Für viele Unternehmen ist die Einhaltung von gesetzlichen Vorschriften der treibende Faktor für mehr Sicherheit. Zum Beispiel können Unternehmen in den Vereinigten Staaten in einigen Märkten wie dem elektrischen Stromnetz ihr Equipment erst dann verkaufen, wenn es bestimmten Compliance-Standards entspricht. Unter den gesetzlichen Vorgaben und Sicherheitsstandards gibt es eine große Anzahl von Richtlinien für unterschiedliche Märkte und verschiedene Regionen.

Einer der wichtigsten Standards für industrielle Automatisierung ist der ISA/IEC-62443-Standard, der auch als EDSA-Zertifizierung (Embedded Device Security Assurance) bezeichnet wird. Das ISA/IEC-62443-Gremium führt die Hersteller bei der Zer­ti­fizierung durch einen strengen Compliance-Prozess, der eine ­Reihe unabhängiger Tests, ­Prozeduren und Berichte umfasst. Zum Beispiel gibt es Robustheitstests, die eine ­stabile Implementierung sicherstellen, eine funktionale Sicherheits­bewertung, welche durch spezielle Fähigkeiten und Funktionen die Sicherheit gewährleistet und einen Test, der den Software-Entwicklungs-Lebenszyklus prüft. Dieser Test stellt sicher, dass die Software-Entwicklung in einer Art und Weise abgeschlossen wurde, die für die maximale Sicherheit eines ­Geräts sorgt.

Wenn der Gerätehersteller durch den Zertifizierungsprozess geht, werden mit jedem dieser Tests strenge Anforderungen gestellt, um für jede Ausführungsebene des Geräts mehr Sicherheit zu gewährleisten.

Der Schutzwall ist veraltet

In der Vergangenheit war es ein beliebter Sicherheitsansatz, einen aufwendigen Schutzwall um ein Unternehmen zu bauen. Bei Geräten, die sich hinter diesem Wall befanden, mussten sich die Anwender keine Sorgen über die Sicherheit der einzelnen Knoten machen. Die meisten Unternehmen verfügten über eine große IT-Abteilung, welche die Sicherheit durch den Aufbau eines Schutzwalls und die Wartung des Netzwerks oder die Aufrechterhaltung der ­Unternehmensrobustheit überwachte. Auf diese Schutzwälle kann sich der Anwender heute ­allerdings nicht mehr verlassen, da sich die Embedded-Geräte an den unterschiedlichsten Orten be­finden und sowohl innerhalb als auch außerhalb des Unternehmens angeschlossen sind. Deshalb ist der Schutz des Endgerätes ein so essenzielles Thema. Betrachtet man beispielsweise das Notebook eines Außendienstmitarbeiters eines Unternehmens: Es ist mit dem sicheren Unternehmensnetzwerk verbunden, aber es hat auch einen aktivierten Endgeräteschutz und im Normalfall läuft darauf Software von McAfee oder Symantec. Der Endgeräteschutz, der für dieses Notebook verwendet wird, sollte auch für Geräte in der industriellen Automatisierung gelten. Allerdings sind die heute ein-gesetzten Embedded-Geräte selten auf diese Weise geschützt. Es gibt in den Geräten nur wenige Abwehrmaßnahmen, um Hacker zu bremsen – beziehungsweise noch schlimmer, Bedrohungen und Sicherheitsverstöße werden oft nicht erkannt oder gemeldet.

Grundlegende Aspekte für ein sicheres Gerät

Um zu sehen, was für den Aufbau eines sicheren Geräts erforderlich ist, müssen die grundlegenden Fähigkeiten dafür betrachtet werden. Dazu gehört zum Beispiel Identitätsmanagement und gegenseitige Authentifizierung, die die Echtheit von Geräten oder Personen gewährleisten. Weitere Fähigkeiten wie Audit-Protokolle sind für die Erfüllung gesetzlicher Auflagen wichtig.

Ein bedeutender Aspekt ist darüber hinaus, dass der Anwender ein Verständnis für die Umgebung entwickelt, in der das Gerät zum Einsatz kommt. Das Gerät muss so ausgelegt sein, dass es sicher ist und Fähigkeiten unterstützt, die in der Betriebsumgebung erforderlich sind. In der industriellen Automatisierung muss das Embedded-Gerät beispielsweise mit Sensoren oder Aktoren, einer Mensch-Maschine-Schnittstelle oder anderen Geräten im Netzwerk kommunizieren können. Es ist daher wichtig, jedes dieser Geräte zu authen-tifizieren. Die Sicherheit kann zwar unabhängig vom zu entwickelnden Gerät analysiert, aber nicht in einem Vakuum implementiert werden. Das bedeutet, dass Kommunikationspartner nur entsprechend autorisierte Aktionen auf dem Gerät ausführen sollten. Eine sichere Kommunikation ist nur dann sicher, wenn mit einem sicher autorisierten Gegenüber Daten ausgetauscht werden.

Bei der Implementierung des Gerätes ist die gegenseitige Authentifizierung im Netzwerk wichtig. Dabei sind folgende Fragen zu klären: Wem ist die Authentifizierung des Netzwerks erlaubt? Welche Personen sind autorisiert, mit dem Gerät zu kommunizieren? Wie wird das Gerät implementiert?

Vollständiger Sicherheitsrahmen erforderlich

Sicherheit muss sowohl im Gerät als auch im Unternehmen implementiert werden, in dem es zum Einsatz kommt. Zusammen mit führenden Partnern aus der Industrie hat Mentor Graphics vor Kurzem die Architektur für einen vollständigen Sicherheitsrahmen angekündigt. Diese Architektur schafft nicht nur neue Sicherheitsebenen. Sie ermöglicht es auch, unternehmensweite Netzwerke und einzelne Geräte für die Automatisierung und industrielle Steuerungssysteme zu erstellen. Unter der Bezeichnung ‚Mentor Embedded Solution for Industrial Automation‘ bietet diese Sicherheitsarchitektur ein breites Portfolio an Embedded-Systemtechnologien für die Erstellung von sicheren industriellen Automatisierungssystemen. Das Partnerunternehmen Icon Labs bietet beispielsweise eine Embedded-Firewall mit zustandsorientierter Paketüberprüfung zusammen mit Regel- und Schwellenwert-basierter Filterung zur Sicherung eines Netzwerks. Ein weiterer Partner, Wurldtech, hilft Unternehmen mit der Achilles-Testinfrastruktur und den Zertifizierungsservices, sich vor Cyber-Attacken zu schützen.     

Ereignismanagement im Unternehmen

Dieser vollständige Sicherheitsrahmen bietet eine Reihe von Sicherheitsmerkmalen. Dazu gehören zum Beispiel die Überwachung und das Management der Embedded-Geräte. Die Gerätehersteller müssen hierfür Geräte bauen, die in einem Netzwerk ähnlich wie ein PC arbeiten. Also wie ein verwaltetes Gerät, das zusammen mit einem Sicherheitsrichtlinien-Managementsystem oder einem Sicherheitsinformations- und Event-Managementsystem integriert ist. Ein Sicherheitsrichtlinien-Managementsystem wird zur Steuerung der Sicherheitsrichtlinien verwendet und sendet diese an alle Geräte im Netzwerk. Typischerweise hat diese Art von System die Fähigkeit, Er­eignisse und Ereignisprotokolle zu melden.

Die Antwort auf den steigenden Bedarf vollständiger Sicherheitsrahmen wird als ‚Mentor Embedded Solution for Industrial Automation’ bezeichnet. Dies ist ein Multi-Plattform-Ansatz, der die Gerätekommunikation abdeckt.

© Mentor

Ein großer Vorteil des Richt­linien-Managements ist, dass bei neu auftauchenden Bedrohungen oder sich ändernden Netzwerk-Konfigura-tionen nur die Richtlinien auf dem Gerät geändert werden müssen. Sicherheitsinformations- und Ereignismanagementsysteme sind große Analyse-Engines, die Daten von sehr vielen Embedded-Geräten im Netzwerk sammeln, Trends finden und Anomalien entdecken. Ereignismanagementsysteme bieten Unternehmen leistungsfähige Werkzeuge für das Sicherheitsmanagement.

Diese Art von Sicherheitsmanagementsystem ist entscheidend für die Einhaltung der IoT-Konvergenz – sprich, wenn das Betriebsvermögen oder Embedded-Geräte mit IT-Assets übereinstimmen und durch ähnliche Management-Technologien im selben Netzwerk laufen. Ein sicheres Gerät muss Funktionen wie Ereignisberichterstattung unterstützen, damit das Gerät jegliche Sicherheitsereignisse wie ungültige Login-Versuche oder die Ausforschung eines Geräts melden kann. Die Rückmeldung dieser Art von Aktivitäten an das Managementsystem hilft, die Sicherheit des gesamten Netzwerks zu gewährleisten.

Die Hardware

Wenn die Hardware die Integration von Krypto-Technologien zur schnelleren kryptographischen Verarbeitung der Sicherheitsprotokolle unterstützt, sollte man das auf jeden Fall nutzen. Intel bietet hier seit einiger Zeit die Befehlssatzerweiterung für AES. Für ARM-basierte Plattformen finden sich eine Vielzahl von Beschleunigern. ST unterstützt beispielsweise mit dem STM-32F479xx-Baustein AES (128, 192, 256), Triple DES, HASH (MD5, SHA-1, SHA-2), HMAC, Zufallszahlengenerator sowie CRC-Berechnungen direkt in Hardware.

Weitere wichtige Punkte sind das Vorbeugen gegen Manipulationen, sicheres Booten und sichere Firmware-Updates, die gewährleisten, dass nur vertrauenswürdige, authentifizierte Software auf dem Gerät ausgeführt wird. Hierfür eignet sich der Einsatz von Hardware am besten, die über eine vertrauenswürdige Ausführungsumgebung oder ein Trusted-Platform-Modul verfügt. Dies sorgt für die höchste Sicherheitsstufe, da sicheres Booten vom Prozessor aufwärts gewährleistet ist (Root of Trust).

Die Firewall nicht vergessen

Die verschiedenen Komponenten, die den Firewall-Schutz der Endgeräte für Betriebssysteme umfassen.

© Mentor

Ein weiteres Element des vollständigen Sicherheitsrahmens ist die Firewall. Durch Integration einer Firewall am Endgerät lassen sich Kommunikationsrichtlinien festlegen und durchsetzen. Es gibt in den verschiedenen Schichten eine Reihe unterschiedlicher Module. Eines ist eine statische Filterung, mit der Kommunikationsrichtlinien durch IP-Adressen, Ports, Protokolle und andere derartige Variablen festgelegt und durchgesetzt werden können. Eine zustandsorientierte Paketfilterungs-Engine bietet Schutz vor Aktivitäten wie TCP-SYN-Flood- oder ‚Christmas Tree‘-Attacken und andere bösartige Aktivitäten, welche die Zustandsinformationen in einem TCP-Paket nutzen, um anomales Verhalten am Gerät zu verursachen.

Sicherheit auf Geräten integrieren

Auch wenn ein Gerät außerhalb des geschützten Unternehmens kommunizieren muss, ist die Verwendung sicherer Protokolle empfehlenswert. Es gibt verschiedene Möglichkeiten, Daten zu verschlüsseln, um sie entweder zu verstecken oder eine Übertragung zu schützen. Wichtig darüber hinaus ist, Daten vor dem Versenden mit X509, Kerberos, Radius und anderen Protokollen zu authentifizieren. Dadurch wird ein Tunnel aufgebaut, der die Authentifizierung und Validierung des Senders und Empfängers erlaubt – zur gegenseitigen Authentifizierung beider Enden des Tunnels.

Wenn es um die Sicherheit der industriellen Automatisierung geht, gibt es keine Patentlösung. Jedoch ist es entscheidend, sowohl einzelne Embedded-Geräte mit Sicherheit auszustatten als auch Sicherheitsschichten im gesamten Unternehmen einzuführen.

Autor: Felix Baum ist im Produktmanagementteam von Mentor Graphics Embedded Systems Division tätig