„Die Welt ist im Wandel. … Vieles, was einst war, ist verloren …“ Was Galadriel, die älteste aller Elben, in all ihrer Weisheit im Prolog zu „Der Herr der Ringe“ verkündet, gilt auch heute, wenn auch in einem gänzlich anderen Kontext als dem von J. R. R. Tolkien in seinem legendären Mittelerde-Drama erdachte. Heute leben wir in einer digitalisierten, vernetzten Welt und erleben einen Wandel von ehemals isolierten Produktionsanlagen hin zu interagierenden Industrie-4.0-Systemen. Vom Smartphone bis zu hochkomplexen Industrieanlagen ist alles mit dem Internet verbunden. Das bietet den Orks von heute zahlreiche Einfallstore für Industriespionage, Sabotage oder auch Erpressung. Doch die „Gefährten“ infoteam und SYS TEC wissen, wie man sie auf Abstand hält.
Der Wandel von ehemals isolierten Produktionsanlagen hin zu interagierenden Industrie-4.0-Systemen erhöht einerseits die Effizienz der Maschinen und der industriellen Prozesse. Andererseits bedingt die zunehmende Komplexität der heterogenen Hardware- und Softwarekomponenten und die permanente Verbindung zur Außenwelt hohe Anforderungen an die IT- ebenso wie an die OT- (Operational Technology-) Sicherheit. Zahlreiche Anlagen und viele ihrer Komponenten sind auf diese Anforderungen aber unzureichend vorbereitet, schließlich werden die Systeme im industriellen Umfeld traditionell im Sinne der Betriebssicherheit (Safety) abgesichert, nicht aber im Sinne der Cyber-Security. Der Abwehr von Cyberangriffen und der regelmäßigen Analyse von Cyber-Security-Maßnahmen kommt jedoch eine wachsende Bedeutung zu.
Ausspähen der Kommunikationsabläufe
Notwendige Grundlage für gezielte Cyberangriffe ist unter anderem das Ausspähen des Netzwerkverkehrs auf der OT-Ebene, also das Lesen der Kommunikation, damit der Angreifer ein grundsätzliches Verständnis für das zu kompromittierende System entwickeln kann. Weiß der „Ork“ erst einmal über die Kommunikationsabläufe zwischen einzelnen Komponenten, über die verwendeten Protokolle und Sicherheitsmaßnahmen, über Softwareversionen, IP- oder MAC-Adressen Bescheid, wird es ihm ein Leichtes sein, gezielt z. B. Schadcode in ein Unternehmensnetz einzubringen oder Statusveränderungen an Variablen eines Sensors vorzunehmen. Auch ein Unterbrechen der in Echtzeit stattfindenden Kommunikation zwischen einzelnen Geräten im industriellen Umfeld kann Ziel eines Angriffs sein. Ein solcher Angriff kann zum Ausfall wesentlicher Systemkomponenten führen, was gefährliche Zustände bis hin zur Gefährdung von Menschenleben zur Folge haben kann.
Security-Demonstrator zeigt Auswirkungen eines Angriffs
In industriellen Systemen ist das Auslesen oder die Unterbrechung der Kommunikation, das Modifizieren, Löschen oder Stehlen von Daten und das Erzeugen gefälschter Nachrichten jeweils ein Basisangriff, der mithilfe des Security Demonstrators dargestellt werden kann. Auf Basis üblicher Komponenten wie einer Speicherprogrammierbaren Steuerung (SPS) mit angeschlossenen Sensoren und Aktoren lässt sich anhand des Security Demonstrators auf Feldbusebene erfahren, wie sich ein auf die Kommunikation zielender Angriff auf die Sicherheit von industriellen Systemen auswirkt.
Klassifizierung von Angriffen und Gegenmaßnahmen
In diesem Zusammenhang ist zu hinterfragen, welche Maßnahmen zum Schutz gegen Cyberangriffe möglich und auf Feldbusebene sinnvoll sind. Grundsätzlich lassen sich Angriffe und gegen sie gerichtete Maßnahmen nach invasiv/noninvasiv und physisch/logisch klassifizieren: Die Achse invasiv/noninvasiv nimmt eine Klassifizierung danach vor, wie sehr das System durch die Vorgänge verändert wird. Die physische/logische Achse klassifiziert danach, ob eine physische Aktivität oder nur eine Information (Software oder Daten) der Kern des Handelns ist. Auf dem logisch-invasiven Quadranten kann der Einsatz von Intrusion-Detection-Systemen (IDS), die Aktivitäten von Malware erkennen können, für mehr Sicherheit sorgen. Auch die Reduzierung von Software auf die zur Erfüllung der vorgesehenen Aufgabe unabdingbaren Funktionalitäten (Hardening), die Verwendung von Whitelists sowie die Kapselung des Systems mithilfe von Hardware-Firewalls, sind dieser Klassifizierung zuzuordnen. Auf dem physisch-invasiven Quadranten umsetzbar ist beispielsweise die physische Abriegelung der Komponenten. Ein Problem besteht darin, dass derartige Schutzmaßnahmen nur gegen bereits bekannte Bedrohungen Sicherheit bieten können. Außerdem bieten zusätzliche Geräte und Programme auch eine vergrößerte Angriffsfläche. Eine weitere Möglichkeit des Schutzes besteht darin, einzelnen Geräten ein kryptografisches Zertifikat zuzuweisen, das ihnen als Ausweis dient. Damit ist jedes Gerät identifizierbar und von ihm gesendete Botschaften sind auf ihre Legitimität prüfbar. Auf der invasiven Ebene kann physisches Antitampering, wie das Zerstören von nicht zu verwendenden Buchsen, einen gewissen Schutz bieten, um z. B. den physischen Zugriff auf den Chip unmöglich zu machen. Solche Maßnahmen erschweren jedoch den Betrieb und verhindern Updates, beispielsweise auch solche zum Schließen softwareseitiger Sicherheitslücken. Ein Security-Konzept auf dem logisch-noninvasiven Quadranten besteht darin, die Feldbusgeräte und die SPS mit Certificate Authorities (CAs) auszustatten und auf Feldbusebene über z. B. Transport Layer Security (TLS) Ende-zu-Ende-verschlüsselt zu kommunizieren. Noninvasiv gilt dabei für das restliche System; an den Geräten werden Softwareanpassungen notwendig. So können sich beispielsweise Sensoren über die unternehmenseigene Cloud authentifizieren, womit sichergestellt ist, dass die übermittelten Werte vom korrekten Absender stammen.
Höchst effektive Security-Lösung
Nun wird man der Orks des digitalen Zeitalters nicht Herr werden, indem man den Meisterring in den Flammen des Schicksalsberges vernichtet, sondern indem ihnen alle Einfallstore versperrt werden. Gemeinsam mit ihrem langjährigen Gefährten SYS TEC electronic AG hat die infoteam Software AG dafür eine effektive Security-Lösung geschmiedet. SYS TEC electronic ist Hersteller von Feldbuskomponenten und industriellen Steuerungen für die Anwendung im IoT/IIoT. Infoteam entwickelt seit Jahrzehnten technisch anspruchsvolle Software für Embedded-Systeme, Medizingeräte und zahlreiche weitere kritische Anwendungsbereiche. Die Grundlage bildet ein Industrial Intranet, in dem die Daten der Produktionsanlagen über ungesicherte Feldbusse transferiert werden. Als SPS dient die flexible Steuerungslösung sysWORXX CTR-700 von SYS TEC electronic. Der frei programmierbare Rechenkern sysWORXX CTR-100 wird jeweils mit Sensoren oder Aktoren bestückt und eröffnet diesen den Zugang zum Feldbus. Über den CTR-700 kann der Anschluss an weitere Netzwerke erfolgen, um beispielweise auf eine externe Cloud zuzugreifen. Dieser Anschluss an die Außenwelt birgt die Gefahr des unerwünschten Eindringens bis tief in das Unternehmensnetz, was die Absicherung der Feldbus-Kommunikation in den Fokus rückt.
MQTT als Standardprotokoll
Bei dieser Absicherung geht es insbesondere darum, den Absender eines Datenpakets, z. B. einen Sensor, sicher zu authentifizieren. Um dies zu erreichen, greifen die von infoteam gewählten Bausteine der Sicherheitsarchitektur passgenau ineinander. Als Protokoll für die Datenübertragung dient MQTT (Message Queuing Telemetry Transport). Es entpuppt sich trotz seines Alters von rund 20 Jahren gerade als das Standardprotokoll für IoT. MQTT wurde für sehr ressourcenarme Geräte mit schlechter Konnektivität entwickelt, um Daten vollkommen entkoppelt von allen Kommunikationsteilnehmern zu übertragen. Es basiert auf der Idee von „publish“ und „subscribe“, sogenannter „Topics“. Zwei Arten von Teilnehmern sind zu unterscheiden: die Clients, die Nachrichten zu bestimmten Themen (Topics) veröffentlichen (publish) oder abonnieren (subscribe), und der Broker, der die Administration dieser Nachrichten übernimmt. Da die Clients nicht direkt miteinander kommunizieren, sondern über den Broker als Mittler, bietet MQTT den Vorteil, dass die Clients sich nicht kennen müssen; sie müssen nicht einmal zur selben Zeit mit dem Netzwerk verbunden sein. Der Broker als zentraler Vermittler verwaltet alle Informationen über die Clients, deren IDs zur Identifikation, ihre veröffentlichten und abonnierten Topics etc. und sorgt für die Verteilung der veröffentlichten Nachrichten an die jeweiligen Abonnenten. Weil diese Kommunikation meist ohne Absicherung stattfindet, bringt infoteam eine asymmetrische Verschlüsselungsmethode auf Basis eines digitalen Signaturverfahrens ins Spiel. So kann für jede Nachricht die Urheberschaft geprüft werden.
Nur wer authentifiziert ist, darf kommunizieren
Um sicherzustellen, dass ein Client wirklich der ist, als der er sich ausgibt, sieht die von infoteam gewählte Sicherheitsarchitektur vor, dass die auf dem sysWORXX CTR-700 betriebene, systeminterne Certificate Authority für jeden einzelnen Client ein Zertifikat ausstellt und dessen Echtheit bestätigt. Wenn nun ein Sensor seine Daten an die Businesslogik auf der SPS sendet und die Logik daraufhin einen Befehl an den entsprechenden Aktor schickt, werden alle relevanten Zertifikate gegen die Certificate Authority überprüft. Aus den Daten und dem privaten Schlüssel wird die Signatur der Nachricht berechnet. Unterschiedliche Daten und Absender führen zu abweichenden Signaturen. Auf diese Weise stellt infoteam sicher, dass die Kommunikationsteilnehmer authentifiziert sind. Die Lösung ermöglicht so eine gesicherte Datenübertragung auf einem beliebigen ungesicherten Protokoll auf der OT-Ebene. Sie stellt sicher, dass ein Aktor genau das umsetzt, was ihm die Businesslogik der SPS befiehlt, und diese sich darauf verlassen kann, dass die zugrunde liegenden Daten tatsächlich der Sensor geliefert hat, der sie senden durfte. Bei dieser geballten Schlagkraft gegen Eindringlinge möchte man den heutigen Orks doch gerne die Worte des Zauberers Gandalf zurufen: „Flieht, ihr Narren!“
