Embedded-Systeme schützen
Ein Schlüssel für mehr Sicherheit
Beim Thema Sicherheit hört man häufig zuerst 'Firewall' und 'Virenscanner'. Folgt man einer VDMA-Studie, kommt die größere Bedrohung aber von innen, zum Beispiel durch Fehlverhalten oder Sabotage. Mit speziellen Lösungen wie 'CodeMeter' von Wibu-Systems lässt sich der Schutz bis an die Maschinensteuerung ausweiten.
Bild: Wibu-SystemsSeit einigen Jahren werden industrielle Steuerungssysteme immer intelligenter, die Vernetzung von einzelnen Geräten bis hin zu kompletten Anlagen schreitet voran. Ziele sind: schnelle und einfache Prozesse von der Bestellung bis zur Auslieferung und umfangreiche Transparenz über komplexe Prozessketten in Echtzeit bei gleichzeitiger Optimierung der Betriebskosten. Embedded-Systeme - Standardkomponenten, deren Funktionen in der Software stecken und entsprechend freigeschaltet werden - sind im Tagesgeschäft längst angekommen. Das Konzept der Speicherprogrammierbaren Steuerungen (SPS) hat vor 20 Jahren die festverdrahteten Anlagen abgelöst. Viele dieser dezentral verteilten Steuerungen werden zur besseren Wartbarkeit vernetzt. Auch werden immer mehr Sensoren über Netzwerke abgefragt. Ein typisches Beispiel dafür sind Smart Meter, die in Echtzeit Verbrauchsdaten an übergeordnete Systeme melden. Mit Hilfe der heutigen IT-Technik lassen sich die Anforderungen der Industrie kostengünstig umsetzen. Die Maschinenbaubranche wächst mit der IT-Branche zusammen. So wird die SPS auf Anlagenebene mit den IT-Systemen der Auftragsabwicklung vernetzt und die Entwicklungsabteilung schickt ihre Daten direkt an die Werkzeugmaschine. Das Management bekommt ortunabhängig auf seinem Dashboard aktuelle Produktionsparameter angezeigt.
Vertikal vernetzt
Einiges davon ist heute schon vielerorts Standard. Neu ist, dass viele Komponenten von der Feldebene über die Scada-Systeme bis zur MES-Ebene vertikal vernetzt werden. Funktionen wie diese sind über die Zeit gewachsen. Wo früher abgeschottete Netze oder proprietäre Schnittstellen zum Einsatz kamen, werden jetzt alte Anlagenteile mit modernen Systemen gekoppelt. Fokusse der Erweiterungen liegen zumeist auf Funktion, Betriebssicherheit und Einhaltung des Kostenrahmens. Die Funktionserweiterung wächst oft schneller als die notwendigen Schutzmaßnahmen, wobei beim Thema 'Schutz' meisten nur an Virenscanner oder Firewall gedacht wird. Sicherheit wird heute zumeist durch die sogenannte Perimetersicherheit definiert: Die Fabrik ist nach außen abgeschottet, ganz untechnisch durch Zaun und Türen. Die Produktionsnetzwerke haben keinen Kontakt nach außen oder sind durch eine Firewall, also einen digitalen Zaun, abgeschottet. Zusätzlich gibt es interne Zugangsbeschränkungen durch Türen oder Logins für gesicherte Systeme. Die Erfahrung zeigt jedoch, dass das häufig nicht ausreicht. Einige der externen Zugriffe auf IT-Netze sind beabsichtigt: WLAN oder Fernwartungszugänge, Standortvernetzung und Internetzugriffe, Nutzung von Cloud-Diensten und Remote-Updates funktionieren nur über Löcher in den Firewalls. Es gibt jedoch auch unbeabsichtigete Löcher wie Softwarefehler, unbeachtete Remotezugänge oder zugängliche LAN-Steckdosen. Hat ein Angreifer diese Hürde genommen, ist er im Netz und kann von dort aus sein Unwesen treiben. Hinzu kommt die Gefahr durch Angriffe von innen. Diese Täter müssen den äußeren Sicherheitsring nicht durchbrechen, denn sie haben offiziell Zugang zur IT-Infrastruktur.
Bild: Wibu-SystemsFehlverhalten und Sabotage
In einer aktuellen Studie des VDMA wird menschliches Fehlverhalten, Sabotage und das direkte Einschleusen von Schadcode als größte Bedrohung identifiziert. Erst danach folgen Online-Angriffe und unberechtigte Zugriffe. Für viele Sicherheitsvorfälle sind unzufriedene Innentäter verantwortlich, die sabotieren oder Betriebsinterna weitergeben. Medienberichte über Aktivitäten in- und ausländischer Geheimdienste haben das Thema wieder auf die Tagesordnung vieler Unternehmen gebracht. Die Berichte von Hackerangriffen auf einzelne Steuerungen oder ganze Anlagen und Institutionen gehen dabei fast unter. Die durch fehlende oder mangelhafte Sicherheitskonzepte entstehenden Schäden übertreffen die Investitionskosten für wirksame Sicherheitsmaßnahmen oft um ein Vielfaches.
Schutz ausweiten
Zusätzlich zu den etablierten Sicherheitsmaßnahmen sollte der Schutz auf die einzelnen Komponenten ausgeweitet werden. Das Sicherheitskonzept mit einem Secure Boot-Prozess kann helfen sicherzustellen, dass keine auf dem Gerät laufende Software vom Betriebssystem über die Anwendung bis zu den Konfigurationsparametern unbefugt verändert wurde. Aus Sicht eines Softwareherstellers gibt es noch den Aspekt des Kopierschutzes. Er möchte sich genauso wie der Anlagenbauer davor schützen, dass sein Know-how abgegriffen wird oder die Anlage nachgebaut wird. Solche Schutzansprüche für Embedded-Geräte erfüllt die 'CodeMeter'-Technologie der Wibu-Systems AG. In Verbindung mit der 'License Central' wird mit ihr auch das Verteilen von Lizenzen und Schlüsseln möglich. In der IT-Welt sind solche Donglelösungen und an die Hardware gebundene Lizenzdateien schon lange bekannt und werden oft bei spezialisierter Software wie zum Beispiel CAD-Programmen eingesetzt.
Speziell für Embedded-Welt
Die Lösung des Karlsruher Unternehmens wurde speziell für Embedded-Systeme einschließlich deren Besonderheiten erweitert. In der Embedded-Welt gibt es unterschiedliche Betriebssysteme und Hardwareplattformen, eingeschränkte Systemressourcen, Echtzeitanforderungen und Lebenszyklen von mindestens zehn Jahren. Für die gängigen Kombinationen von Betriebssystem und Prozessortechnologie stehen fertige 'Embedded Libraries' zur Verfügung, die direkt in die zu schützenden Programme eingebunden werden. Der Treiber kann auf nahezu jedes System angepasst werden. Schlüssel und Lizenzen werden in einem USB-Dongle, einer SD-Card, einem Chip oder in Form einer CmAct-Lizenzdatei gespeichert. Der Schutz ist außerdem in das Echtzeitbetriebssystem 'VX Works' von Wind River integriert. Wird ein Embedded-System eingeschaltet, greift bereits das Sicherheitskonzept. Der Bootprozess erlaubt nur das Starten eines vertrauenswürdigen - also digital signierten - Betriebssystemimages. Nach dem Start des Betriebssystems wird das eigentliche Programm geladen und startet nur, wenn es unverändert ist. Es wird zunächst entschlüsselt und dann sein Fingerabdruck - die Signatur - kryptografisch verifiziert. Manipulationen an der Software würden den Bootprozess abbrechen.
Anlagensoftware schützen
Ein weitere Anforderung an IT-Sicherheit ist, dass die Anlagensoftware nicht kopiert werden kann. Das lässt sich etwa mit der Verschlüsselung des Programms schon in der Entwicklungsumgebung erreichen. Erst zur Laufzeit wird dieses im Speicher des Gerätes entschlüsselt. Der zugehörige Schlüssel steckt in einer SD-Card oder einem USB-Dongle. Dieser verlässt den Dongle nie, die gesicherten Daten werden direkt im Dongle oder in einer softwarebasierten Lizenzdatei entschlüsselt. Die Datei wird an mehrere Hardwaremerkmale des Embedded-Systems gebunden und ist wie auch der Dongle nicht kopierbar. Für ein flexibles Vertriebskonzept kann mit dieser Technologie zudem eine nachträgliche Lizensierung von Funktionen abgebildet werden. So entfällt der Austausch der Software oder des ganzen Gerätes sowie der damit verbundene Aufwand wie Zertifizierung, Test und Inbetriebnahme.
Vertikal vernetzt
Einiges davon ist heute schon vielerorts Standard. Neu ist, dass viele Komponenten von der Feldebene über die Scada-Systeme bis zur MES-Ebene vertikal vernetzt werden. Funktionen wie diese sind über die Zeit gewachsen. Wo früher abgeschottete Netze oder proprietäre Schnittstellen zum Einsatz kamen, werden jetzt alte Anlagenteile mit modernen Systemen gekoppelt. Fokusse der Erweiterungen liegen zumeist auf Funktion, Betriebssicherheit und Einhaltung des Kostenrahmens. Die Funktionserweiterung wächst oft schneller als die notwendigen Schutzmaßnahmen, wobei beim Thema 'Schutz' meisten nur an Virenscanner oder Firewall gedacht wird. Sicherheit wird heute zumeist durch die sogenannte Perimetersicherheit definiert: Die Fabrik ist nach außen abgeschottet, ganz untechnisch durch Zaun und Türen. Die Produktionsnetzwerke haben keinen Kontakt nach außen oder sind durch eine Firewall, also einen digitalen Zaun, abgeschottet. Zusätzlich gibt es interne Zugangsbeschränkungen durch Türen oder Logins für gesicherte Systeme. Die Erfahrung zeigt jedoch, dass das häufig nicht ausreicht. Einige der externen Zugriffe auf IT-Netze sind beabsichtigt: WLAN oder Fernwartungszugänge, Standortvernetzung und Internetzugriffe, Nutzung von Cloud-Diensten und Remote-Updates funktionieren nur über Löcher in den Firewalls. Es gibt jedoch auch unbeabsichtigete Löcher wie Softwarefehler, unbeachtete Remotezugänge oder zugängliche LAN-Steckdosen. Hat ein Angreifer diese Hürde genommen, ist er im Netz und kann von dort aus sein Unwesen treiben. Hinzu kommt die Gefahr durch Angriffe von innen. Diese Täter müssen den äußeren Sicherheitsring nicht durchbrechen, denn sie haben offiziell Zugang zur IT-Infrastruktur.
WIBU-Systems AG
Dieser Artikel erschien in IT&PRODUCTION November 2014 - 10.11.14.Für weitere Artikel besuchen Sie www.it-production.com
