Juli 2017. Die Cyber-Angriffswelle Petya rollt. „In einigen Unternehmen stehen seit über einer Woche die Produktion oder andere kritische Geschäftsprozesse still“, meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei sei Deutschland sogar noch mit einem blauen Auge davon gekommen. BSI-Präsident Arne Schönbohm mahnt: „Wir müssen die Resilienz gegen Cyber-Angriffe konsequent erhöhen.“
Einbrecher und Industriespione brauchen keine Brecheisen und nachgemachten Schlüssel mehr, um sich Zugang zu Unternehmen zu verschaffen. In der digital vernetzten Welt kommen sie über Schwachstellen in Datennetzen ans Ziel. Das wirft gerade mit Blick auf die Industrie 4.0 die Frage auf, ob Unternehmen ihre Maschinen und Anlagen überhaupt guten Gewissens ins Internet der Dinge einbinden können.
Mehr Transparenz bringt neue Risiken mit sich
Andererseits birgt die Anbindung gewaltige Chancen: Denn vernetzte, sensorisch überwachte Maschinen schaffen Transparenz in automatisierten Fabriken. Der Status einzelner Aufträge ist einsehbar, Produktionsprozesse werden weitgehend automatisch dokumentiert, der jeweilige Ressourcenverbrauch nachverfolgt. Obendrein melden die Maschinen proaktiv ihren eigenen Wartungsbedarf. Doch das Potenzial reicht weiter. Erste Maschinenbauer denken über neue Geschäftsmodelle nach, in denen Unternehmen keine Maschinen mehr kaufen. Stattdessen übernehmen die Maschinenbauer die Produktion und rechnen dafür eine fixe Pauschale pro produziertem Artikel ab. Sensoren und Mikrocontroller sammeln bereits alle nötigen Prozess-, Verbrauchs- und Produktdaten für solche Betreibermodelle.
Die Produktion wird gläsern und flexibel. Denn wo Steuerungen, Sensoren und Aktoren Daten von jedem Prozessschritt liefern, wird die Fertigung planbarer, sind Benchmark-Vergleiche per Knopfdruck machbar und fällt Automation leichter. Durchlaufen Produkt und Bestelldaten die Fertigungskette synchron, kann jedes Produkt einen individuellen Weg durch automatisierte Fabriken nehmen. Heraus kommen Einzelanfertigungen, deren Design und Konfiguration der Kunde festlegt, die aber kaum teurer sind als Massenware.
Neben allen Vorteilen birgt diese Transparenz allerdings neue Risiken. Denn in den smarten Fabriken der Industrie 4.0 fließen jede Menge hoch sensible Daten. Prozessparameter, exakte Maße und Materialeigenschaften der Produkte, Parameter der Qualitätskontrollen und nicht zuletzt die Kundendaten liegen in der gläsernen Produktion mehr oder minder offen. Und die Vernetzung birgt eine weitere Gefahr: Unbefugte können unzureichend geschützte Systeme entern, Steuerungen manipulieren oder die Kontrolle über Fertigungsprozesse übernehmen.
Vor der Einbindung der Maschinen und Anlagen ins Internet der Dinge müssen Unternehmen daher Schutzmaßnahmen ergreifen, die Steuerungssysteme und Fertigungsdaten zuverlässig vor unbefugtem Zugriff schützen. Analog zu den Zugangskontrollen zu Produktionsstätten und Entwicklungszentren braucht es eine sichere Abschirmung digitaler Fertigungsnetzwerke.
Kryptografie schirmt Steuergeräte zuverlässig ab
Doch wie lassen sich Prozessdaten gegen Zugriff von Wettbewerbern, Industriespionen und Cyberkriminellen abschirmen? Wie können Unternehmen verhindern, dass ihre vernetzten Systeme gekapert werden?
In der automatisierten Produktion basieren die Prozesse auf der Kommunikation zwischen Endgeräten wie Maschinen, Automaten, Containern, Produktionsteilen. Zur Absicherung dieser Kommunikation ist ein Defense-in-Depth-Ansatz wichtig, mit dem Industrieanlagen mittels mehrschichtiger und ineinandergreifender Schutzmechanismen umfassend geschützt werden. Hierzu zählen unter anderem digitale Signaturen, entsprechende Schlüssel und Zertifikate, mit denen sich die kommunizierenden Maschinen authentifizieren und damit den Datenaustausch „legitimieren“ (Bild 1). Eine zentrale Rolle übernehmen dabei eingebettete Systeme in Form von Steuergeräten. Deren IT-Sicherheit ist zwingende Voraussetzung für die sichere Kommunikation zwischen Maschinen und Anlagen.
In der Umsetzung indes ist dies eine Herausforderung. Denn Steuergeräte müssen bereits bei ihrer Produktion mit Schlüsseln und Zertifikaten versorgt werden. Und anschließend muss das eingebrachte kryptografische Material über den gesamten Lebenszyklus des Endgerätes beziehungsweise der Maschine, in der das Steuergerät Verwendung findet, sicher gemanagt werden.
Dezentrale oder zentrale Schlüsselbereitstellung?
IT-Security und der Einsatz kryptographischer Lösungen beginnen demnach schon bei der Herstellung der Steuerungen, die später den gesicherten Datenaustausch gewährleisten sollen. Dafür gilt es, vorab vielfältige organisatorische Fragen zu klären: Welche Mitarbeiter in der Produktion sollen Zugriff auf Schlüssel und Zertifikate bekommen? Wie lassen sich diese zuverlässig bereitstellen? Und wie kann deren Verwaltung über die Gesamtlebensdauer der geschützten Systeme hinweg organisiert werden? Diese Fragen stellen sich besonders in global verteilten Netzwerken mit heterogener Zulieferstruktur. Etwa wenn Steuergeräte im Sinne der Risikominimierung von mehreren Zulieferern eingekauft werden, die wiederum Software von verschiedenen Lieferanten darauf aufspielen. Hier ist es ratsam, die jeweiligen Befugnisse und Verantwortlichkeiten vorab klar zu definieren.
In der Steuergeräteproduktion stellt sich zudem die Frage, wie das benötigte Krypto-Material verfügbar gemacht wird. Es gibt Ansätze, in denen die kryptografischen Daten zentral erzeugt und dann auf die jeweiligen Standorte und Systeme verteilt werden. Andere Lösungen setzen auf komplett dezentrale Erzeugung und Implementierung. Beides birgt Probleme. Dezentrale Insellösungen erschweren es, den Überblick über die schon vergebenen Schlüssel zu behalten. Zudem sind für jeden Sicherheitsserver an den verteilten Produktionsstandorten aufwendige Schutzmaßnahmen nötig, damit diese nicht in falsche Hände geraten. Dagegen drohen beim zentralisierten Ansatz Verfügbarkeitsprobleme. Läuft die Datenübertragung zu langsam oder bricht die Internetverbindung ganz ab, drohen verlängerte Latenzzeiten beim Einbringen der Schlüssel, was die Produktion aufhalten oder schlimmstenfalls zum Stillstand bringen kann.
Ein praktikabler dritter Weg ist der Einsatz eines zentralen Schlüsselmanagementsystems mit lokalen Kryptografie-Servern in der Steuergeräteproduktion (Bild 2). Denn damit ist eine zuverlässige Versorgung der produzierten Steuergeräte mit Security-Funktionen ebenso gewährleistet, wie eine zentrale Verwaltung der Schlüssel und Zertifikate über das Backend. Escrypt hat in der Steuergeräteproduktion einen solchen Ansatz etabliert (Bild 3). Dieser verbindet die sogenannte Key Management Solution (KMS) als zentrales Backend mit einer dezentralen Schlüsseleinbringung auf Production Key Servern (PKS).
Erprobtes Verfahren mit standardisierten Komponenten
Neben hoher Verfügbarkeit und minimierten Latenzzeiten ist hier ein optimaler Schutz der kryptografischen Daten gewährleistet. Denn die PKS sind sowohl durch ein leistungsfähiges industrietaugliches Hardware Security Modul (HSM) als auch durch eigene Sicherheitssoftware vor unbefugtem Zugriff gesichert. Selbst für den Fall, dass Einbrecher die Server stehlen, bleibt ihnen der Zugriff auf die sensiblen Krypto-Daten durch diese Schutzmaßnahmen verwehrt.
Im Sinne größtmöglicher Unabhängigkeit von der Internetanbindung treten die PKS jeweils nur von Zeit zu Zeit in Kontakt mit dem Backend. Dabei synchronisieren sie den Datenbestand, nehmen etwaige Updates vor und legen ausreichende Puffer mit kryptografischen Daten an. Wie oft diese Kontaktaufnahme erfolgen soll, können die Nutzer gemäß ihren Anforderungen frei bestimmen.
Beim Production Key Server handelt es sich um ein standardisiertes Modul für Server-Racks, das über einen Stromanschluss, Gigabit-Ethernet-Schnittstellen, das erwähnte HSM und die vorab aufgespielte Sicherheitssoftware verfügt. Dank des hohen Standardisierungsgrades sind PKS nach einmaliger Konfiguration sofort betriebsbereit. Danach erfolgen die Wartung und Administration online über das Backend der Key Management Solution (KMS). Dorthin melden die Server auch kritische Ereignisse – seien es abgelaufene Schlüsselzugriffsberechtigungen und Zertifikate, volle Log-Datenbanken oder eine Verknappung der gepufferten kryptografischen Daten. Auf Wunsch erfolgen diese Meldungen automatisiert, beispielsweise per E-Mail.
Für den Fall, dass in der Produktion kryptografische Daten aus anderen Quellen zum Einsatz kommen sollen, ist ebenfalls vorgesorgt: Solche Daten können wahlweise manuell ins KMS-Backend importiert werden, oder das KMS nimmt direkt Verbindung mit dem Backend einer dritten Partei auf, um den Datenaustausch nach einer entsprechenden Authentifizierung zu vollziehen.
Security-Ansatz für das Produktionsumfeld
Solange ein PKS in den lokalen Datenbanken auf genug kryptografische Materialien zugreifen kann, bedient er die Clients in den Produktionsstätten unabhängig vom Backend. Für ein reibungsloses und sicheres Zusammenspiel von Servern und Backend müssen die Nutzer vorab Nutzungslimits für das jeweilige kryptographische Material festlegen. Sobald dieses Limit in Reichweite ist, ruft der PKS ein neues Kontingent beim Backend ab. Durch diesen Mechanismus ist gewährleistet, dass der Server im Falle eines Diebstahls schnell nutzlos ist: Sobald das Kontingent aufgebraucht ist, stellt das Backend gestohlenen PKS keine neuen Kontingente mehr zur Verfügung.
Ein anderes wichtiges Feature ist die Clustering-Fähigkeit der Server. Es ist möglich, mehrere PKS- Instanzen zu clustern, um dieselben Anwendungsfälle mit jeweils spezifischem kryptographischen Material auf mehrere Instanzen zu verteilen. Mit mehreren PKS-Instanzen lässt sich dann auf der Netzwerk-Ebene ein Lastenausgleich erzielen.
Der Server stellt seinen Nutzern viele Services über standardisierte Schnittstellen wie zum Beispiel ein webbasiertes GUI (Graphical User Interface), das Simple Object Access Protocol (SOAP) und den Representational State Transfer (REST) zur Verfügung. Auch diese Standardisierung erweist sich im Betrieb als Erleichterung. Der Zugriff auf die PKS-Services ist dadurch ebenso unkompliziert wie die Entwicklung von Client-Applikationen zum Aufruf verfügbarer PKS-Funktionen.
Breites Spektrum an Nutzungsszenarien
PKS decken dank ihrer flexiblen Softwarearchitektur ein breites Spektrum an sicherheitsbezogenen Einsatzfällen ab, die in der Fertigung von eingebetteten Systemen benötigt werden. Sie unterstützen das Einbringen von asymmetrischem und symmetrischem Schlüsselmaterial. Und ermöglichen so in der Folge das Ab- und Aufschließen von Diagnoseschnittstellen und die Nutzung von Transport-Layer-Security (TLS)-Zertifikaten.
Zudem bestehen für das Industrie-4.0-Umfeld Möglichkeiten zum Einbringen von Gerätezertifikaten für die Machine-to-Machine-Kommunikation und zur Bereitstellung lokaler Puffer mit verschiedenen Schlüsseln und Passwörtern von Maschinenbauern und ihren Zulieferern. Das ist die Basis dafür, dass spätere Software-Updates durch kryptografische Vertrauensanker abgesichert werden können.
Eck-DATEN
Eine Sicherheitsarchitektur mit Production Key Servern (PKS) in verteilten Produktionsstätten und einem zentralen Key Management bildet die Voraussetzung für eine sichere Steuergerätekommunikation. Die kryptografische Abschirmung der Embedded-Systeme ist ein wichtiger, grundlegender Baustein für IT-Sicherheit in künftigen, vernetzten Produktionssystemen und Fertigungsprozessen der Industrie 4.0.
(ku)