Raus aus der Opferrolle

Security Je mehr Fertigungsunternehmen ihre Geschäftsmodelle auf As-a-Service-Angebote ausrichten, desto kritischer können sich Cyberangriffe und Produktpiraterie auf ihre gesamte Wertschöpfungskette auswirken. Die nötige sichere Umgebung für IIoT-Plattformen und ihre Anwendungen lässt sich in der Praxis über das Zusammenspiel von Secure Execution Environment, Public Key Infrastructure und Code Signing erreichen.

18. Juni 2019
Raus aus der Opferrolle
Einsatz einer PKI und von Code Signing in der Praxis: Beide Technologien stellen sicher, dass nur dazu autorisierte IIoT-Komponenten an den unterschiedlichen Standorten miteinander kommunizieren können. (Bild: Primekey)

Führende Unternehmen aus dem Fertigungs- und Automatisierungssektor wie Bosch, GE, IBM, Siemens (mit MindSphere) und PTC haben IIoT (Industrial Internet of Things)-Cloud-Plattformen entwickelt. Über diese können Fertigungsunternehmen IIoT-Dienste als Service buchen, zum Beispiel Predictive Maintenance. In dem Fall greift der Anbieter über eine IIoT-Infrastruktur auf Daten des Systems beim Kunden zu, um Anlagenstatus und Abnutzungsgrad zu ermitteln. Andere Unternehmen setzen Partner-Apps ein oder entwickeln eigene digitale Angebote. Das As-a-Service-Prinzip verbreitet sich zusehends und sorgt für eine »Appifizierung« von IT- und OT (Operational Technology)-Infrastrukturen. Ein zentrales Bereitstellen der Apps über das eigene Datacenter würde es jedoch erschweren, die IT-Landschaft für Partner, Kunden und neue Service-Modelle zu öffnen.

Der dezentrale Ansatz liefert für As-a-Service-Modelle die nötige Flexibilität. So lassen sich Applikationen je nach Bedarf über das Unternehmensrechenzentrum oder eine Cloud ausrollen oder man setzt eine IIoT-Plattform lokal auf. Mit der Cloud ist zudem die Skalierbarkeit sowie das Umsetzen von Offshore-Fertigung verbunden, wobei Fertigungssysteme in anderen Ländern mit Designzentren oder IT-Komponenten in der Firmenzentrale gekoppelt werden. Allerdings wird das App-Management aufwendiger. Noch gravierender ist, dass sich mit der Vernetzung von Produktion und Lieferketten, IIoT/IoT-Plattformen und ihre Apps zu zentralen Angriffspunkten entwickeln. Die drohende Gefahr untermauern die Zahlen.

Gesicherte Umgebung

Das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) veröffentlichte 2018 mehr als 190 Advisories, mit denen Anwenderfirmen Schwachstellen in ihren ICSs (Industrial Control Systems) schließen konnten. Der VDMA bezifferte 2018 die andere Gefahrenquelle wie folgt: 71 Prozent der Unternehmen im deutschen Maschinen- und Anlagenbau wurden Opfer von Produkt- oder Markenpiraterie, wobei sich der Schaden pro Jahr auf mehr als sieben Milliarden Euro summieren soll. Daten, Apps und Firmware müssen daher vor Manipulation und Diebstahl sicher sein. Anderenfalls droht der Verlust von Kunden, das Abfließen von Know-how zu Mitbewerbern oder Störungen des Produktionsprozesses. Für die vernetzte Produktion bedeutet das: Jede Anwendung sollte in einer gesicherten Umgebung laufen. Diese sogenannte Secure Execution Environment (SEE) lässt sich relativ einfach implementieren und bedienen. Hierbei handelt es sich um nichts anders als ein x86-Serversystem, das alle Apps physikalisch und logisch vor Angreifern und unbefugtem Zugriff schützt.

Eine SEE-Appliance liefert den Unterbau, auf den mit integriertem Hypervisor verschiedene Betriebssystem- und Ausführungsumgebungen aufsetzen. In dem Konstrukt dient ein ARM-Prozessor als Trust Anchor, indem er die Boot-Images vor dem Start validiert und gegebenenfalls zurücksetzt. So wird die Serverumgebung erst hochgefahren, wenn die Prüfung zuvor ein intaktes System signalisiert. Zudem regelt der ARM-Prozessor Rechte- und Rollen-Vergabe für die Installation, Konfiguration sowie für die Laufzeit des Systems. Der Zugang auf der Anwendungsebene erfolgt nur über sichere und absolut notwendige, eingeschränkte Schnittstellen, etwa Ethernet und serielle Verbindungen. Zusätzliche Hardware oder weitere organisatorische Maßnahmen sind nicht erforderlich.

Eine SEE schützt den gesamten Lebenszyklus einer App und bildet einen zentralen Bestandteil des applikationszentrischen Ansatzes. Den sicheren Datenaustausch übernimmt eine Publik Key-Infrastructure (PKI), die eine Vertrauenskette aufbaut. Diese fängt bei den Edge Devices an und setzt sich über Gateway-Lösungen, angebundene IoT-Plattformen bis ins Backoffice fort. Dafür prüft eine PKI die Identität und Integrität der Kommunikationspartner, indem sie Zertifikate für jedes Gerät bereitstellt. Ein solches Zertifikat verhindert, dass ein Angreifer die Identität des Gerätes fälschen kann.

Längst hat sich in der Serverwelt etabliert, den Datenaustausch über PKI abzusichern. Dazu trägt das Verschlüsseln über das TLS (Transport Layer Security)-Protokoll bei – vor allem für Mobilfunk- oder Wireless-LAN-Verbindungen. Es empfiehlt sich jedoch, die PKI für eine IIoT-Umgebung mit Code Signing zu kombinieren. Diese Technologie versieht das Zertifikat, das die PKI bereitstellt, mit einer elektronischen Signatur. So schützen Entwickler wie Anbieter ihre Anwendung vor Manipulation und Urheberrechtsverletzungen. Zum Einsatz kommt ein digitales Zertifikat mit dem korrespondierenden kryptografischen Schlüsselpaar. Der private Schlüssel versiegelt den Programmcode, während der öffentliche Schlüssel innerhalb der IIoT-Komponenten integriert wird und die signierte App in der Laufumgebung prüft. Unternehmen wie Primekey bieten Code-Signing-Lösungen On-Premises, als Cloud-Version oder in Form einer Hardware-Appliance mit integriertem HSM an, die zudem alle gängigen Signierverfahren beherrschen. Zusammen stellen PKI und Code Signing sicher, dass nur autorisierte IoT-Komponenten miteinander kommunizieren.

Sicher updaten

Wie funktioniert die Kombination aus SEE und PKI-Appliance inklusive SignServer zum Code Signing in der Praxis? Das lässt sich anhand der Steuerungssoftware für Motor und Maschinen einer ECU (Electric Control Unit) veranschaulichen, die der Motorhersteller über »Over-the-Air« updaten will. Dieser produziert die ECU und gibt das »Geburtszertifikat« aus. Die Kontrolleinheit meldet sich mit dem Zertifikat bei der IoT-Plattform, die in einer SEE läuft. Registriert die PKI dann die ECU, geht das gesamte System in Betrieb. Wenn die IoT-Plattform ein Update anstößt, passiert folgendes: Das Softwarepaket, das signiert ist, wird auf die ECU geladen. Die Inbetriebnahme des Updates erfolgt nur, wenn die Signatur stimmt, die sich zuvor mit dem Zertifikat validieren lässt.

Die dezentrale App-Bereitstellung verspricht die gewünschte Flexibilität und Skalierbarkeit, verlangt zugleich nach einer applikationszentrierten Sicherheitsstrategie, die sich durch das Implementieren und Abstimmen von Public Key-Infrastructure, Code Signing und Secure Execution Environment höchst effizient umsetzen lässt. Wer seine vernetzten Produktionsanlagen und Lieferketten auf diese Weise absichert, handelt in dem Bewusstsein, dass Vertrauen, Datenschutz und Sicherheit schon heute geschäftskritische Faktoren sind. Diese Einsicht muss sich allerdings noch durchsetzen.

Erschienen in Ausgabe: 04/2019
Seite: 34 bis 35