Industrie 4.0 braucht Sicherheit.

Industrie 4.0 braucht Sicherheit. Shutterstock

In der Vergangenheit beruhte die Sicherheit industrieller Systeme hauptsächlich auf zwei Faktoren: auf kundenspezifischen Implementierungen und Protokollen sowie auf der Isolierung von Geräten, sodass ein externer Zugriff unmöglich war. Durch die Entwicklung hin zur 4. industriellen Revolution hat sich dies grundlegend geändert: Entwickler industrieller Systeme setzen nun auf eine Protokoll-Standardisierung und die konsequente Vernetzung der Systeme. Es ist ein zentrales Merkmal der Industrie 4.0, dass sie die einzelnen Geräte im Fertigungsprozess untereinander verbindet, um die Leistungsfähigkeit der gesamten Fabrik zu steigern. Mit steigendem Vernetzungsgrad wächst aber auch die Bedeutung von Sicherheitsmaßnahmen zum Schutz der industriellen Systeme – und zwar über die gesamte Lebensdauer der Systeme hinweg sowie auch in Netzwerken mit älteren Geräten, die möglicherweise bereits kompromittiert waren.

Industrie 4.0 und Sicherheit

Industrie 4.0 basiert auf Smart Factories, die sich aus modular strukturierten Komponenten zusammensetzen. Zusammen mit dem Internet der Dinge bilden sie cyber-physikalische Systeme. Derartige Systeme interagieren nicht nur mit Menschen, sondern auch miteinander in Echtzeit. Da jedes Gerät einschließlich der sicherheitskritischen Komponenten Teil eines Netzwerkes ist, muss jedes einzelne Gerät sicher sein, damit auch das System als Ganzes sicher ist. In der Vergangenheit sind ganze Fabriken durch Malware zum Stillstand gebracht worden, die überhaupt keine industriellen Systeme zum Ziel hatte. Einfache Viren etwa infizierten Steuer-PCs und überfluteten das Netzwerk mit Datenpaketen. Das überlastete Netzwerk konnte nicht die Bandbreite zur Verfügung stellen, die ausgereicht hätte, das System weiterlaufen zu lassen. Im Internet der Dinge, bei dem sich Produktionsdaten in Echtzeit im Netzwerk bewegen, muss jedoch das Netzwerk selbst immer betriebsbereit sein.

Über die Tatsache hinaus, dass das Netzwerk zuverlässig sein muss, verlangt Industrie 4.0 auch, dass die darin übertragenen Daten vertrauenswürdig sind. Die Daten müssen dabei sowohl während der Übertragung als auch innerhalb der Geräte selbst gesichert sein. Darüber hinaus sollte man nie vergessen, dass Netzwerk-basierende Angriffe nicht die einzigen Bedrohungen eines industriellen Systems sind. Zu den Bedrohungen, die bereits vor Industrie 4.0 existierten und die es auch weiterhin zu beachten gilt, zählen:

  • Software-Updates: In der Smart Factory sind Software-Update-Mechanismen unumgänglich. Sind diese jedoch beschädigt, kann Malware installiert werden.
  • Physikalische Angriffe: Ein Zugriff auf einen JTAG-Debug-Port können Angreifer beispielsweise dazu verwenden, um ein System umzuprogrammieren und Malware zu injizieren.
  • Grauer Markt: Unehrenhafte Auftragsfertiger können nicht authorisierte Klone eines rechtmäßigen Designs herstellen, was zu Umsatzverlusten sowie oft auch zu einer Rufschädigung des ursprünglichen Entwicklers führt.

Ein Sicherheitskonzept für ein industrielles System im Zeitalter von Industrie 4.0 sollte daher auf viele unterschiedliche Bedrohungsszenarien vorbereitet sein.

Eck-Daten

Der Aufbau eines industriellen Geräts, das in der neuen, anspruchsvollen Umgebung von Industrie 4.0 sicher arbeitet, verlangt ein durchgehendes Sicherheitsdesign, das die Datensicherheit und Zuverlässigkeit des vernetzten Geräts über den gesamten Lebenszyklus adressiert. Dies erfordert eine Sicherheitsarchitektur, die einen sicheren Betrieb garantiert und gewährleistet, dass Schlüssel, Zertifikate und sensible Daten während des gesamten Betriebs und bereits in der Fertigung durch eine Enterprise-Security-Infrastruktur geschützt sind. Die optimale Auswahl der Geräte- und Enterprise-Security-Lösungen hängt von den Betriebs- und Fertigungsumgebungen genauso ab wie von geschäftlichen Abwägungen. Hier bieten sich Experten in diesen Bereichen für eine eingehende Beratung an.

Das Thema funktionale Sicherheit ist vielen Entwicklern industrieller Geräte bestens vertraut. Doch nun kommt mit der Cybersicherheit ein weiterer Aspekt zum Entwicklungsprozess mit hinzu. Wer sich damit nicht auskennt, sollte Experten hinzuziehen, um eine angemessene Sicherheitsstufe des jeweiligen Produkts zu gewährleisten. So hilft etwa Integrity Security Services (ISS), ein Unternehmen von Green Hills Software, Kunden, die FDA- und EU-Anforderungen anhand eines durchgehenden Embedded-Security-Designs zu erfüllen. ISS unterstützt Entwickler industrieller Geräte dabei mit fünf wichtigen Regeln für Embedded-Security.

Regel 1: Kommunizieren, ohne dem Netzwerk zu vertrauen

Noch ehe das Industrie-4.0-Konzept in vollem Umfang umgesetzt ist, wird ein zunehmender Prozentsatz der industriellen Geräte vernetzt sein – nicht nur zur Wartung, sondern als Standard-Betriebsart. Zu den Daten, die über ein entsprechendes Netzwerk fließen, zählen kritische Sicherheitsinformationen, wichtige Betriebsparameter, Kundendaten, proprietäre Fertigungsstatistik sowie Software-Updates. Zum Netzwerk können auch Geräte gehören, die bereits beeinträchtigt sind, zum Beispiel viele ältere Geräte, die nicht für diesen hohen Grad an Konnektivität entwickelt worden sind. Außerdem müssen viele Geräte zur Wartung und zum Upgrade ans Netz angeschlossen werden. Jedes Gerät im Netz kann zum Ziel von Hackern werden, die darüber das Netzwerk infiltrieren.

Um eine Sicherheitsverletzung zu verhindern, müssen alle Endpunkte authentifiziert werden. Dazu zählen das Gerät selbst, jeder Benutzer, der mit dem Gerät interagiert, und jedes andere angeschlossene System. In den Zeiten limitierter Konnektivität und proprietärer Protokolle gingen Entwickler häufig fälschlicherweise davon aus, dass Nutzer und Steuerungssoftware zuverlässig sind, nur weil die empfangenen Nachrichten das korrekte Format aufweisen. Doch inzwischen sind Hacker in der Lage, Zugriff auf das Netzwerk zu erlangen, das Protokoll über Reverse Engineering auszuspähen, und dann ordnungsgemäße Befehle zurückzusenden, die den Betrieb eines Geräts beeinträchtigen – einschließlich dem Abschalten oder Überbrücken von Sicherheitsparametern (Bild 1).

Bild 1: Auch das Netzwerk selbst ist ein Risikofaktor.

Bild 1: Auch das Netzwerk selbst ist ein Risikofaktor. Green Hills Software

Regel 2: Sicherstellen, dass die Software nicht manipuliert ist

Es gibt zahlreiche Möglichkeiten, Malware in ein Gerät einzubringen. Dazu zählen:

  • Hardware-Debug-Schnittstellen wie JTAG
  • Test- und Debug-Schnittstellen wie Telnet und FTP
  • Steuerprotokolle, die ohne entsprechende Sicherheitsmaßnahmen entwickelt wurden.
  • Simulation eines Software-Updates, das Vertrauenswürdigkeit nur vortäuscht.

Systemsoftware sollte daher grundsätzlich nicht vertraut werden – bis die Vertrauenswürdigkeit bewiesen ist. Der Punkt, an dem eine entsprechende Authentifizierung beginnt, wird Root-of-Trust genannt. In hochzuverlässigen Systemen muss diese entweder in Hardware oder in unveränderlichem Speicher ausgelegt sein. Ein sicherer Boot-Vorgang beginnt an der Root-of-Trust und überprüft die Echtheit jeder Softwareebene, bevor deren Ausführung erlaubt wird (Bild 2).

Sicheres Booten überprüft die Quelle und die Integrität der Software über digitale Signaturen. Die Software wird bei der Freigabe unterzeichnet und bei jedem Laden überprüft. Damit ist gewährleistet, dass ein Gerät frei von Malware ist und ordnungsgemäß sowie entsprechend seiner Bestimmung arbeitet. Sicheres Booten verhindert somit Malware und folglich auch Attacken auf das größere Netzwerk. Geräte sind mit dieser Methode darüber hinaus imstande, ungültige Software zu erkennen und zu melden, was eine Forderung von vielen der kommenden Cybersecurity-Standards ist.

Bild 2: Der Punkt, an dem die Authentifizierung der Software beginnt, wird Root-of-Trust genannt.

Bild 2: Der Punkt, an dem die Authentifizierung der Software beginnt, wird Root-of-Trust genannt. Green Hills Software

Regel 3: Sensible Daten schützen

Proprietäre Prozessdaten, vertrauliche Kundendaten, wichtige Betriebsparameter und selbst die Software müssen geschützt werden, nicht nur bei der Übertragung im Netzwerk, sondern auch innerhalb des Geräts. Dies lässt sich über ein Security-Design bewerkstelligen, das Trennung in verschiedene Domänen und Verschlüsselung umfasst und zudem sicherstellt, dass nur authentifizierte Software und Nutzer Zugriff auf die gespeicherten Daten haben.

Um Daten bei der Übertragung zu schützen, muss sichergestellt sein, dass sie nur am vorgesehenen Endpunkt eingesehen werden können. Dabei ist zu beachten, dass eine Standard-Wireless-Verschlüsselung keine sichere Kommunikation garantiert: Sie schützt nur die Datenverbindung, aber nicht die Daten! Jedes andere System, das Zugriff auf das Wireless-Netzwerk erlangt, kann die Datenpakete in verschlüsselter Form empfangen. Datenschutz wird erst durch Netzwerk-Sicherheitsprotokolle wie TLS erreicht. Damit ist eine sichere Client-Server-Kommunikation durch gegenseitig authentifizierte und eindeutig verschlüsselte Sitzungen möglich.

Regel 4: Schlüssel zuverlässig sichern

Auch Schlüssel, die zur Verschlüsselung und Authentifizierung verwendet werden, sind zu schützen. Werden sie kompromittiert, können Hacker sensible Daten entschlüsseln oder einen gültigen Endpunkt vortäuschen. Darum sind Schlüssel von nicht vertrauenswürdiger Software zu isolieren. Schlüssel, die in nichtflüchtigem Speicher abgelegt sind, sollten stets verschlüsselt und nur nach sicherem Booten entschlüsselt werden.

Bild 3: Sicherung des Update-Prozesses durch eine Sicherheitsinfrastruktur.

Bild 3: Sicherung des Update-Prozesses durch eine Sicherheitsinfrastruktur. Green Hills Software

Schlüssel müssen während der Fertigung und im gesamten Produktlebenszyklus mit einer durchgehenden Sicherheitsinfrastruktur geschützt werden. Ist ein Schlüssel jederzeit lesbar, sind alle Geräte, die ihn nutzen, anfällig für Attacken. Eine Enterprise-Sicherheitsinfrastruktur schützt Schlüssel und digitale Identitäten über verteilte Lieferketten, bietet aber auch zusätzliche wirtschaftliche Vorteile, die über Software-Updates (Bild 3) hinausgehen, zum Beispiel Geräteüberwachung in Echtzeit oder Schutz gegen Fälschungen und Lizenzdateien, um die Verwendung optionaler Funktionen zu steuern.

Regel 5: Zuverlässiger Betrieb

Alle Entwickler sind sich bewusst, dass die größte Gefahr für ein System die unbekannten Designfehler und Mängel sind, die während der Entwicklung dieser komplexen Geräte auftreten können. Green Hills Software empfiehlt daher Principles of High-Assurance Software Engineering (PHASE):

  • Minimale Implementierung: Code sollte so geschrieben werden, dass nur die erforderlichen Funktionen ausgeführt werden. So wird Spaghetti-Code vermieden, der nicht überprüfbar oder wartbar ist.
  • Komponentenarchitektur: Große Softwaresysteme sollten auf Komponenten aufbauen, die klein genug sind, um einfach verständlich und wartbar zu sein. Safety- und Security-kritische Dienste sollten von nichtkritischen Diensten getrennt werden.
  • Least Privilege: Jede Komponente sollte nur Zugriff auf die Ressourcen (beispielsweise Speicher, Kommunikationskanäle, Schnittstellen) erhalten, die unbedingt benötigt werden.
  • Sicherer Entwicklungsprozess: Hochsichere Systeme wie medizintechnische Geräte erfordern einen hochsicheren Entwicklungsprozess. Zusätzliche Kontrollen umfassen die Sicherheit der Entwicklungstools und sichere Programmierungsstandards, um ein sicheres Design zu gewährleisten.
  • Unabhängige Überprüfung durch Experten: Die Evaluierung über einen etablierten Drittanbieter bestätigt die Sicherheitsanforderungen und ist für eine Zertifizierung oft erforderlich. Wie bei der funktionalen Sicherheit werden Komponenten bevorzugt, die bereits für Cybersicherheit zertifiziert wurden. Solche bekannt zuverlässigen Komponenten lassen sich für neue Designs wiederverwenden.

Die oben genannten Prinzipien wurden zum Beispiel bei der Entwicklung von Green Hills Echtzeit-Betriebssystem Integrity angewendet. In der Anwendungsentwicklung minimieren sich damit die Wahrscheinlichkeit und die Auswirkungen eines Softwarefehlers oder einer neuen Cybersicherheit-Attacke.