Bild: MSC Technologies

Fachbeitrag Bereit für Industrie 4.0

13.06.2014

Als zentrale Bausteine für das Internet of Things verfügen modulare Embedded-Module bereits heute standardmäßig über zahlreiche Security-Features. Die wichtigsten Maßnahmen sind die Bestückung eines Trusted-Platform-Moduls, ein sicherer Boot-Vorgang und die Nutzung einer Application-Security-Software.

Leistungsfähige Rechnertechnologien haben in den vergangenen Jahren Einzug gehalten in eine Vielzahl von Industrieanwendungen mit unterschiedlichen Anforderungen. Um im industriellen Umfeld im Langzeitbetrieb zuverlässig zu arbeiten, müssen die professionellen Computer- und Anzeigesysteme den hohen Vorgaben der Nutzer in puncto Qualität und Robustheit erfüllen. Dies gilt vor allem für den Einsatz in der Automatisierungstechnik, der Prozessvisualisierung, im Maschinen- und Anlagenbau, in der Medizintechnik, im Transportation-Bereich und im Gebäude-Management.

Zum Optimieren des Entwicklungsaufwands komplexer Systeme, setzen Anwender immer mehr auf modulare Lösungen. Auf der Basis von vordefinierten Modulen lassen sich innerhalb kurzer Zeit individuelle Produkte entwickeln und fertigen. Immer häufiger kommen als Rechen- und Grafikfunktionalität standardisierte Prozessormodule zum Einsatz, sodass nur noch die speziellen Sonderfunktionen abhängig von der Anwendung neu entwickelt werden müssen. Die Embedded-Module in den Formfaktoren Qseven oder COM-Express sind kompakt und ihre Leistungsparameter lassen sich einfach skalieren. Standardmäßig bieten die Baugruppen eine Reihe an in der Industrie gängigen Schnittstellen wie USB 3.0, PCI Express 3.0 und die aktuellen Video-Interfaces-DisplayPort beziehungsweise Embedded-DisplayPort. Das Ziel von Industrie 4.0 ist, über das Internet of Things (IoT) eine Smart Factory aufzubauen, die sich durch eine hohe Flexibilität und Ressourceneffizienz zum Optimieren der Wertschöpfungskette auszeichnet. Zukünftig sollen die Automatisierungsstrukturen für Produktionsanlagen und deren Logistik dafür ausgelegt sein, kundenspezifische Produkte – auch in Kleinserien – schnell und kostenoptimiert umzusetzen.

Maschinen vernetzen

Die Vernetzung von unterschiedlichen Maschinen steht heute noch am Anfang und wird sich in den nächsten Jahren noch stärker auf alle Bereiche bis hin zum einzelnen Sensor und Aktor entwickeln. Die Synchronisation der unterschiedlichen Welten findet über Cyber Physical Systems (CPS) statt. Hierbei werden alle Informations-, Kommunikations- und Prozesssteuerungskomponenten über das Internet miteinander vernetzt. Ziel ist, den Automatisierungsgrad im eigentlichen Prozess zu steigern und die Möglichkeit einer Steuerung in nahezu Echtzeit. Dazu müssen höchst innovative Monitoring- und Kontroll-Hardware, intelligente Softwaresysteme und neu zu integrierende Kommunikationsschnittstellen entwickelt werden. Als Basisbaustein von CPS rücken innovative Standard-Prozessormodule immer mehr in den Mittelpunkt.

Abbildung 1 zeigt an einem Beispiel unterschiedliche Technologietiefen für Industrie 4.0, angefangen mit einer kleinen, applikationsspezifisch entwickelten Mikrocontollerbaugruppe über leistungsfähige Qseven- und COM-Express-Standardmodulen bis hin zu einem leicht bedienbaren Human-Machine-Interface(HMI)-System. Das Herzstück des Produktionsplanungs- und Steuerungssystems (PPS) ist ein High-End-COM-Express-Type-6-Modul, das auf Intel-Core-Prozessoren der vierten Generation basiert. Das PPS sendet per WLAN oder Feldbus die Aufträge zur Abarbeitung und steuert den Materialfluss. Sehr nah am Fertigungsprozess ist der Steuerungsrechner installiert, der ein kompaktes Qseven-Modul mit aktueller Intel- Atom-Prozessorplattform E3800 integriert. Die kompakte Robo-Lösung auf Basis eines kundenspezifisch entwickelten ARM-Prozessormoduls steuert dezentral das Förderband und ist dazu direkt an die Aktoren angeschlossen. Der Akku-Schrauber integriert einen Bluetooth-Controller, um die prozessrelevanten Daten per Funk an den Panel-PC zu übertragen. Alle Betriebsdaten wie zum Beispiel das Drehmoment, die Energiewerte und die Benutzungsdauer werden in einem Panel-PC gespeichert und visualisiert. Das HMI-System stellt die Systemanbindung zwischen Werkzeug und Fertigungsstraße sicher.

Datensicherheit

Eine existenzielle Grundlage zum Umsetzen einer Smart Factory ist die Datensicherheit der Kommunikation und der Schutz gegen Spionage- und Hacker-Angriffe von außen. Bereits heute verfügen Embedded-Module standardmäßig über spezielle Security Features und können damit zur Systemsicherheit beitragen. Das Thema Datensicherheit beginnt schon mit den in den Modulen eingesetzten Prozessorarchitekturen. Die beiden größten Prozessorhersteller Intel und AMD zählen deshalb neben Lockheed Martin, Honeywell und RSA zu den Gründungsmitgliedern der Ende 2012 gegründeten Cyber Security Research Alliance (CSRA). Die CSRA hat sich in Kooperation mit der US-Normierungsbehörde National Institut of Standards and Technologies (NSIT) zur primären Aufgabe gemacht, die Cyper-Sicherheit zu forcieren. Intel unterstützt bei verschiedenen CPUs spezielle Befehle zum Beschleunigen von kryptografischen Berechnungen (AES-NI). Eine integrierte Security Engine schafft zusätzlich eine auf Hardware basierende „Root of Trust“.

Zahlreiche Qseven- und COM-Express-Plattformen sind mit einem Trusted-Platform-Module (TPM) bestückt. Der Chip verfügt über Sicherheitsfunktionen, die der Spezifikation 1.2 der Industrie-Standardisierungsorganisation Trusted Computing Group (TCG) entsprechen. Das TPM erzeugt und verwaltet eine „Chain of Trust“, sodass das System vom Boot-Up über das Hochlaufen des Betriebssystems bis zum Laden der entsprechenden Applikations-Software komplett sicher in das Netzwerk eingebunden wird. Zur Chain of Trust gehören unter anderem das BIOS, der Master Boot Record (MBR) des Speichermediums, der Bootloader sowie sicherheitsrelevante Elemente des Betriebssystems.

Das TPM generiert und verwaltet kryptografische Schlüssel, die mit Hilfe eines Device Master Keys (DMK) eine eindeutige und fälschungssichere Device-Identifizierung innerhalb des Netzwerkes ermöglichen. Mit dieser Funktion wird verhindert, dass Software illegal kopiert oder installiert werden kann. Darüber hinaus achtet das TPM darauf, dass nur bekannte LAN- und WLAN-Systemkomponenten ins System aktiv eingreifen können. Die Verschlüsselungssoftware Bitlocker von Microsoft hat die Aufgabe, Speichermedien wie zum Beispiel HD oder SSD zu versiegeln. Bitlocker nutzt das TPM zur sicheren Speicherung seiner erzeugten Schlüsselcodes und stellt dadurch sicher, dass Komponenten nur mit richtigem Bitlocker-Schlüssel gebootet oder ausgelesen werden können. Sollte das TPM defekt und somit auch der Schlüssel im TPM verloren gegangen sein, kann durch Bitlocker über einen Wiederherstellungs-Key auf Dateninhalte des Speichermediums zugegriffen werden. Durch die Versiegelung des Speichermediums kann veraltete Hardware ohne mühsame Deinstallation beziehungsweise Löschung diverser Softwaredaten entsorgt werden.

Für höhere Datensicherheit

Eine weitere Möglichkeit, um die Datensicherheit von Embedded-Modulen zu erhöhen, bietet die Software Aptio mit SecureBoot-Vorgang von AMI. Aptio basiert auf dem plattformunabhängigen Standard-Interface Unified Extensible Firmware Interface (UEFI), das dem Betriebssystem über Firmware-Routinen erlaubt, bereits während des Ladevorgangs auf System-relevante Ressourcen zugreifen zu können. Im Vergleich zum klassischen BIOS ist der Bootvorgang über ein UEFI schneller und bietet dem Nutzer eine hochauflösende Boot-Menü-Grafikoberfläche, die eine einfache Bedienung mit Standard-Mouse oder Touch ermöglicht. Die implementierte SecureBoot-Funktionalität stellt sicher, dass nur zuvor signierte Software ausgeführt wird. Der Start eines unsignierten Bootloaders und das Laden eines, dem System unbekannten Betriebssystems wird verhindert. SecureBoot verwendet Platform Keys (PK), Key Exchange Keys (KEK) und zugehörige Signatur-Datenbänke zum Verwalten der erzeugten Signatur-Codes. API unterstützt den EFI Shell als Quasi-Betriebssystemumgebung für Tests und Systempflege sowie Pre-Boot-Applikationen, um auf wesentliche Systemkomponenten auch ohne Betriebssystem zugreifen zu können.

Weitere Features sind der Netzwerk-Support mit komplett unterstütztem Protokoll-Stack und die Unterstützung einer Globally-Unique-Identifier(GUID)-Partitionstabelle anstelle der früheren Master-Boot-Record(MBR)-Partitionstabelle zum Verwalten von Speichermedien mit Kapazitäten über
2,2 TByte. Um den SecureBoot-Vorgang, der nur im reinen UEFI-Modus ausgeführt werden kann, auch während der Laufzeit des Betriebssystems zu vervollständigen, kann der Entwickler zum Beispiel auf die von McAfee entwickelte Application-Control-Software zurückgreifen. Die Software arbeitet auf Basis der Whitelist-Technologie, die ohne manuellen Verwaltungsaufwand auskommt. McAfee Application Control kann Applikationen als für das System gefährlich einstufen und deren Ausführung blockieren. Dabei bietet das Tool nicht nur Schutz vor eindeutig erkennbaren Ausführungsdateien (*.exe), sondern erweitert diese unter anderem auch auf ActiveX-Steuerelementen und Java-Apps. Somit lässt sich auch neu zu installierende Software auf 64- und 32-Bit-Betriebssystemen sicher verwalten. Trotz aller Security-Lösungen, sei es die Einbindung eines TPM-Chips, die Verwendung von AMIs Aptio-UEFI-SecureBoot und die Nutzung von McAfee-Security-Software, kann die Sicherheit eines Systems nur durch vertrauenswürdige, autorisierte User gewährleistet werden. Missbraucht ein Nutzer die ihm zugewiesenen sicherheitsrelevanten Rechte, hilft alles nichts: So wird dann jede Security-Infrastruktur ausgehebelt.

Bildergalerie

  • Abbildung 1: Die Technologietiefen für Industrie 4.0 unterscheiden sich von einer kleinen, applikationsspezifisch entwickelten Mikrocontollerbaugruppe über leistungsfähige Qseven- und COM Express- Standardmodule bis hin zu einem leicht bedienbaren HMI-System.

    Bild: MSC Technologies

  • Abbildung 2: Die High-End-COM-Express-Type-6-Modulfamilie MSC C6B-8S soll eine Höchstleistung in puncto Rechen- und Grafikleistung versprechen.

    Bild: MSC Technologies

Firmen zu diesem Artikel
Verwandte Artikel