Der Bedarf an Fernwartungslösungen von Maschinen und Anlagen steigt kontinuierlich. Dabei werden zukünftig insbesondere über neue Internet-Dienste mehr und mehr Zugriffe auf Produktionsanlagen stattfinden. Vor diesem Hintergrund und angesichts einer steigenden Anzahl von Angriffen auf industrielle Komponenten in den letzten Jahren ist eine sichere und benutzerfreundliche Fernwartung und Authentifizierung ins Werk unabdingbar.

Beim Blick in die Werkshallen von ­heute stellt man allerdings schnell fest: Der Wunsch nach Vernetzung nimmt viel schneller zu, als das Bewusstsein der Akteure für eine sichere Kommu­nikation. Erschwerend kommt hinzu, dass in den Produktionshallen in der Regel eine hohe Vielfalt an Anlagen unterschiedlicher Hersteller herrscht. Das macht die Fernwartung dieser Anlagen unübersichtlich und kompliziert. Die ­Spezifikationen der einzelnen Anlagen erfordern zudem häufig eine individuelle Wartung durch einen speziellen ­Servicetechniker direkt vor Ort. Dadurch entstehen nicht zuletzt sehr hohe Kosten.

IUNO möchte dieser Problematik mit der Entwicklung einer cloudbasierten Web-Plattform begegnen. Diese soll einen einheitlichen Prozess für den Zugriff und die Wartung über das Internet ermöglichen und dem Unternehmen – egal ob großer Konzern oder KMU – jederzeit einen Überblick über alle aktuellen und vergangenen Zugriffe bieten. Eine möglichst hohe Kompatibilität und Herstellerunabhängigkeit sind dabei weitere zentrale An­forderungen. Dies soll vorwiegend durch die Verwendung von State-of-the-Art-Technologien und -Methoden sowie gängige Security-Protokolle sichergestellt werden.

Zu den wichtigsten Ergebnissen des IUNO-Teilprojektes ‚Sichere Dienste / Fernwartung von Produktionsanlagen‘ gehören:

• Entwicklung einer zentralen Fernwartungsplattform;
• Erforschung von neuartigen Konzepten der Vernetzung über Software Defined Networking;
• Entwicklung eines neuartigen Ansatzes zur Benutzer-Authentifizierung;
• Entwicklung eines Ansatzes zu Schlüsselverwaltung für die Industrie sowie Verfahren, die eine Erzeugung vom kryptografischen Material aus dem Funkkanal ermöglichen;
• Entwicklung von Konzepten und Technologien, die eine Verwaltungsschale für die vernetzte Industrie bereitstellen.

Bild 1 zeigt die Gesamtarchitektur des von den Projektpartnern erarbeiteten Lösungsansatzes ausgehend von folgendem Beispiel-Szenario: Der externe Servicetechniker in der Office-Zone (Bild 1, oben links) möchte eine industrielle Anlage in der Produktionszone im Werk fernwarten. Dabei wird die zentrale Plattform als Vermittlungsschnittstelle genutzt und dient dazu, den Servicetechniker mit der Maschine zu verbinden. Die zentrale Plattform besteht zudem aus:

• einer Ticketing-Engine, welche für die Verwaltung der Service-Anfragen zuständig ist,
• einer Komponente für die Benutzerverwaltung,
• einem Key-Management-Server, zuständig für die Verwaltung von kryptografischen Schlüsseln für die Maschinen,
• einem Authentifizierungsserver, zuständig für die Authentifizierung des Servertechnikers sowie
• aus dem Master SDN-Controller, welcher für die Vernetzung mittels Software Defined Networking (SDN) zuständig ist.

Bild 2: Ablauf der Fernwartung über die zentrale Plattform.

© Robert Bosch

Zur praktischen Umsetzung beziehungsweise Erprobung des Lösungsansatzes wurden zwei Demonstratoren erarbeitet und aufgebaut: Der erste Demonstrator bei Bosch Rexroth in Lohr orientierte sich primär an der Abbildung einer bestehenden IT-Architektur in einem Produktionswerk. Das Ziel lag in einem möglichst zeitnahen, produktiven Einsatzes der im Rahmen des Forschungsprojekts implementierten Lösungsansätze. Im zweiten Demonstrator in Darmstadt wurden neuartige Vernetzungsansätze erforscht, welche auf Software-Defined-Networking-Technologien (SDN) aufbauen. Dies deshalb, weil zu erwarten ist, dass diese Technologien in einigen Jahren Einzug in die Produktionswerke finden wird. Zum Hintergrund: Die herkömmliche Administration von Netzen mit vielen verschiedenen Geräten, darunter Router und Switche, ist sehr komplex und zeitaufwendig: Die Intelligenz ist auf viele Geräte verteilt, und jedes Gerät ist für Aufgaben auf verschiedenen Ebenen zuständig. Sinn und Zweck von SDN ist die Vereinfachung der Administration von Netzwerken durch die Trennung der Kontrollebene von der Datenebene.

Zu Beginn des Projektes wurde zunächst eine Bedrohungsanalyse durchgeführt. Das heißt, es wurden unter Einbeziehung von externen Experten Angreifermodelle festgelegt, Misuse-Cases definiert und zu jedem Misuse-Case ein Angriffsbaum gebildet. Daraufhin wurden in einer Risikokarte die Misuse-Cases nach Schaden und Eintrittswahrscheinlichkeit gewichtet und priorisiert. Im letzten Schritt erfolgte die Bestimmung der aus den Bedrohungen resultierenden Sicherheitsanforderungen, welche die Grundlage für die festgelegten Sicherheitsmaßnahmen bilden.

Vernetzung mit Software Defined ­Networking

Bild 3: SDN-basierte Architektur mit Bearbeitungsschritten für Wartungsanfragen.

© Robert Bosch

Wie bereits erwähnt, soll zur Dynamisierung des Fernwartungsprozesses Software Defined Networking (SDN) zum Einsatz kommen. Diesem Zweck dient zunächst der im Netzwerk des Maschinen-Betreibers vorhandene lokale SDN-Controller mit dem zugehörigen SDN-Switch. Zur effizienten Umsetzung von Policies beim Fernwartungszugriff – insbesondere für Autorisierung und Zugriffskontrolle – wird zudem ein geeignetes Policy-Frame(work) implementiert. Hierbei dienen der SDN-Controller als Policy Enforcement Point (PEP) und AuthZForce als Policy Decision Point (PDP) auf der zentralen Plattform; des Weiteren dient die zentrale Plattform als Policy Administration Point (PAP). Als Beschreibungssprache für Policy findet XACML Verwendung, ein gerade für Autorisierungs-Policies besonders geeignetes XML-basiertes Schema.

Eine weitere wichtige Komponente ist der auf der zentralen Plattform befindliche PKI-Server. Die hier erzeugten Schlüsselpaare dienen im Wartungsfall sowohl dem Schutz der Identität des Wartungstechnikers als auch der geschützten Kommunikation zwischen Service-Anbieter und Maschinen-Betreiber. Hierbei können dann alle Verbindungen mit TLS erfolgen. Der auf der zentralen Plattform vorhandene Master-SDN-Controller ist für die angedachte Lösung vorerst nicht nötig, die Ausstattung mit dieser Komponente ist jedoch für mögliche Erweiterungen, insbesondere bei späteren Dynamisierungen der Vernetzung im Werk sowie beim Einsatz von externen Mehrwertdiensten sinnvoll. Im Einzelnen erfolgt die Bearbeitung der Wartungsanfrage in folgenden Schritten gemäß Bild 3:

1. Wartungsanfrage wird an zentrale Plattform gesendet.
2. Passende Wartungsanbieter werden in Datenbank gesucht.
3. Anbieter wird kontaktiert; dieser weist selbst einen Techniker zu.
4. PKI erstellt Schlüsselpaar für den gewählten Techniker.
5. Wartungsfenster wird als XACML an AuthZForce gesendet.
6. Konfiguration inklusive des Schlüssels wird an den Techniker gesendet.
7. (Optional) Wartungsanbieter benachrichtigt Techniker intern.
8. Aufbau des VPN-Tunnels mit den erhaltenen Daten.
9. SDN-Switch empfängt Paket, dieses passt auf keinen Flow, Controller wird benachrichtigt.
10. Controller fragt zentrale Plattform, ob die Verbindung zu einer Wartungs-Session gehört.
11. Verbindung wird innerhalb des Netzes über Flow Table Entries freigeschaltet/weitergeleitet.

Authentifizierung über QR-Login

Eine weitere zentrale Aufgabenstellung im Projekt war die Entwicklung einer neuartigen Methode für die Benutzer-Authentifizierung in industriellen Umgebungen. Die entwickelte Lösung basiert letztlich auf einem System, bestehend aus einem Authentifizierungsserver, welcher sich in der zentralen Plattform befindet, und einer Authentifizierungs-App, die auf dem Smartphone des Servicetechnikers installiert wird. Der Ablauf besteht aus folgenden vier Schritten:

1. Initiale einmalige Anmeldung des Benutzers: Dabei wird der Servicetechniker erstmalig im System angemeldet, die App wird auf dem Smartphone installiert und der Techniker bekommt eine Anleitung für weitere Schritte. Die Authentifizierungs-App wird in dem Moment mit einem Pairing-Key versehen – einem speziellen kryptografischen Schlüssel, welcher eine eindeutige Verbindung zwischen dem Authentifizierungsserver und der App sicherstellt.
2. Im Falle der Fernwartung bekommt der Servicetechniker von der zentralen Plattform ein Serviceticket zugewiesen. Sobald sich der Servicetechniker anmelden will, bekommt er statt der herkömmlichen Aufforderung zur Eingabe des Benutzernamens und des Passwortes einen QR-Code angezeigt. Dieser QR-Code wird von dem Authentifizierungsserver der zentralen Plattform erzeugt und beinhaltet Informationen, die den aktuellen Servicefall, die zu wartende Maschine, die aktuelle Zeit sowie weitere kryptografische Merkmale beinhaltet.
3. Der Servicetechniker scannt den QR-Code mit der App auf seinem Smartphone. Diese generiert im Hintergrund einen Einmalschlüssel und sendet ihn  über die Verbindung des Smartphones an den Authentifizierungsserver. Auch letzterer authentifiziert sich mit der App über ein ähnliches Verfahren.
4. Der Servicetechniker wartet wenige Sekunden, und die Authentifizierungsseite auf seinem Laptop aktualisiert sich automatisch. Der Techniker ist eingeloggt und kann nun mit der Wartung der Maschine beginnen. Im Falle der nicht korrekten Authentifizierung wird eine Fehlermeldung angezeigt.

Das Verfahren basiert auf der Erweiterung des Protokolls OATH Challenge-Response Algorithm (OCRA), welches von der Internet Engineering Task Force zum Zwecke der sicheren Authentifizierung mit Einmalschlüssel über ein Challenge-Response-Verfahren entwickelt wurde. Als kryptografische Bausteine wurden im Verfahren eine Schlüsselableitungsfunktion PBKDF2 verwendet, die die vom Server erhaltenen Authentifizierungs-Informationen zusammen mit einem symmetrischen Schlüssel vermischt und einen Einmalschlüssel daraus generiert.

Auf den Punkt gebracht: Die entwickelte Lösung ermöglicht eine sichere beidseitige Authentifizierung mit Einmalschlüsseln und ist zudem benutzerfreundlich, da keine Eingaben von Passwörtern nötig sind. Darüber hinaus ist sie kostengünstig, vorausgesetzt dass ein Smartphone bereits vorhanden ist.

Die im Projekt erforschten und an den Prototypen umgesetzten Lösungen besitzen im Vergleich zu den aktuell existierenden Lösungen mehrere konkrete Vorteile: Durch eine Standardisierung der Zugänge ist es sowohl für den Betreiber der Anlagen als auch für den Fernwarter einfacher, die Fernwartung durchzuführen. Aktuell existieren bei größeren Werken hunderte unterschiedliche Anlagen mit dutzenden verschiedenen Fernwartungslösungen. Die Einrichtung eines entsprechenden Zugangs dauert damit nicht selten mehrere Wochen und erfordert immer einen hohen kognitiven Aufwand, Freischaltungen in den Firewalls sowie Abstimmungen mit mehreren Abteilungen und Zuliefern.

Vorteile und Nutzen der Lösung

Anders bei der im Rahmen von IUNO erarbeiteten Lösung: Anstelle des mühsamen Einrichtens und Konfigurierens des Zugangs pro Maschine und Dienstleister muss der Betreiber hier lediglich einmal die Freischaltung in den lokalen Firewalls im Werk zu der zentralen Plattform konfigurieren. Danach läuft die Fernwartung einfach und für alle Akteure transparent ab. Die Pilotphase zur Umsetzung des Konzeptes hat im Jahr 2018 begonnen und umfasst im ersten Schritt einige Werke von Robert Bosch. Nach erfolgreichem Abschluss der Testphase ist in den kommenden Jahren ein weiterer Ausbau geplant. Dazu versucht Robert Bosch interne sowie externe Partner zu gewinnen, die entwickelte Fernwartungslösung einzusetzen. Denkbar ist ein Einsatz der vorgestellten Fernwartungsplattform als Serviceleistung etwa bei OEMs der Automobilindustrie.

Einige Konzepte, insbesondere Maßnahmen zur sicheren Speicherung vom kryptografischen Material sowie die Aspekte der Krypto-Agilität konnten nicht abschließend im Rahmen des Forschungsprojektes IUNO bearbeitet werden. Auch diese gilt es im Rahmen zukünftiger Aktivitäten noch näher zu untersuchen.

Autoren:
Alexander Borisov ist Projektleiter im Bereich ­industrielle IT-Sicherheit und Kryptografie bei Robert Bosch;
Alexander Kern forscht an der TU Darmstadt im Bereich der industriellen IT-Sicherheit;
Dr. Dirk Scheuermann ist Wissenschaftler am Fraunhofer-Institut für Sichere Informationstechnologie SIT.

Das IUNO-Projekt

Bei IUNO handelt es sich um ein öffentlich gefördertes Forschungsprojekt des Bundesministeriums für Bildung und Forschung (BMBF). 14 Industrieunternehmen sowie sieben Forschungseinrichtungen verfolgen dabei ein gemeinsames Ziel: die Absicherung der Produktion von morgen gegen Angriffe von außen, insbesondere gegen Spionage, Sabotage und Manipulationen. Im Projekt werden insgesamt vier Demonstratoren entwickelt, die jeweils von einem Industriepartner geleitet werden. Im Einzelnen geht es dabei um folgende Teilaspekte beziehungsweise Anwendungsfälle:

• Sichere Daten / Technologiedatenmarktplatz
• Sichere Vernetzung / Visueller Security-Leitstand
• Sichere Dienste / Fernwartung von Produktionsanlagen
• Sichere Prozesse / Kundenindividuelle Produktion