seiner Lösung CodeMeter eine technische Lösung, die gleichzeitig alle oben genannten vier Schutzanforderungen erfüllt. Die Embedded-Software wird verschlüsselt und nur entschlüsselt, wenn die passenden Nutzungsrechte in Form eines nichtkopierbaren Schlüssels in der Schutzhardware CmDongle oder der Aktivierungsdatei CmActLicense liegen. Bei der Ver- und Entschlüsselung werden Algorithmen wie AES mit 128-Bit-Schlüssellänge, für Schlüsselaustausch und Signaturen ECC mit 224-Bit-Schlüssellänge eingesetzt.

Schwerpunkt Integritätsschutz

Unter Integritätsschutz versteht man Sicherheitsmaßnahmen gegen unberechtigte Manipulation. Es muss immer gewährleistet sein, dass Programme und Daten nicht manipuliert wurden und diese nur dann genutzt werden, wenn sie nachweislich vom berechtigten Herausgeber kommen. Sobald die Manipulation erkannt wurde, muss das System in einen sicheren Zustand gebracht werden. Lösungen, die sowohl starke Kryptographie als auch sichere Hardwareelemente wie Secure Elements oder Smart-Card-Chips nutzen, bieten Kopier- und Know-how-Schutz zusätzlich zum Integritätsschutz.

Schritt für Schritt zum Integritätsschutz

Auf der ersten Ebene überprüft der Bootloader die Integrität des Betriebssystems. Nur wenn es korrekt ist, wird es geladen. Das Betriebssystem startet nur, wenn der Bootloader korrekt durchlaufen wurde. Im zweiten Schritt prüft das Betriebssystem die Integrität der Anwendung: Sie startet nur, nachdem durch Rückwärtsprüfung das Betriebssystem als „vertrauenswürdig“ eingestuft wurde. Ein wirkungsvoller Integritätsschutz zeichnet sich durch folgende Funktionen aus:

�?� Er signiert die Anwendung, �?� prüft gegen eine Zertifikatskette und �?� erlaubt eine Rückwärtsprüfung.

Für jeden Programmcode oder für alle Daten gibt es einen Hash, das ist eine Art Checksumme, und eine elektronische Signatur. Der Hash-Wert zeigt an, dass die Daten unverändert sind; bei der Prüfung der Signatur gegen eine Zertifikatskette wird festgestellt, dass Programmcode oder Daten vom berechtigten Herausgeber sind. Eine Rückwärtsprüfung dient dazu, Folgestufen erst dann freizugeben, sofern die vorangegangene Stufe korrekt durchlaufen wurde.

Signatur

Zur CodeMeter-Technologie gehört das Tool AxProtector zum Softwareschutz und gleichzeitig zur Berechnung des Hash-Wertes der Originalsoftware. Diese Original-Software wird mit dem mit dem privaten Schlüssel des Herausgebers signiert. Zusätzlich wird die Software verschlüsselt und der öffentliche Teil des Signaturzertifikats an die verschlüsselte Software angehängt. So sieht der Ablauf der Integritätsprüfung im Einzelnen aus:

1. Beim Vorhandensein einer passenden Lizenz wird die verschlüsselte Software entschlüsselt, 2. das in den Credentials angehängte Zertifikat oder die Zertifikatskette wird gegen den öffentlichen Ursprungsschlüssel (Public Root Key) geprüft, 3. der Hash-Wert über die entschlüsselte Original-Software wird berechnet und 4. die Signatur über den Hash wird mit dem öffentlichen Schlüssel (Public Key) überprüft.

Zertifikatskette

Private Schlüssel („private keys“) werden zum Signieren von Programmcode und Parametern benutzt und in einer sicheren Hardware wie im CmDongle gespeichert. Die Zertifikate liegen in Dateiform vor. Die unterschiedlichen Zertifikate werden vom Rootzertifikat abgeleitet und sogenannte „Certificate Revocation Lists“, CRLs, können erstellt werden. Diese Listen erlauben, im Feld befindliche Zertifikate zurückzuziehen.Die Zertifikatsketten helfen auch, Signaturzertifikate für verschiedene Abteilungen oder auch Third-Party-Anbieter zu erzeugen, die unabhängig voneinander sind und auch widerrufen werden können. Zusätzlich ist das Root-Zertifikat, der eigentliche Vertrauensanker, geschützt, sodass nur selten darauf zugegriffen wird und deswegen sicher vor Missbrauch aufbewahrt werden kann. Die Prüfung, ob der Bootprozess durch das Betriebssystem oder die Integritätsprüfung des Betriebssystems durch die Anwendung korrekt durchgeführt wurde, ist nur schwierig durchführbar, da der nachfolgende Schritt jeweils nur begrenzten Zugriff auf den vorherigen hat. Es wird eine Zustandsmaschine in einer vertrauenswürdigen Hardware benötigt, beispielsweise TPM (Trusted Platform Module) oder CmDongle. Erst wenn der Bootprozess mit korrekter Integrität durchgeführt wurde, erfolgt die Freigabe zur Entschlüsselung des Betriebssystems. Auch können gemeinsame Geheimnisse gespeichert werden, die jedoch erst sichtbar werden, wenn der vorherige Schritt erfolgreich war.

Ausblick

Deutsche Unternehmen, Forschungseinrichtungen und die Regierung haben mit ihrem Engagement in Forschung und Entwicklung zu Industrie 4.0 gezeigt, dass sie die Chance auf die Spitzenposition im Weltmarkt ergreifen wollen. Bestehende Schutzsysteme müssen so erweitert werden, dass sie sowohl die neuen Anforderungen erfüllen als auch flexibel sind, um zukünftige Anforderungen nachzurüsten. Wenn sich praxistaugliche Sicherheitslösungen als Standard etabliert haben, dann werden Berichte über schlecht gesicherte Industrieanlagen in Deutschland der Vergangenheit angehören, wie zuletzt im Bericht des Redaktionsteams von Heise Security vom Mai 2013.

Bildergalerie

Firmen zu diesem Artikel
Verwandte Artikel