Sicher vernetzt in die Zukunft
Es ist längst kein Geheimnis mehr: Die Vernetzung von Geräten, Sensoren und Maschinen im industriellen Internet-of-Things bildet die Basis für die Produktion der Zukunft. Doch mit dem fortschreitenden Siegeszug digitaler Produktionstechnologien rücken auch Sicherheitsbedenken in den Fokus. Nicht zuletzt aus diesem Grund hat das hessische IT-Beratungshaus accessec GmbH als Forschungspartner an der Entwicklung des IUNO-Projektes mitgewirkt und somit ein Konzept für industrielles Identity-und-Access-Management (IAM) entwickelt, das diesen Bedenken Rechnung tragen soll. Es garantiert die sichere und zuverlässige Kommunikation in der Fabrik der Zukunft
Industrie 4.0 ist eine zentrale Zukunftschance für deutsche Unternehmen. Gleichzeitig sehen sich diese aber zusehends mit hochprofessionellen Cyberangriffen konfrontiert. Große Gefahr geht nicht mehr nur von gewöhnlichen Viren oder Trojanern aus, sondern vor allem von neuartiger Schadsoftware, die speziell auf industrielle Kontrollsysteme ausgelegt ist. Im Visier: Vernetzte Industrieanlagen – sie werden im Zuge der digitalen Transformationen immer zahlreicher und sind nicht immer adäquat geschützt. Den Angreifern geht es dabei insbesondere um die gezielte, tiefgreifende Manipulation oder Sabotage von Anlagen und deren Steuerungsmechanismen, um Zugriff auf unternehmenskritische Daten und technisches Know-how zu erlangen.
Neue Technologien erfordern neue Methoden
Etablierte Sicherheitskonzepte bieten daher längst keinen effektiven Schutz mehr, nicht zuletzt, weil Produktionsanlagen im Schadenfall nicht einfach abgeschaltet werden können. Hier setzt das IUNO-Konzept entsprechend an. Es widmet sich der Identifizierung von Bedrohungen und Risiken für die intelligente Fabrik sowie der Entwicklung geeigneter Schutzmaßnahmen. Ziel ist es, möglichst allgemein verwendbare Lösungen für Herausforderungen der IT-Sicherheit im industriellen Anwendungsfeld zu erarbeiten. Auf Basis dieser Anforderungen fokussiert das Konzept der accessec GmbH für ein industrielles IAM eine Methodik, die Bedrohungen frühzeitig erkennt und Geräte im Netzwerk überwacht. Es setzt dabei auf die drei Teilbereiche Authentifizierung, Kommunikationsregeln und –überwachung auf Gerätebene.
Sicherheitsarchitektur 4.0
Die Authentifizierung und Verwaltung der Identitätsangaben bildet den ersten Bereich des Konzepts. Hierbei spielt der Aufbau einer Public-Key-Infrastruktur (PKI) eine zentrale Rolle. Für den Authentifizierungsprozess ist die Art der Zertifikatserzeugung sowie die abgesicherte Speicherung der kryptographischen Schlüssel auf das Trusted-Platform -Module (TPM) relevant.
Den zweiten und dritten Bereich des Konzepts bilden Kommunikationsregeln zwischen den Geräten und deren Überwachung. Übergeordnet gilt: Autorisierte Geräte dürfen Daten austauschen bzw. kommunizieren. Darüber hinaus lassen sich im IAM-System individuelle Regeln definieren. Auf diese Weise ist stets nachvollziehbar WER kommuniziert, WIE die Kommunikationsparteien authentisiert werden, WER mit WEM kommunizieren darf und auf WAS zugegriffen werden darf.
Security First!
Das IUNO-Lösungskonzept für ein industrielles Identity-and-Access-Management zeigt, wie eine Überwachung von Geräten in einem Industrie-4.0-Szenario auf Basis von Zertifikaten im Netzwerk gelingen kann. Gleichzeitig baut es auf ein zukunftsorientiertes Architekturdesign auf und beantwortet damit sämtliche wissenschaftliche Fragen an die sichere Vernetzung von Maschinen. Für die Integration des IAM-Systems kann sogar das Protokoll für die Machine-to-Machine-Kommunikation Open Platform Communication Unified Architecture (OPC UA) eingesetzt werden. Die Einbindung eines Security-Information-and-Event-Management(SIEM)-Systems als Überwachungsinstanz erhöht die Sicherheitsstufe zusätzlich. Im Falle einer Unregelmäßigkeit, etwa wenn sich ein unbekanntes oder unerwünschtes Gerät im Netz befindet, alarmiert es den Leitstand mittels einer Nachricht.
Autor: Caleb Ketcha, Security Engineer, accessec GmbH