Bild 1: Raketenstart unter Überwachung des Constellation-Startkontrollsystems.

Bild 1: Raketenstart unter Überwachung des Constellation-Startkontrollsystems. (Bild: Nasa)

Ein wesentlicher Faktor für die Sicherheit einer IIoT-Umgebung und Produktionsanlage ist heute der Informationsverlust, der sich vom Datenverlust unterscheidet. Da die Geräte nun in der Lage sind, sich autonomer zu verbinden, um kritische Informationen zu sammeln, zu verarbeiten, zu speichern und entsprechend dieser Daten zu handeln, sind es die rechnerischen Informationen, die den größten Wert haben. Der Verlust dieser Art von Informationen hat unter Umständen schwerwiegende geschäftliche und finanzielle Auswirkungen. Er kann nicht nur einem Unternehmen einen finanziellen Schaden zufügen, sondern auch die gesamte Lieferkette eines Unternehmens stören und verlängern.

Der Schutz (Safety), der sich von der Sicherheit (Security) unterscheidet, ist ebenso wichtig. Wenn zum Beispiel in einer automatisierten Fabrik Personenschäden auftreten können, müssen Unternehmen sicherstellen, dass ein Safety-Problem nicht durch einen Security-Verstoß verursacht wird. In vielerlei Hinsicht muss ein IIoT-Betrieb Safety berücksichtigen, indem er sich an ein sehr strenges Security-Protokoll hält.

Angriffe auf die Sicherheit nehmen zu

Angriffe auf die Sicherheit und bösartige Hacks erfolgen heute fast täglich und mit zunehmender Häufigkeit. Einer der schwersten Sicherheitsverstöße betraf Dyn, ein Unternehmen mit Sitz in New Hampshire, das den Internetverkehr überwacht und routet. Bei diesem Angriff wurden an ein Heimnetzwerk angeschlossene Geräte infiziert. Besorgniserregend dabei waren die beteiligten Geräte: Alltagsgegenstände wie DVRs, Kabel-Set-Top-Boxen, Router und Sicherheitskameras. Mit Beginn des Angriffs starteten die infizierten Geräte einen Distributed-Denial-of-Service-Angriff (DDoS) auf Dyn. Der initiierte DDoS-Angriff hatte Auswirkungen auf große Unternehmen an der Ostküste der Vereinigten Staaten, darunter Facebook, Twitter, Netflix, Amazon und PayPal.

Industriekraftwerke und intelligente Anlagen stehen ebenfalls im Fadenkreuz der Hacker. Im Jahr 2015 wurde in der Ukraine ein Kraftwerk über eine Phishing-Kampagne angegriffen. Das Ergebnis war ein Stromausfall bei mehr als 80.000 Kunden.

Absicherung von Endpunkten

Wie lässt sich die Sicherheit innerhalb einer IIoT-Infrastruktur erhöhen? Dies beginnt am Endpunkt der Geräte. Erst kürzlich hat das Industrial Internet Consortium (IIC) das Industrial Internet Security Framework (IISF) veröffentlicht. Das IISF ist nicht nur ein gemeinsamer Sicherheitsrahmen für den Schutz von Endgeräten, sondern auch ein Ansatz zur Bewertung der Cybersicherheit. Ein Endpunkt-Datenschutzmodell des IIC gewährleistet die Verfügbarkeit, Vertraulichkeit und Integrität des IIoT-Endpunkts.

Eines der wesentlichen Konzepte hinter dem IIC-Modell ist, dass Vertrauen nicht nur vom Eigentümer/Betreiber zu allen Teilen des IIoT-Systems aufgebaut wird, sondern auch von Grund auf. Hat ein Softwareentwickler seine Sorgfaltspflicht erfüllt, baut er Vertrauen von der Hardware aus auf. Doch allein damit ist das IIoT-System nicht sicher. Denn obwohl die mit vertrauenswürdiger Hardware ausgestatteten Endgeräte sicher sind, sind sie Teil eines viel größeren verteilten und hochgradig vernetzten IIoT-Systems.

 

Auf der nächsten Seite erfahren Sie, was besonders bei IIoT-Konnektivität zu beachten ist und warum Aerospace- und Energiesektor hier eine Sonderstellung einnehmen.

IIoT-Konnektivität

Eck-Daten

Angriffe auf die Sicherheit von IIoT-Automationsumgebungen finden fast täglich statt. Um schlimmere Folgen zu vermeiden, muss die Absicherung bereits an den Endpunkten beginnen. Dies gilt insbesondere für hochvernetzte IIoT-Systeme, die sich praktisch täglich weiterentwickeln. Das Industrial Internet Security Framework bietet neben einem gemeinsamen Sicherheitsrahmen für den Schutz von Endgeräten auch einen Ansatz zur Bewertung von Cybersicherheit. Das IIot-Sicherheitskonzept von Mentor verfolgt einen umfassenden Sicherheitsansatz zum Schutz der Daten in unterschiedlichen Zuständen.

Heute ist es unmöglich ein IIoT-System ohne Konnektivität aufzubauen. Der eigentliche Wert besteht in einer gemeinsamen Architektur, die Sensoren mit der Cloud und Endpunkte mit Gateways verbindet, reibungslos mit einer Vielzahl verschiedener Hersteller und Geräte zusammenarbeitet sowie eine Reihe ähnlicher und unterschiedlicher Systeme umfasst. Es geht dabei um den Austausch von Informationen zwischen und innerhalb einer SoS-Architektur.

Das IIoT-Modell entwickelt sich von Tag zu Tag weiter. Für Softwareentwickler ist es wichtig zu verstehen, wie ein eingebettetes Gerät, sei es ein Aktor, Sensor, Controller, Gateway, eine Anzeigeeinheit und so weiter, funktioniert und in der „Vernetzung mit allem“ existiert. Entwickler müssen sicherstellen, dass ein heute entworfenes Gerät oder System morgen nicht veraltet ist. Anhand von Beispielen aus der Praxis und unterschiedlichen Industriebereichen erläutert der Beitrag im Folgenden verschiedene Sicherheitsansätze.

Aerospace-Bereich

Bild 1: Raketenstart unter Überwachung des Constellation-Startkontrollsystems.

Bild 1: Raketenstart unter Überwachung des Constellation-Startkontrollsystems. Nasa

Das Constellation-Startkontrollsystem (Bild 1) der Nasa ist das weltweit größte Scada-System (Supervisory Control and Data Acquisition). Mit über 400.000 Kontrollpunkten verbindet es alle Geräte, die zur Überwachung und Vorbereitung der Raketensysteme notwendig sind. Während des eigentlichen Starts aktiviert eine sehr genau gesteuerte Sequenz die Haupttriebwerke, lädt die Triebwerke für die Lageregelung und überwacht Tausende verschiedener Werte, die ein aktuelles Raumfahrtsystem liefert (Bild 2).

Bild 2: Das Constellation-Startkontrollsystem der Nasa ist das weltweit größte Scada-System mit über 400.000 Kontrollpunkten.

Bild 2: Das Constellation-Startkontrollsystem der Nasa ist das weltweit größte Scada-System mit über 400.000 Kontrollpunkten. Mentor-Graphics

Das Startkontrollsystem stellt sehr enge und spezifische Anforderungen an die Kommunikation. Verteilt ist das System über einen weiten Bereich, einschließlich des Kontrollzentrums, wobei die gesamte Kommunikation sicher sein muss. Es handelt sich um eine Art Gezeiten-System mit Aktivitäten auf verschiedenen Aktivitätsebenen: es gibt einen Anstieg während der Vorbereitung, Spitzen beim eigentlichen Start und abnehmende Aktivitäten danach. In den kritischsten Sekunden sendet das System Hunderttausende von Nachrichten pro Sekunde. Connext-DDS von RTI verarbeitet dabei stapelweise Updates von Tausenden von Sensoren und reduziert so den Datenverkehr drastisch. Für eine spätere Analyse sind alle Daten zu speichern und alle Informationen sind nach der Abtastung auf den HMI-Stationen im Kontrollzentrum einsehbar. Nach dem Start müssen alle Daten zur Verfügung stehen, sowohl um den Start zu analysieren als auch um zukünftige Änderungen in der Simulation zu debuggen.

Energieversorgung

Bild 3: Das größte Kraftwerk Nordamerikas: der Grand-Coule-Damm. Anlagen wie diese sind häufige Angriffsziele von Hackern. IIoT

Bild 3: Das größte Kraftwerk Nordamerikas: der Grand-Coule-Damm. Anlagen wie diese sind häufige Angriffsziele von Hackern. Wikimedia, Public Domain

Das größte Kraftwerk Nordamerikas, der Grand Coulee Dam, verwendert Connext-DDS von RTI (Bild 3). Der Staudamm verfügt über 24 Turbinen, jede mit der Größe eines kleinen Hauses, und zwölf umschaltbare Pumpen. Diese sind auf vier große Maschinenhäuser verteilt und an drei Hochspannungsschaltanlagen angeschlossen. Es fließen mehr als 300.000 Datenwerte durch das System. Die Koordination erfolgt in einem vollständig redundanten Kontrollraum.

Das bisherige Steuerungssystem des Staudamms war ein alterndes, monolithisches Scada-System, während das aktuelle Steuerungssystem verteilt, sicher und zuverlässig ist. Die größten Herausforderungen sind extreme Verfügbarkeit, Fehlertoleranz, Leistungsfähigkeit, Sicherheit und Weitbereichskommunikation. Für eine derartige Infrastruktur ist die Zuverlässigkeit entscheidend – das Kraftwerk darf niemals unerwartet offline gehen. Da es auf aktuellen Netzwerkprotokollen basiert, kann das DDS-basierende System neue Technologien wie Cloud Computing, Konnektivität und Sicherheit nutzen, sobald diese verfügbar sind. Das Design ist intelligenter, effizienter und einfacher weiterzuentwickeln.

 

Details zur Sicherheitslösung von Mentor für das IIoT beschreibt der Beitrag im Folgendenden.

IIoT-Sicherheit ist anders

Das Industrial Internet Security Framework des Industrial Internet Consortium ist nicht nur ein gemeinsamer Sicherheitsrahmen für den Schutz von Endgeräten, sondern auch ein Ansatz zur Bewertung der Cybersicherheit. Es ist damit ein idealer Ausgangspunkt, um über Sicherheit selbst und über die Implementierung einer IIoT-Umgebung nachzudenken.

Bild 4: Modell zur Endpunkt-Absicherung von Mentor.

Bild 4: Modell zur Endpunkt-Absicherung von Mentor. Mentor Graphics

Als zusammenhängendes IIoT-System müssen das Netzwerk und alle Anwendungen selbst dann weiterlaufen, wenn ein interner oder externer Sicherheitsverstoß erfolgt. Jeder Angriff ist einzudämmen und zu isolieren, damit er keinen Dominoeffekt auf das restliche System auslöst. Das proaktive Management eines IIoT-Systems muss vorzeitig erfolgen und nicht erst dann, wenn ein Angriff erfolgt.

Sicherheitslösungen von Mentor

Bild 5: Mentors umfassendes Sicherheitsmodell für Daten in verschiedenen Zuständen.

Bild 5: Mentors umfassendes Sicherheitsmodell für Daten in verschiedenen Zuständen. Mentor Graphics

Mentors IIoT-Sicherheitslösung für Endpunkte (Bild 4) verfolgt einen umfassenden Sicherheitsansatz, der den Schutz des Geräts, die Sicherheit des Geräts und die Verwaltung des Geräts umfasst (Bild 5). Es geht darum, ein Gerät in seinen vielen Betriebszuständen zu sichern: Daten im Ruhezustand, Daten in Bearbeitung und Daten, die übertragen werden. Einige der Sicherheitspraktiken, die während dieser Phasen zum Einsatz kommen, sind das Härten von Geräten, das sichere Booten, das Einrichten einer Vertrauenskette, das sichere Partitionieren und das Verhindern von Manipulationen.

Härtung von Geräten

Eine Möglichkeit, die Sicherheit von DDS-basierenden Anwendungs-Binärdateien zu gewährleisten, ist das Härten eines IIoT-Geräts mithilfe von Code-Authentifizierung und Secure-Boot-Authentifizierung. Beide Techniken sind Arten der binären Betriebssystem-Image-Authentifizierung. Mit diesem Ansatz können Entwickler dafür sorgen, dass ein Gerät prüft, ob die Daten von einem OEM oder von einer anderen vertrauenswürdigen Quelle stammen. Beide Techniken gehören zu den grundlegenden Schritten zur Sicherung eines eingebetteten IIoT-Gerätes.

Die Code-Authentifizierung erfordert die Verwendung eines öffentlichen und eines privaten Schlüssels. Der öffentliche Schlüssel wird jedem im Netzwerk über ein öffentlich zugängliches Repository oder Verzeichnis zur Verfügung gestellt – der private Schlüssel muss für den jeweiligen Besitzer vertraulich bleiben. Da das Schlüsselpaar einen mathematischen Zusammenhang hat, lässt sich alles, was mit einem öffentlichen Schlüssel verschlüsselt ist, nur durch den entsprechenden privaten Schlüssel entschlüsseln.

 

Secure-Boot-Authentifizierung ist zentraler Bestandteil von Mentors Sicherheitslösung. Mehr dazu auf der nächsten Seite.

Secure-Boot-Authentifizierung

Bild 6: Die Funktionsweise der Secure-Boot-Authentifizierung.

Bild 6: Die Funktionsweise der Secure-Boot-Authentifizierung. Mentor Graphics

Die Secure-Boot-Authentifizierung (Bild 6) beginnt mit der Ausführung eines First Stage Boot Loaders, der im sicheren Flash-Speicher der Trusted Platform Module Hardware (TPM) gespeichert ist. Der Boot Loader ist in einem geschützten Speicher abgelegt, sodass er nicht durch Hacker austauschbar ist. Ebenfalls im geschützten Speicher sind die Signatur und der Krypto-Schlüssel für den Second Stage Boot Loader gespeichert. Der First Stage Boot Loader berechnet die Signatur des Second Stage Boot Loaders unter Verwendung des Hardware-Krypto-Supports und Krypto-Schlüssels. Wenn die berechnete Signatur für den Second Stage Boot Loader mit der gespeicherten Signatur übereinstimmt, ist der Second Stage Boot Loader gültig und darf ausgeführt werden.

Sobald die erste Bootphase bestätigt wurde, kann der Prozess mit dem Erstellen einer Vertrauenskette fortfahren. Durch die Verwendung des gleichen Ansatzes mit öffentlichem/privatem Schlüssel lassen sich nachfolgende ausführbare Module herunterladen, verifizieren, laden und ausführen. Besonders interessant wird dieser Ansatz bei komplexen Geräten, die je nach funktionalen Anforderungen unterschiedliche Betriebsumgebungen und Anwendungen laden können.

Es ist wichtig, dass die Vertrauenskette bis in die Tiefen der Hardware reicht und alle auf das System geladene Software bis hin zur Anwendungsebene validiert. Um sicherzustellen, dass die Hardware das Boot-ROM authentifiziert, beginnt dieser Prozess beim Authentifizierungsschritt. Das Boot-ROM authentifiziert Betriebssysteme und anschließend authentifizieren die Betriebssysteme die Anwendungsschicht. Ziel dieser Strategie ist es zu verhindern, dass Anwendungen ausgeführt werden, die nicht signiert und authentifiziert wurden. Wenn sich dieses System in Betrieb befindet, können Angriffe und das Hochladen von bösartigem Code verhindert werden, indem jede heruntergeladene Datei angesehen und sichergestellt wird, dass sie signiert und authentifiziert ist.

Verwalten eines sicheren Gerätes

Die Sichtbarkeit und das Management eines vernetzten IIoT-Gerätes wird durch die Integration des Managementsystems für die Richtlinienverwaltung, Überwachung und Ereignisprotokollierung ermöglicht. Mentors Real Time Operating System (RTOS) Nucleus und Embedded-Linux-Plattform beinhalten auch Cyber-Sicherheitslösungen von GE Digital. Um sicherzustellen, dass ein bestimmtes zu testendes System konfiguriert und für die Sicherheit aktiviert ist, testet der Zertifizierungsprozess von GE Digital es hinsichtlich aller aktuellen Netzwerk-Schwachstellen. Schließlich verfügt Mentor über ein engagiertes Team, das nach Schwachstellen sucht und Patches durchführt und bei aufgedeckten Fehlern beziehungsweise Verletzungen wichtige Sicherheits-Patches sofort an Kunden verteilt.

Brett Murphy

Director of Business Development, Industrial Internet of Things bei RTI

Scot Morrison

General Manager der Platform Business Unit von Mentors Embedded Systems Group

(na)

Sie möchten gerne weiterlesen?

Unternehmen

Mentor Graphics (Deutschland) GmbH

Arnulfstraße 201
80634 München
Germany