Industrial Security
Verschlüsselung per Hardware
Wer würde schon ein simples Schloss aus unsicheren Quellen für den Firmentresor einsetzen? Ergo sollte sich auch bei Industrie 4.0 niemand mit Zweifeln bezüglich der Schlüsselqualität befassen müssen.
Zu den größten Herausforderungen der vernetzten Produktion gehört das Thema IT-Sicherheit: Die Verantwortlichen müssen ihre Produktionsanlagen gegen Angriffe von außen und innen absichern. Darüber hinaus gilt es, vertrauliche Unterlagen wie Entwicklungsinformationen genauso vor unberechtigten Zugriffen zu schützen wie den Datenaustausch mit Zulieferfirmen. Nicht zuletzt ist es wichtig, die Fernwartung von Produktionssystemen abzusichern und eine fehlerhafte Kommunikation der Anlagen untereinander zu verhindern – Stichwort 'Schutz der Identität' von Fertigungssystemen.
Was vielfach unterschätzt wird: Eine Schwachstelle in einer vernetzten Produktionsumgebung kann Folgeangriffe nach sich ziehen, die auf ganz andere Bereiche der Umgebung abzielen und dort Schäden verursachen.
© BSIAll diese Aufgaben lassen sich mit Hardware-Sicherheitsmodulen zuverlässig lösen. Sie erzeugen Krypto-Schlüssel basierend auf echten Zufallszahlen (im Gegensatz zu sogenannten Pseudo-Zufallszahlen) und verwalten beziehungsweise vernichten diese bei Bedarf wieder. Dadurch entstehen qualitativ besonders hochwertige Schlüssel, vergleichbar mit guten Schlüsseln und Schlössern für die Aufbewahrung von Wertsachen.
HSM schließen auch unberechtigte Zugriffe auf die Schlüssel aus, denn über eine Versiegelung der Recheneinheit erkennen sie Manipulationsversuche und verhindern so das Auslesen von Daten und Signalen aus der Recheneinheit. Ein HSM der höchsten Sicherheitsstufe verfügt zudem über eine automatische Löschfunktion im Falle eines Angriffs sowie über ein spezielles, gehärtetes Betriebssystem – also ein besonders sicheres System mit dedizierter Software. Der reguläre Zugriff wird somit ausschließlich auf autorisierte Administratoren beschränkt.

Kontron kooperiert mit Wibu-Systems und SQLstream
Kontron hat auf der embedded world zwei neue Partnerschaften verkündet: zum einen mit Wibu-Systems, um robuste Sicherheit für IoT-Anwendungen bereitzustellen; zum anderen mit SQLstream in puncto Cloud-basierter Echtzeit-Analysen.
Warum Hardware?
Im Gegensatz zu Software-basierten Verschlüsselungslösungen laufen alle sicherheitsrelevanten Funktionen innerhalb des gesicherten Bereichs des HSM ab. Die Krypto-Schlüssel sind nicht ungeschützt auf der Festplatte gespeichert, sondern innerhalb der Perimeter des HSM. Des Weiteren werden die Schlüssel nicht in Software-Umgebungen durch Algorithmen angewendet, sondern in einem manipulationsgeschützten Bereich. Sind Zugriff sowie die Verwaltung des HSM darüber hinaus durch ein umfangreiches Zugriffskonzept geregelt, was auch den Ansprüchen von Industrial Control Systems entspricht, lässt sich das HSM als Vertrauensanker der digitalen Prozesswelt bezeichnen.
Ein Hardware-basiertes Security-Modul stellt seine Funktionen über eine definierte Schnittstelle (API) bereit. So können Anwendungen die gesamte Schlüsselverwaltung auf ein solches Modul auslagern. Dies erhöht die Sicherheit und entlastet den Host-Rechner, auf dem die Anwendung läuft. In den vergangenen 25 Jahren haben sich zu diesem Zweck mehrere Interfaces etabliert. Dazu zählen PKCS#11 oder auch die Java Cryptography Architecture/Java Cryptography Extensions (JCA/JCE).
Der Schutz von Daten und Firmen-Know-how ist laut einer Studie des eco-Verbandes der deutschen Internet-Wirtschaft für Mobility-Experten ein zentraler Punkt bei der Maschine-zu-Maschine-Kommunikation (M2M).
© Bild: Computer&AUTOMATION, Quelle: ecoApplikationsschnittstellen sind ein zentraler Punkt bei HSM. Einerseits bilden sie die vitale Schnittstelle zum legitimen Nutzer des Schlüssels, andererseits bieten sie Angreifern standardisierte Ansatzpunkte. Die Wahl der richtigen Schnittstelle erfordert daher eine genaue Analyse der Anwendungsumgebung und des Sicherheitskonzeptes. Dies ist ein Grund, weshalb sich bei HSM zusätzlich proprietäre APIs etabliert haben. Ein weiterer ist, dass sich mit fachspezifischen Schnittstellen die Komplexität einer Standard-API reduzieren lässt. Das wiederum macht es einfacher, die Vorgaben branchenspezifischer Sicherheitskonzepte zu erfüllen. Hinzu kommen folgende Vorteile von individuellen APIs bei Hardware-Sicherheitsmodulen:
- höhere Performance, die vor allem bei Hochleistungs-Transaktionssystemen wichtig ist,
- bessere Auditierbarkeit,
- optimierte Host-Programmierung und damit die Möglichkeit, das HSM als Teil eines Gesamtsystems zu betrachten,
- niedrigere Komplexität, die etwa für die Zertifizierung eine Rolle spielt.
Diesen Vorzügen stehen bei herstellerspezifischen Schnittstellen allerdings auch einige Nachteile gegenüber. So kann zum Beispiel der Austausch von HSM-Systemen aufwendig sein. Da im Normalfall eine Anpassung der Firmware erfolgt, müssen bei einem Wechsel zu einem anderen Hersteller dessen Produkte modifiziert werden. Hinzu kommen Einschränkungen in Bezug auf die Erweiterbarkeit. Denn bei jeder funktionalen Erweiterung der Host-Anwendung fallen Funktionserweiterungen an der HSM-Schnittstelle an. Diese müssten programmiert und gegebenenfalls neu zertifiziert werden.
Generell gilt es bei der Wahl eines HSM die technischen Voraussetzungen genau zu prüfen. So muss zum einen die geforderte Performance verfügbar sein. Diese sollten die IT-Verantwortlichen anhand des konkreten Anwendungsfalles ermitteln, denn der Rechenaufwand hängt teils stark vom gewählten Schlüsseltyp ab. Bei Embedded-Hardware-Security-Modulen sind die Leistungsdaten am PCI-Bus wichtig, während bei Modulen in Netzwerk-Umgebungen die Netzwerk-Konfiguration zählt. Zum anderen ist die Skalierbarkeit der Appliance wichtig. Das gilt für die Zahl der Schlüssel, die das System speichern kann, ebenso wie für die Option, die Lösung gegebenenfalls um weitere oder leistungsstärkere Module zu erweitern.
Eine weitere Erkenntnis der Studie: 75 % der IT-Experten stufen die Verschlüsselung der Kommunikationswege und der darüber transportierten Daten als wichtig bis sehr wichtig ein.
© Bild: Computer&AUTOMATION, Quelle: ecoZu beachten sind außerdem Redundanz und Backup-Optionen: Ein HSM-System sollte sich bei einem Ausfall nahtlos und ohne längere Unterbrechung der darauf aufsetzenden Services ersetzen lassen. Ebenfalls ist zu prüfen, wie Datensicherungen angelegt werden und wie sich diese wieder einspielen lassen. Dabei sind auch die Auswirkungen auf unternehmensinterne Prozesse zu berücksichtigen.
Weitere wichtige Kriterien in diesem Kontext:
- Betriebssysteme und Hardware-Support: Hier gilt es zu berücksichtigen, welche Betriebssysteme die Embedded- und Netzwerk-Versionen eines HSM unterstützen und welche Management-Tools für die Systemsoftware zur Verfügung stehen.
- Management: Das Security-Modul sollte sich remote, also aus der Ferne, verwalten lassen. Allerdings sind nicht alle Hardware-Verschlüsselungslösungen gleichermaßen dafür ausgelegt. Einige bieten keine oder nur rudimentäre Remote-Management-Funktionen an.
- Physische Sicherheit: Dieser Faktor hat hohe Priorität. So sollte sichergestellt sein, dass ein Verschlüsselungsmodul aktiv auch auf physische Einbruchsversuche reagiert, indem es beispielsweise den Systemverwalter informiert und gegebenenfalls die gespeicherten Schlüssel vernichtet, damit diese nicht in falsche Hände fallen. Hardware, die gemäß FIPS 140-2 Level 4 zertifiziert ist, erfüllt diese Anforderungen.
- Verschlüsselung: Entscheidend bei der Auswahl eines Hardware-Security-Moduls ist, ob es alle Verschlüsselungsalgorithmen unterstützt, die der Anwender einsetzen möchte.
- Authentifizierung: Die HSM-Lösung sollte zumindest mehrere Technologien unterstützen, etwa Smartcards, Passwörter und eine anpassbare Quorum-Größe.
- Unterstützung von Regelwerken (Policies): Wichtig ist, dass ein HSM die Regelwerke unterstützt, die ein Anwender definiert. Dazu gehören eine Export-Option für Keys sowie die Möglichkeit, den Einsatz von Schlüsseln festzulegen (Verschlüsselung, Entschlüsseln, Signieren etc.).
- Auditierung: Audits sind in vielen Branchen unverzichtbar. Daher sollte der Nutzer im Vorfeld prüfen, ob und auf welche Weise sich Log-Daten von Hardware-Security-Modulen in das Monitoring-System einbinden lassen und ob sie in einem gängigen Format ausgegeben werden.
Zusammenfassend lässt sich festhalten: Um in vernetzten Umgebungen Manipulationen an den Systemen und das Kopieren von verwertbaren Daten zu verhindern, ist das Absichern des physischen Zugangs zu Maschinen und Anlagen nicht ausreichend. Steuerungen verarbeiten bereits heute große Datenmengen und werden neuerdings mit einer Vielzahl von Schnittstellen für die Kommunikation mit der industriellen Umgebung ausgerüstet. Wartungstechniker können von außen auf Steuerungssysteme und Fertigungsanlagen zugreifen, beispielsweise über Mobilfunk-Verbindungen. Hinzu kommt, dass Industrie 4.0 nur dann funktioniert, wenn die Trennung von Office- und Fertigungs-IT aufgehoben wird. So müssen sich Konstruktionsdaten, die der Entwickler an einem CAD/CAM- oder Simulationssystem bearbeitet hat, nahtlos in die Fertigung überspielen lassen. Doch exakt hier tut sich ein Schwachpunkt auf, denn gezielte Angriffe auf Produktionsanlagen erfolgen häufig über den Umweg über das Büro-Netzwerk. Die Antwort auf diese Risiken: eine durchgängige Ende-zu-Ende-Sicherheit von Datentransfers über asymmetrische kryptografische Verfahren. Langfristig sicher funktionieren kann das nur mit bestem Schlüsselmaterial – sprich einem HSM.
Autor:
Malte Pollmann ist CEO von Utimaco.













