Ein Wesensmerkmal aller Industrie-4.0-Konzepte ist die Vernetzung. Intelligente Produktionsanlagen sollen sich automatisch auf neue Produkte oder Ereignisse einstellen, Informationen zwischen Maschinen weiterreichen und zugleich komfortable Fernwartungs- und Fernsteuerungsfunktionen bieten. Die Vernetzung von industriellen Anlagen, die selbstständige Kommunikation zwischen „Dingen“ birgt viele Chancen aber auch neue Risiken. Was ist, wenn Hacker oder manipulierte Systeme die Kontrolle über Roboter oder industrielle Anlangen erlangen? Gar über Kraftwerke oder Chemiefabriken? Anders gefragt: Woher weiß ein „Ding“, dass die empfangenen Daten oder Abfragen von einem anderen „Ding“ korrekt sind und die Quelle einer Nachricht wirklich die Systemkomponente ist, die sie vorgibt zu sein?
Den Dingen einen Ausweis geben
Für Fachleute im Bereich IT-Security ist klar: Identifikation, Authentisierung, Authentifizierung und Autorisierung sind die vier Schritte, mit denen sie Kommunikation absichern müssen. Bei der Authentisierung meldet sich ein Nutzer an und gibt seine Identität bekannt. Er behauptet also, ein bestimmter Nutzer zu sein. Der nächste Schritt ist die Authentifizierung, also die Überprüfung seiner behaupteten Identität. Hierzu muss der Nutzer sich ausweisen – durch ein Geheimnis wie Passwort/PIN und einen weiteren Faktor wie ein Hardware-Identifizierungsobjekt. Diese Identifizierungsobjekte können Token, Smartcards oder Ähnliches sein. Bei sicherheitskritischen Anwendungen ist eine sogenannte Zwei-Faktor-Authentisierung erforderlich – also beispielsweise Passwort/PIN und ein nicht kopierbares Identifizierungsobjekt. Ist der Nutzer erfolgreich authentifiziert, bekommt er Zugriffs- und Nutzungsrechte in dem Umfang, in dem diese ihm zuvor eingeräumt wurden (Autorisierung).
Für die Authentifizierung von Menschen durch IT-Systeme kommen zum Beispiel Smartcard-Ausweise zum Einsatz. Doch wie sollen sich Dinge ausweisen? Reine Softwarelösungen zum Absichern von M2M-Kommunikation sind manipulierbar. Über das Internet kommunizierende Systeme oder deren Gateways im industriellen Internet der Dinge (IIoT) müssen eine nicht klonbare Identität aufweisen und gleichzeitig in der Lage sein, Daten kryptografisch gesichert zu senden und zu empfangen.
Ein solcher Schutz erfordert immer eine in der Hardware implementierte Lösung, die als Secure-Element oder Sicherheitsanker bezeichnet wird. Dafür gibt es verschiedene Ansätze: Der Einbau von SIM-Karten, ähnlich wie bei Mobiltelefonen, das Auflöten von identifizierbaren Hardwarekomponenten, sogenannte Trusted Platform Module (TPM), in die Baugruppen oder der Einsatz von Prozessoren, die über integrierte Funktionalitäten eindeutig identifizierbar sind, genannt Trusted Execution Environment (TEE). Bei diesen Ansätzen ergeben sich im praktischen Einsatz Einschränkungen, die abgewogen werden müssen: Die genannten Lösungen erhöhen die Sicherheit, schränken allerdings die Flexibilität des Lösungsanbieters ein. So werden die Anlagenhersteller technologisch an bestimmte Hersteller, Baugruppen und Prozessoren oder einen Vertriebskanal gebunden.
Industrietaugliche Flash-Memory-Karten
Das Auflöten von identifizierbaren Hardwarekomponenten (TPM) in die Baugruppen oder der Einsatz von Trusted Execution Environment (TEE) ist aufwändig. Eine alternative, leicht zu integrierende und nachrüstbare Lösung hingegen sind industrietaugliche Flash-Memory-Karten, in denen ein Secure-Element als Identifizierungsmerkmal verbaut ist und die Funktion eines TPM übernimmt. Diese Lösung birgt für Entwickler von IIoT-Komponenten und -Lösungen sehr weitreichende Vorteile.
Das beginnt schon bei der Integration. Diese ist für Entwickler extrem einfach, weil die Memory-Schnittstellen standardisiert sind, eine kompatible speziell zugeschnittene TPM-Funktionalität selbst definiert oder auf eine PKCS#11 Middleware zugegriffen werden kann. Diese Funktion ist in verschiedenen Formfaktoren als SD-, MicroSD-Karten oder USB-Sticks verfügbar. Die sicheren Flash-Memory-Module basieren auf Karten, die bereits seit Jahren für den Industrieeinsatz spezifiziert sind, etwa durch deutlich erweiterte Temperaturbereiche und eine längere Lebensdauer und Verfügbarkeit. Die Idee, das Identifizierungsmerkmal mit einem Standarddatenspeicher zu kombinieren, hat auch deshalb Charme, weil die meisten Komponenten und Systeme im IIoT sowieso Speicher benötigen – für Betriebssysteme oder sensible Daten.
Die sicheren Memory Cards bestehen aus einem Flash-Speicherchip, einer Smartcard und einem Flash Controller. Dessen spezielle Firmware mit integriertem AES-Enkryptor ermöglicht weitere Anwendungsszenarien. Weil als Secure-Element ein Krypto-Element genutzt wird, kann nicht nur die Kommunikation abgesichert, sondern es können auch Daten sicher verschlüsselt werden. So lassen sich Trusted-Boot-Konzepte realisieren, Lizenzen sichern oder das Flash Memory mit Enkryptor kann dazu genutzt werden, weitere Datenspeicher wie klassische Festplatten im System zu verschlüsseln. Die für Authentifizierung und Verschlüsselung im IIoT vorgeschlagenen Flash-Speicherkarten werden unter anderem bereits in abhörsicheren Mobiltelefonen, Polizei-Bodycams und zum Schutz von Patientendaten in der Medizintechnik eingesetzt.
Leicht nachrüstbar
Ein Aspekt, der im Zusammenhang mit Smart Factory gerne ausgeblendet wird: Die komplett neue Fabrik auf der grünen Wiese wird in der Realität die Ausnahme sein. Die Vernetzung von Anlagen und Maschinen muss bestehende Systeme einbinden, daher ist auch die Einführung einer verschlüsselten Kommunikation zwischen Maschinen eine Frage der Nachrüstung. Da USB- oder SD-Schnittstellen weit verbreitet sind, können auch Legacy-Systeme mit einer SD-Karte als TPM – oder SIM für Dinge – einfach mit fälschungssicheren Identitäten ausgerüstet und nachträglich in das Sicherheitskonzept integriert werden.
Die leichte Nachrüstbarkeit ist aus einem weiteren Grund noch ein Argument für die sicheren Flash-Speicherkarten: Sicherheit nutzt sich über den Produktlebenszyklus ab, da die Methoden der Angreifer immer raffinierter werden. Eine besondere Bedrohung der Kryptografieverfahren geht vom Quantencomputer aus, dessen mögliche Verfügbarkeit in den nächsten Jahren nicht ignoriert werden darf. Asymmetrische Kryptografie wird damit leicht zu knacken sein. Die Entwicklung einer Post-Quanten-Kryptografie (PQC) wird nötig, sprich Algorithmen, die resistent gegen Angriffe mit Quanten-Computern sind.
Produktmanager müssen daher bei Sicherheitslösungen nicht zuletzt aufgrund des IT-Sicherheitsgesetzes, welches stets den letzten Stand der Technik fordert, auf Aktualisierbarkeit achten – sichere Speicherkarten als leicht austauschbare Module bieten sich deshalb auch aus diesem Grund besonders an.