Schutzkonzepte für die Industrie 4.0

Mit der fortschreitenden Digitalisierung der Produktion – Stichwort Industrie 4.0 – spielt die Übertragungssicherheit sensibler Fertigungsdaten eine immer größere Rolle. Denn die Basis der Smart Factory ist das Industrial Internet of Things (IIoT). Dieses fußt auf dem Prinzip der globalen Verfügbarkeit von Informationen im gesamten Betrieb. Im Idealfall kommunizieren alle am Fertigungsprozess beteiligten Instanzen konstant und umfassend miteinander. Die so entstehenden Daten werden zusammengeführt und analysiert. Das schafft echten Mehrwert, denn anhand dieser Informationen lassen sich Betriebsprozesse effizienter und damit gewinnbringender gestalten. Eben diesen Datenaustausch gilt es unbedingt zu schützen, wenn der eigene technologische Vorsprung nicht unmittelbar an die Konkurrenz oder gut organisierte Hackergruppen verloren gehen soll.

Bei allen Vorteilen stellt die vernetzte Fabrik die meisten Firmen vor enorme Herausforderungen, denn gerade die steckt in diesem Bereich weiter in den Kinderschuhen. Auch das Bundesministerium für Wirtschaft und Energie weist in seiner aktuellen Studie „IT-Sicherheit für die Industrie 4.0“ auf dringenden Nachholbedarf beim Schutz sensibler Informationen in großen Teilen der deutschen Wirtschaft hin. Gerade bei der Verlagerung von Daten in die Cloud ist Vorsicht geboten, denn nur selten ist wirklich klar, wo die Daten physisch gespeichert werden und wer auf sie, wenn auch oft nur theoretisch, zugreifen kann.

Viele Nutzer sehen die technologischen Neuerungen, die das und die Industrie 4.0 mit sich bringen, deshalb mit einem lachenden und einem weinenden Auge zugleich. Ihre Vorteile beruhen auf harten wirtschaftlichen Fakten: Intelligente Fabriken liefern bessere Qualität, sparen Zeit und Geld. Darüber hinaus sind sie flexibler und wandlungsfähiger als ihre analogen Pendants. Gleichzeitig bieten sie aber neue Angriffsflächen und führen bei Anwendern zur Sorge, per IoT-Applikation Hackern und Cyber-Kriminellen Tür und Tor zu öffnen.

Sicherheit als Rundum-Konzept

Bild 1: IoT-Security serienmäßig: Das COMe-cSL6 unterstützt mit einem integrierten Security-Chip die Embedded Security Solution von Kontron. Kontron

Die Sicherheit firmeneigener Daten muss immer oberste Priorität genießen. Das gilt in einem zunehmend digitalisierten Wettbewerbsumfeld mehr denn je und beginnt in IoT- und Industrie-4.0-Szenarien schon beim Endgerät. Denn die Sicherheit aller Daten beruht dort auf der Sicherheit des schwächsten Glieds in einer sehr langen Kette am Produktionsprozess beteiligter Instanzen. Kontron hat mit seiner Solution „Approtect“ schon 2016 eine Lösung für eben diese Problematik präsentiert und standardmäßig in all seine neuen Computer-On-Module und Motherboards integriert (Bild 1).

Mit dem auf der World 2017 erstmals vorgestellten Kontron-Secure-Systems-Konzept verfügt das Unternehmen als einer der ersten Embedded-Spezialisten über einen ganzheitlichen Ansatz zur Absicherung von Embedded-Systemen unter Einbeziehung von drei besonders sicherheitsrelevanten Ebenen eines Endgeräts: der BIOS-, Betriebssystem- und Anwendungsebene.

Für den Schutz der BIOS-Ebene setzt Kontron auf etablierte Standards. Sichere Firmware-Updates und die Absicherung des Boot-Prozesses über die TPM-2.0-Hardware stellen sicher, dass während des Boot-Vorgangs nur vorher signierte und verifizierte Programme ausgeführt werden. Nicht autorisierter und damit potenziell schädlicher Code, der andernfalls zur Manipulation des Endgeräts genutzt werden könnte, wird ignoriert. Ungewollte Veränderungen an BIOS oder Boot-Loader sind so nicht mehr möglich. Kontron Secure/Trusted Boot dient aber nicht nur dem Schutz der BIOS-Ebene, es fungiert insbesondere als Wegbereiter und Garant für die Ausführung eines sicheren Betriebssystems.

Als sicheres Betriebssystem nutzt Kontron Windows 10 IoT. Diese speziell für die Verwendung im IoT-Umfeld entwickelte Version von Windows 10 bietet umfangreiche Schutzmechanismen für das System und die von ihm verarbeiteten Unternehmensdaten. Sicherheitsfunktionen wie Secure Boot, BitLocker, Device Guard und Credential Guard sorgen in Verbindung mit dem TPM-2.0-Chip dafür, dass das System während der Start- und Ausschaltphase gegen Angriffe abgesichert ist.

Absicherung auf Anwendungsebene

Zur Absicherung der Anwendungsebene setzt Kontron auf die Security Solution „Approtect“. Diese im vergangenen Jahr eingeführte Lösung kombiniert einen zum Schutz der Applikationssoftware im System zusätzlich integrierten Sicherheitschip mit einem entsprechenden Software-Framework. Der Binärcode der Anwendung wird so verschlüsselt, dass Reverse Engineering, also der einfach „Nachbau“ des Programms, unmöglich wird (IP Protection). Die kontinuierliche Überprüfung der Verschlüsselung stellt darüber hinaus sicher, dass die Anwendung auch wirklich nur auf den dafür vorgesehenen Geräten ausgeführt werden kann (Copy Protection).

Der von Kontron in seiner Security Solution Approtect verwendete Sicherheitschip verfügt über einen Kontrollmechanismus, der die Verschlüsselung der Anwendung überprüft. So wird sichergestellt, dass das Programm auch wirklich nur von den dafür vorgesehenen Geräten ausgeführt werden kann. Durch einen stetigen Austausch mit dem Chip, der im laufenden Betrieb kontinuierlich Teile der Applikation entschlüsselt, wird zudem dafür gesorgt, dass Anwendungsdaten nicht einfach aus dem Arbeitsspeicher ausgelesen werden können. Kontron schützt damit Anwendungen ohne zusätzlichen Kompilierungsaufwand oder komplizierte Schlüsselverwaltungsprozesse. Der konkrete Ablauf sieht dabei so aus: Der Kunde schickt den Binärcode seiner Anwendung an Kontron. Dort wird dieser verschlüsselt und mit einer detaillierten Konfigurationsanleitung zurückgeschickt.

Zusatznutzen durch neue Geschäftsmodelle

Kontron Approtect bietet eine Vielzahl an Schutzmechanismen, wie IP- und Integrity-Protection, License Creation, Management und Tracking, License Model Implementation und die Zuweisung unterschiedlicher Zugriffsrechte. Die Sicherheitslösung wird zudem als „As-a-Service-Konzept“ angeboten, wodurch nur geringe Kosten für die Nutzer entstehen. Die Lösung ist so einfach in bestehende Infrastrukturen zu integrieren oder bereits in Kontron-Hardware enthalten. Kontron Approtect Licensing bietet über diesen Schutz hinaus die Möglichkeit zur Umsetzung neuer Geschäftsmodelle. So können einzelne Anwendungsfunktionen auf einen bestimmten Zeitraum oder eine bestimmte Ausführungszahl beschränkt werden – Testszenarien, Lizenz- oder Abomodelle profitieren von diesem Ansatz.

(ku)