Von Dr. Thilo Sauter, Albert Treytl

Technologien der „Office-Welt“, wie Ethernet, TCP/IP und Web-Services, sind aus vielen Bereichen der Mess- und Automatisierungstechnik nicht mehr wegzudenken. Die Basis hierfür bilden zunehmend Embedded-Systeme. Obwohl diese oft an die typische PC-Architektur angelehnt sind, unterscheiden sie sich vom Büro- und „Corporate-Network“- Bereich in wesentlichen Rahmenbedingungen, die für die Entwicklung von Sicherheitskonzepten bedeutsam sind: Die Lebensdauer von Installationen ist zumeist länger als in der IT-Welt, die Verfügbarkeitsanforderungen sind höher, die Zahl von Netzwerk-Knoten ist größer und Energie- sowie Hardware-Ressourcen sind limitiert. Erschwerend kommt hinzu, dass mögliche Angriffe von System zu System individuell sehr verschieden sind.

Unabhängig davon lassen sich aus den Erfahrungen der letzten Jahre einige wichtige Trends für die Bedrohungs-Szenarien ablesen:

• Angriffe werden automatisiert: Ungefähr ab dem Jahr 2001 – zu diesem Zeitpunkt traten erstmals massiv Internet- Würmer auf – hat sich die Anzahl der externen Angriffe drastisch erhöht.
• Angriffe werden „standardisiert“ und mit generischen Tools durchgeführt. Ein typisches Beispiel dafür ist der Angriff auf das Abwassersystem von Maroochy Shire (Australien, 2005), bei dem der Angreifer ein allgemein verfügbares Tool nutzte, um eine nicht systemspezifische Schwäche des WEP-Algorithmus (WEP – Wireless Encryption Protocol) anzugreifen.
• Angriffe beschränken sich nicht auf einen Kanal; insbesondere kommen Angriffe auch über als sicher angesehene Wege wie VPN-Verbindungen, Service- Laptops oder das Intranet der Firma.
• Denial-of-Service-Attacken: DoS-Attacken stören beziehungsweise bringen den angegriffenen Dienst durch eine Überlastung des angegriffenen Embedded- Systems zum Stillstand. Dies kann entweder direkt erfolgen oder auch ein indirekter Seiteneffekt sein, wenn beispielsweise öffentliche Kommunikationsleitungen verwendet werden.

Angesichts dieser Ausgangslage lassen sich allgemein sechs grundlegende Sicherheitsziele definieren, wobei für Embedded- Systeme im industriellen Bereich insbesondere die ersten drei den Schwerpunkt bilden:

1. Unveränderbarkeit (Integrity), die garantiert, dass nur jeweils dazu Berechtigte die Daten verändern können.
2. Verfügbarkeit (Availability), die garantiert, dass die entsprechenden Daten vorhanden sind, wenn sie benötigt werden.
3. Authentizität (Authentication), die die Richtigkeit der Datenquelle beziehungsweise Datensenke gewährleistet.
4. Vertraulichkeit (Confidentiality), die gewährleistet, dass nur Berechtigte Zugang zu den Daten haben.
5. Berechtigung (Authorisation), die die (Zugriffs-)Rechte festlegt.
6. Unleugbarkeit (Non-Repudiation), die beweist, dass Daten von einer bestimmten Quelle stammen.

Berechtigungen in vernetzten Systemen werden in der Praxis meist nicht fein differenziert, sondern pro System vergeben (Access Control List fehlt/ keine internen Zugriffsbeschränkungen/ alles wird erlaubt, wenn der Zugang erfolgt ist), was im Rahmen von meist kleinen Systemen mit klar umrissener Funktion sinnvoll sein kann.

Detailliertere Zugriffskontrollen kommen oft erst bei komplexeren Geräten wie Bedienstationen zur Anwendung. Bei kleinen Systemen dienen sie – wenn überhaupt implementiert – oft einem anderen Zweck als der Sicherheit, zum Beispiel einer differenzierten Nutzerführung für Wartung und Betrieb. Unleugbarkeit wird für Embedded-Systeme meist nicht im strengen gesetzlichen Sinn gesehen, sondern eher als Mittel zur eindeutigen Nachvollziehbarkeit herangezogen – etwa bei Fernwartungszugriffen.

Zwei unterschiedliche Strategien

Um die für Embedded-Systeme relevanten Sicherheitsziele zu erreichen, bieten sich zwei unterschiedliche Strategien an – „Hard-Perimeter“ und „Defense in Depth“:

Beim Ansatz des Hard-Perimeters wird versucht, das zu schützende System und Netzwerk mittels einer einzigen Schutzmaßnahme, zum Beispiel einer Firewall beim zentralen Zugang, abzuschirmen. Trotz ihrer Einfachheit ist diese Lösung problematisch, da es zum einen keine Schutzmechanismen innerhalb des Systems gibt und zum anderen der Hard- Perimeter ein zentraler einstufiger Fehlerpunkt ist. Überwindet ein Angreifer den Hard-Perimeter, besteht keinerlei Schutz mehr!

Alternativ dazu setzt der Defense-in-Depth-Ansatz auf ein mehrschichtiges Sicherheitsmodell, welches das Netzwerk und die Embedded-Systeme in mehrere Zonen einteilt. Ein potenzieller Angreifer hat somit mehrere Sicherheitsmaßnahmen zu überwinden. In der Praxis muss das Modell nicht – wie im Bild (oben) dargestellt – strikt „zwiebelförmig“ aufgebaut sein, sondern es sind auch innerhalb der Zonen lokale Sicherheitsringe integrierbar. So lässt sich im Intranet zum Beispiel ein Verbund von Simulationsrechnern durch eine zusätzliche Schicht schützen, um innerhalb dieses Bereiches durch reduzierte Sicherheitsmaßnahmen die Systemleistung zu erhöhen. Insbesondere auf der Feldebene müssen solche „Hard-Perimeter- Blasen“ eingesetzt werden, um kleine Embedded-Systeme wie einfachste Sensor- und Aktuatorgruppen zu schützen, die über keine Sicherheitsmaßnahmen verfügen beziehungsweise in denen aufgrund von Echtzeit-Anforderungen keine Sicherheitsmaßnahmen durchführbar sind.

Angriffspunkte auf Industrieautomationssysteme und die darin eingesetzten Embedded-Systeme, aufgeschlüsselt nach Infiltrationskanälen: Gefahr geht längst nicht nur durch das Internet aus!

Einer der gängigsten Ansätze zur Sicherung der Kommunikation ist das Tunneln, bei dem der Aufbau eines gesicherten Ende-zu-Ende-Kanals in einem an sich unsicheren Netzwerk stattfindet. Die zu sichernden Daten werden dabei am Eingang verschlüsselt und erst am Ausgang wieder dechiffriert. Diese aus dem Internet bekannte Verfahrensweise (zum Beispiel SSL/TLS-Tunnel, um das http-Protokoll abzusichern, oder Virtual Private Networks – VPN), ist auch auf die Automatisierung anwendbar. Der in der Automatisierungstechnik weit verbreitete Einsatz von HTTP, HTML und Web-Browsern zur Prozessvisualisierung und Gerätekonfiguration ist damit sehr einfach abzusichern. Bietet das Embedded- System selbst nicht genug Ressourcen, um einen sicheren Tunnel aufzubauen, so lassen sich die ressourcenintensiven Sicherheitsfunktionen relativ kostengünstig durch zusätzliche, extern vorgeschaltete Sicherheitsmodule realisieren. Gerade für (Fern-)Wartungszugänge ist das Tunneln sinnvoll, etwa um Probleme wie die irrtümliche Konfiguration der falschen Maschine zu verhindern.

Firewalls sind ein weiteres Instrument zur Kontrolle des Datenverkehrs zwischen Netzwerksegmenten. Wichtig ist hier, zwischen simplen addressorientierten und content-basierten Filtern zu unterscheiden. Während erstere eine einfache Möglichkeit bieten, Pakete auf der Netzwerkschicht zu verwerfen, können zweitere auch den Inhalt der Pakete kontrollieren. Auf diese Weise sind zum Beispiel DoS-Attacken verhinderbar, indem unerlaubten Datenströmen der Zugang zu einer Ressource verweigert wird. Eine andere Möglichkeit besteht darin, den Inhalt von Web- Services zu analysieren, um den Zugriff feiner abzustufen.

Optimal im Sinne einer Defense-in-Depth wäre es natürlich, die Kommunikation direkt zwischen den Netzwerkknoten zu sichern. Die gängigen Feldbus- Systeme – de facto ebenfalls Netzwerke für Embedded-Systeme – bieten jedoch meist keine oder nur sehr schwache Security- Mechanismen. Oft sind diese nur als Schutz vor unabsichtlichen Bedienfehlern gedacht und stellen keinen wirklichen Schutz vor gezielten Attacken dar. Auch mit Blick auf die moderneren Industrial- Ethernet-Lösungen sieht die Situation nicht anders aus.

Über diese beschriebenen Maßnahmen hinaus kann sich Defense in Depth noch weiter erstrecken: Im Rahmen des EU-Projekts „Pabadis’Promise“ wurde von der Forschungsstelle für integrierte Sensorsysteme der Österreichischen Akademie der Wissenschaften (ÖAW) ein Sicherheitskonzept für Software-Agenten auf RFID-Basis entwickelt. Zusätzlich zur erwähnten Unterteilung des Netzwerkes in einzelne Zonen wird dabei der Raum in lokale Domänen unterteilt, um DoS-Attacken aufgrund von Störungen der Funkübertragung auszuschließen. Zur logischen Komponente der Netzwerkstruktur kommt hier noch eine örtliche Komponente, die sich aus der Verteilung der mobilen RFIDs ergibt. In Zusammenarbeit mit einem sogenannten „Broker“, den Agenten ohnehin benötigen, um die im Netzwerk verteilten gesuchten Ressourcen (Maschinen, Datenbanken, andere Agenten) zu finden, werden hierbei Informationen über Störungen und die Verfügbarkeit von Ressourcen übermittelt. Dies verhindert, dass Software- Agenten in Bereiche mit kompromittierter Kommunikation gelangen. Der Overhead durch die Sicherheitsinformation ist aufgrund der gemeinsamen Nutzung des Brokers gering – die Security-Information beschränkt sich auf wenige Bytes.