Die zunehmende Vernetzung von Geräten, Sensoren, Maschinen und Plattformen im Rahmen von Industrie 4.0 wirft nicht nur Fragen nach geeigneten Technologien für den Transport und die Verarbeitung von Daten auf. Mittlerweile bestimmen vor allem Sicherheitsthemen den aktuellen Diskurs.

Mit der smarten Fabrik der Zukunft gehen neue Sicherheitsrisiken und potenzielle Bedrohungen einher, vor denen es sich zu schützen gilt. Im Rahmen des nationalen Referenzprojekts zur IT-Sicherheit in Industrie 4.0 – kurz IUNO – entstand in diesem Kontext ein Konzept für ein industrielles Identity- und Access-Management (IAM) auf Basis der drei Teilbereiche Authentifizierung, Kommunikationsregeln und Kommunikationsüberwachung, das den sicheren Austausch zwischen Geräten garantiert.

Die Vernetzung der Produktion ist eine zentrale Zukunftschance für deutsche Unternehmen und Institutionen. Gleichzeitig sehen sich diese aber zunehmend mit hochprofessionellen Cyberangriffen konfrontiert. Nicht mehr nur von Viren oder Trojanern geht eine Gefahr aus, vielmehr bedrohen vor allem auch neuartige, auf industrielle Kontrollsysteme ausgelegte Angriffe die vernetzten Industrieanlagen. Dabei geht es um die gezielte, tiefgreifende Manipulation oder Sabotage von Anlagen und deren Steuerungsmechanismen, um Zugriff auf Daten, wichtiges Know-how und Betriebsgeheimnisse zu erlangen.

Eine Übernahme etablierter Sicherheitskonzepte reicht zum effektiven Schutz längst nicht mehr aus, nicht zuletzt, weil sich Produktionsanlagen im Schadenfall nicht einfach abschalten lassen. IUNO widmet sich der Identifizierung von Bedrohungen und Risiken für die intelligente Fabrik sowie der Entwicklung geeigneter Schutzmaßnahmen. Ziel ist es, möglichst allgemein verwendbare Lösungen für Herausforderungen der IT-Sicherheit im industriellen Anwendungsfeld zu erarbeiten, die sich als Blaupausen für die sichere Industrie 4.0 heranziehen lassen. Auf Basis dieser Anforderungen richtet sich das im Kontext des Forschungsprojekts entstandene Konzept für ein industrielles IAM auf die Erarbeitung einer Methode zum Erkennen von Bedrohungen und Überwachen von Geräten im Netzwerk. Das Konzept, das auf den drei Teilbereichen Authentifizierung, Kommunikationsregeln und -überwachung aufsetzt, soll folglich helfen, sowohl Fehler im Produktionsnetz als auch Angriffe auf die IT-Sicherheit frühzeitig zu identifizieren und geeignete Maßnahmen einzuleiten.

Bild 1. Ablauf eines Certificate Signing Requests (CSR). Bild: Accessec

Die Authentifizierung und Verwaltung der Identitätsangaben bildet den ersten Bereich des Konzepts. Hierbei spielt der Aufbau einer Public-Key-Infrastruktur (PKI) eine zentrale Rolle. Für den Authentifizierungsprozess ist die Art der Zertifikatserzeugung sowie die Speicherung auf dem Trusted Platform Module (TPM) relevant. Der Prozess (Bild 1) zum Erstellen eines Zertifikats lässt sich mit den folgenden drei Schritten grob beschreiben: Zunächst muss man ein Schlüsselpaar erstellen – bestehend aus einem privaten und einem öffentlichen Schlüssel. Anschließend wird der öffentliche Schlüssel zusammen mit weiteren Informationen wie dem Namen und anderen Parametern des Schlüsselinhabers als so genannter Certificate Signing Request (CSR) an die Zertifizierungsinstanz (engl. Certificate Authority, CA) geschickt. Aufgabe der CA ist es dann im dritten Schritt, durch geeignete Maßnahmen die Richtigkeit der übermittelten Angaben zu überprüfen. Diese Information bestätigt die Instanz dem CSR mit ihrer Signatur und schickt diese als fertiges Zertifikat (X.509) zurück zum Antrag stellenden Gerät. Als Ergebnis enthält das Device ein verschlüsseltes Zertifikat, das zur sicheren Authentifizierung sowie Kommunikation mit anderen Geräten zur Verfügung steht.

Technisch ist die Zugangskontrolle dadurch realisiert, dass die Ports eines Switches über zwei logische Ausgänge verfügen – jeweils einen zum Authentifizierungs-Server und zum lokalen Netzwerk. Standardmäßig ist zunächst ausschließlich der Ausgang zum Authentifizierungs-Server freigeschaltet. Nur mit diesem kann das Gerät Nachrichten austauschen. Erst nach der erfolgreichen Authentifizierung des Devices erfolgt auch die Freischaltung des Ausgangs des Switch-Ports zum lokalen Netzwerk. Der Authentifizierungs-Server kann das Gerät jedoch jederzeit während der Port-Nutzung zu einer erneuten Authentifizierung auffordern. Sollte diese nicht gelingen, deaktiviert er den Ausgang zum lokalen Netz wieder. Auch bei jeder Entfernung des Kabelsteckers wird diese Deaktivierung ausgelöst. Auf diese Weise ist es für einen Angreifer nicht möglich, einen authentifizierten und freigeschalteten Port anschließend durch Umstecken auf ein anderes Gerät zu entführen beziehungsweise zu missbrauchen.

Bei einem weiteren Verfahren wird eine Signatur anhand eines asymmetrischen Schlüssels erstellt. Liegt dabei bereits eine Zertifizierung der CA vor, so ist zusätzlich die Authentizität des Geräts gesichert. Auch zwischen den Geräten findet eine Authentifizierung statt. Dabei muss sich Gerät A versichern, dass es tatsächlich mit Gerät B kommuniziert und umgekehrt.

Kommunikationsregeln und -überwachung

Den zweiten und dritten Bereich des Konzepts bildet das Aufstellen von Kommunikationsregeln zwischen den Geräten und deren Überwachung. Übergeordnet gilt: Autorisierte Geräte dürfen Daten austauschen und dadurch kommunizieren. Darüber hinaus lassen sich im IAM-System individuelle Regeln definieren. Auf diese Weise ist stets nachvollziehbar, wer kommuniziert, wie die Kommunikationsparteien authentisiert werden, wer mit wem kommunizieren darf und wer auf was zugreifen darf. Ein Beispiel für eine solche Regel: Gerät A darf mit Gerät B kommunizieren, aber Gerät C darf nicht mit Gerät A kommunizieren.

Bild 2. Architektur zur sicheren Kommunikation auf Geräteebene. Bild: Accessec

Für die Integration des IAM-Systems, lässt sich das Protokoll für die Machine-to-Machine-Kommunikation Open Platform Communication Unified Architecture (OPC UA) einsetzen. Dies unterstützt eine einfache Gestaltung der Kommunikation. Voraussetzung dafür ist ein OPC-konformer Treiber für jedes Gerät. Dieser lässt sich ohne großen Anpassungsaufwand in beliebig große Steuerungs- und Überwachungssysteme integrieren (Bild 2). Gleichzeitig eignet sich OPC UA für die Verwendung von Echtzeitdaten beziehungsweise -überwachung sowie für Datenarchivierung und Alarmmeldungen. Das Einbinden eines SIEM-Systems (Security-Information- und Event-Management) als Überwachungsinstanz erhöht die Sicherheitsstufe zusätzlich. Im Fall einer Unregelmäßigkeit, etwa wenn sich ein unbekanntes oder unerwünschtes Gerät im Netz befindet, alarmiert es den Leitstand durch eine Nachricht.

Fazit

Mit Industrie 4.0 und dem Internet of Things steht die Industrie vor der Herausforderung, Maschinen, Sensoren und Netzwerke miteinander zu verbinden und gleichzeitig ihre Maschinen und Daten vor Missbrauch und Angriffen zu schützen. Das entwickelte Konzept für ein industrielles Identity- und Access-Management auf Geräteebene kann dabei eine wertvolle Unterstützung sein. Es zeigt, wie eine Überwachung von Geräten in einem Industrie-4.0-Szenario auf Basis von Zertifikaten im Netzwerk gelingen kann. Damit ist auch eine frühzeitige Identifikation von Angriffen auf die IT-Sicherheit und Fehlern im Produktionsnetz möglich. Gleichzeitig baut das Lösungskonzept auf einem zukunftsorientierten Architekturdesign auf. Damit beantwortet es sämtliche wissenschaftlichen Fragen an die sichere Vernetzung von Maschinen. Lediglich der konkrete Einsatz des OPC-UA-Protokolls für den Transfer der Produktionsinformationen zwischen Komponenten im Netzwerk ist in der Zukunft noch zu realisieren oder zu optimieren.

Caleb Ketcha ist Security Engineer bei Accessec, www.accessec.com.