OPC UA

Systeme von Beginn an absichern

6. September 2018, 0:00 Uhr | Dr. Matthias Meyer, Dr. Uwe Pohlmann, Sven Merschjohann

Fortsetzung des Artikels von Teil 3

Gefahren bei der OPC-UA-Kommunikation

Die größte Gefahr für jegliche Kommunikation ist, dass vertrauliche Daten mitgelesen werden und somit Informationen offengelegt werden, oder, dass die Integrität der versendeten Daten nicht gewähr­leistet werden kann und somit Infor­ma­tionen verändert, manipuliert oder ­verfälscht den Empfänger unbemerkt erreichen. Weitere Gefahren in der Kommunikation mittels OPC UA bestehen darin, dass die Authentizität verschleiert wird oder nicht autorisierte Operationen wie „Schreiben von Daten“ oder „Löschen von Daten“ durchgeführt werden. Letztendlich besteht die Gefahr, dass die Konfiguration eines OPC-UA-Servers oder dessen Informationsmodells geändert wird, sodass zum Beispiel kein Zugriff mehr auf Stammdaten oder Vergangenheitsdaten möglich ist. 

Zur Modellierung der OPC-UA-Prozesse hat das Fraunhofer IEM ein OPC-UA-Stride-Template im ‚Microsoft Threat Modeling Tool‘ erstellt. Dabei bilden sogenannte ‚Stencils‘ Prozesse wie OPC-UA-Server und -Clients oder Datenflüsse wie eine OPC-UA-Kommunikationsbeziehung ab. Jeder dieser OPC-UA-spezifischen Stencils verfügt über OPC-UA-relevante Security-Konfigurationseinstellungen. Die Stencils werden zur Modellierung und Konfiguration eines Systems genutzt. Abhängig vom Systemmodell kann automatisch eine Bedrohungsanalyse durchgeführt werden. Diese Analyse bezieht sich auf die verwendeten Stencils und deren Eigenschaften. Damit OPC-UA-spezifische Bedrohungen automatisch analysiert und ein Bericht generiert werden kann, wurden als zweiter Schritt Bedrohungen auf Basis der Stencils und deren Eigenschaften im Stride-Template modelliert. Die Bedrohungen wurden gemäß Stride in die entsprechenden Bedrohungskategorien einsortiert. 

Zusammengefasst bedeutet die Verwendung eines Templates für das ‚Microsoft Threat Modeling Tool‘, welches sich der spezifischen Bedrohungen für OPC UA annimmt, einen Zugewinn an Sicherheit in der Anwendung von OPC UA. Die automatisierte Betrachtung von OPC-UA-spezifischen Bedrohungen reduziert manuelle Arbeit in einer durch die IEC 62443 vorgeschriebenen Bedrohungsanalyse und stellt sicher, dass mögliche Bedrohungen nicht vergessen werden. 

Anbieter zum Thema

zu Matchmaker+

  1. Systeme von Beginn an absichern
  2. Klar definierte Vorgehensweisen
  3. Die ‚Stride‘-Methodik
  4. Gefahren bei der OPC-UA-Kommunikation
  5. Zugewinn an Sicherheit

Verwandte Artikel

Fraunhofer IEM Institut für Entwurfstechnik Mechatronik, OPC Foundation

Safety & Security

TSN & OPC UA