Stefan Bamberg, Senior Key Account & Partner Manager bei Wibu-Systems, erläutert die Hintergründe.

Welchen Sinn und Zweck erfüllt die Passwort-Management-Lösung?

Stefan Bamberg: Die sichere Passwort-Management-Lösung „CodeMeter Keyring for TIA-Portal“ dient dazu, IP und Content zu schützen, etwa Funktionsbausteine, Funktionen und Organisationsblöcke. Mit ihr können Anwender ihre IP vor unbefugtem Kopieren sichern. Der Anwender schreibt den IP-Sourcecode, kompiliert ihn und überträgt ihn in die Maschine. Unsere Lösung sichert dann den Zugang zum Sourcecode, um die Authentizität der Software zu gewährleisten.

Wodurch wurde die Passwort-Management-Lösung für das TIA-Portal erforderlich?

Stefan Bamberg: Auf der Benutzeroberfläche des TIA-Portals wird der Sourcecode mittels Passwort geschützt. Diese Funktion gab es im TIA-Portal von Anfang an; sie beruht aber darauf, das Passwort einfach einzutippen. Seit Version 14 hat das TIA-Portal eine Passwort-API, mit der Drittanbieter über eine Schnittstelle Passwörter ins TIA-Portal übertragen und dort nutzbar machen können.

Für die Entwicklung von „CodeMeter Keyring for TIA-Portal“ hat Siemens uns die Passwort-API zur Verfügung gestellt. Mit „CodeMeter Keyring for TIA-Portal“ als Lösung für die Siemens-Passwort-API lassen sich Passwörter sicher erzeugen und verwalten. Die Passwörter werden im System dahinter generiert und in einem CodeMeter-Dongle als „sicherem Anker“ gespeichert. Die Lösung beruht auf „CodeMeter License Central“, einem Server-basierten Werkzeug zur Erstellung, Verwaltung und Auslieferung von Lizenzen. Sie ist so an den Passwortschutz als neue Anwendung angepasst, dass aus der Lizenz quasi eine Authentifizierung mittels Passwort geworden ist. Mit „CodeMeter License Central“ ist diese dann weltweit rund um die Uhr verteilbar. Wir haben also letztlich das „CodeMeter-License-Central“-System genommen und an die Anwendung adaptiert. Dabei haben wir eine lokale Konsole für das Passwort-Management in den Unternehmen erstellt.

Wie funktioniert „CodeMeter Keyring for TIA-Portal“ genau?

Wie funktioniert „CodeMeter Keyring for TIA-Portal“ genau?

Stefan Bamberg: Eine Person im Unternehmen wird zum „Super User“ bestimmt, der Passwörter erzeugen und verteilen darf, aber die Passwörter selbst nicht kennt. Mit der Komponente „Password Manager“ erzeugt der Super User via „CodeMeter License Central“ ein Passwort und den zugehörigen Passwort-Aktivierungs-Code (Ticket), der über eine sichere E-Mail an einen Anwender übertragen wird. Der Anwender, der die E-Mail mit dem Code erhalten hat, geht mit dem Browser in das „CodeMeter WebDepot“, aktiviert dort den Code und bekommt das Passwort direkt in seinen CodeMeter-Dongle gespeichert. Dies funktioniert mit allen CodeMeter-Dongles, auch der neuesten Version „CmStick/BMI“ mit pSLC-Flash-Speicher (Pseudo-Single-Level-Cell-Speichertechnik) und USB-3.1-Anschluss.

In den Dongle übertragen werden die Daten, also Lizenzen, Authentifizierung und Passwörter, mittels eines sicheren Dateiaustauschverfahrens in „CodeMeter License Central“. Generiert werden die Daten auf der Server-Seite über eine virtuelle Maschine, die – von Wibu-Systems fertig konfiguriert – beim Kunden läuft oder von Wibu-Systems gehostet wird. Der Server muss also ein System sein, in dem virtuelle Maschinen laufen können.

Welche Security-Maßnahmen für die Passwörter im TIA-Portal hat Siemens selbst über seine Passwort-API hinaus integriert?

Stefan Bamberg: Abgesehen von der Passwort-API und unserem „CodeMeter Keyring for TIA Portal“ hat Siemens auch selbst Restriktionsfunktionen eingefügt. Je nach gesetzter Einschränkung dürfen Passwörter weder verändert noch entfernt werden. Damit hat Siemens auf das Problem reagiert, dass Passwörter einfach weiter gegeben werden oder sogar verschwinden.

Aus welcher Motivation heraus hat Wibu-Systems die Lösung entwickelt?

Stefan Bamberg: Wir wollten beispielsweise den Maschinenherstellern ermöglichen, ihre Maschinen davor zu schützen, dass die Nutzer oder unbefugte Dritte unerwünschte Änderungen am Sourcecode vornehmen. In der Lebensmittelindustrie kann sehr schnell das Haftungsrecht ins Spiel kommen, wenn beispielsweise die Produkte in der Maschine auch gekocht und nach einer Änderung des Sourcecodes nicht mehr genügend erhitzt werden, um den Output zu erhöhen. Die Hersteller können durch die gezielte Zuordnung von Passwörtern auf CmDongles mit der Lösung auch bestimmte Service-Unternehmen quasi zertifizieren, um Service-Firmen fernzuhalten, die nicht das Vertrauen des Herstellers genießen.

Hat Wibu-Systems vergleichbare Schutzlösungen auch für Steuerungssysteme anderer Hersteller entwickelt?

Stefan Bamberg: Ja, denn die Hersteller und die Anwender achten zunehmend darauf, dass SPS-Systeme solche Verschlüsselungslösungen anbieten können. Die Automatisierungs-Software Codesys von 3S Smart Software Solutions hat solch eine Lösung integriert, ebenso die Engineering-Software „Logix Designer“ von Rockwell Automation.

Wird „CodeMeter Keyring for TIA Portal“ von Wibu-Systems oder von Siemens vertrieben?

Stefan Bamberg: Wibu-Systems vertreibt die Lösung für die Siemens-Passwort-API. Die API als offene Schnittstelle ist offen für alle zertifizierten Hersteller.

Wurden schon Anwendungen mit „CodeMeter Keyring for TIA-Portal“ realisiert?

Stefan Bamberg: Ja, es gibt bereits mehrere Unternehmen, die auf diese Technologie setzen.

Ist „CodeMeter Keyring for TIA-Portal“ das erste gemeinsame Projekt von Wibu-Systems und Siemens?

Stefan Bamberg: Nein, es gibt eine Vielzahl von gemeinsamen Projekten, aber es ist ein weiterer großer Schritt in der Zusammenarbeit der beiden Unternehmen.

Wibu-Systems auf der embedded world 2019: Halle 4, Stand 360