Digitalisierung, Industrie 4.0, Disruption und künstliche Intelligenz sind häufig genutzte Schlagwörter Buzzwords in fast allen Branchen. Wenig verwunderlich, denn viele Wirtschaftsbereiche sind heute in einem großen Wandel begriffen. Auch für die Energiewirtschaft eröffnen sich viele neue Möglichkeiten: sei es die intelligente Vernetzung von Erzeugern, Speichern und Lasten, die Sektorenkopplung oder schlicht das Etablieren neuer digitaler Geschäftsmodelle für Unternehmen und Verbraucher. Gleichzeitig steigt aber auch das Gefährdungspotenzial, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jährlichen Lagebericht IT-Sicherheit aufzeigt.
Kritische Infrastrukturen, wie die Stromnetze, werden seit jeher besonders geschützt. Die Digitalisierung der Energiewende erfordert jedoch neue Maßnahmen zur Absicherung. Das BSI hat eine Sicherheitsarchitektur für die intelligenten Energienetze entworfen, die weltweit den höchsten Sicherheitsstandards genügt. Kernelement ist das Smart Meter Gateway (SMGW), als hochsichere Datenkommunikationsdrehscheibe in den Gebäuden.
Bedrohungslage in der Industrie steigt signifikant
Heutige Produktionsanlagen sind mit steigender Automatisierung durch vernetzte Rechner-, Mess- und Steuersysteme gekennzeichnet. Die früher isolierten Produktionsnetze werden immer häufiger mit der eigenen Office-IT aber auch mit Systemen auf der Kunden- oder Lieferantenseite vernetzt. Es wachsen Technologiebereiche zusammen, die zuvor weitgehend autark und separiert waren. Damit steigen die Anzahl und Schwere der Bedrohungen für die Industrieanlagen signifikant an.
Die aktuelle Praxis der Netzwerkabsicherung mittels Virtual-Private Networks (VPN) und Firewalls hat sich jedoch als unzureichend erwiesen. Stattdessen müssen neben dem physikalischen Schutz auch der weitreichende Einsatz von hardware-basierter Kryptografie in Form von Hardware-Sicherheitsmodulen, das sichere Identitätsmanagement sowie die flexible Anpassung von Sicherheitsniveaus auf dynamisch veränderliche Wertschöpfungsketten betrachtet werden.
„Das Potenzial und die Akzeptanz der Digitalisierung hängen von der Sicherheit der beteiligten Systeme ab“ erläutert Dr. Christoph July, Coordinator Research Projects bei Devolo. Datenschutz sowie Manipulations- und Zugriffsschutz in Verbindung mit echtzeitfähiger Kommunikation sind von essenzieller Bedeutung für die Industrie 4.0. Im Förderprojekt „Sichere Datenkommunikation für die verteilte Fabrik der Zukunft“ (SiDaFab) haben die Projektpartner Devolo, Infineon, Arend und die Hochschule Bremen demonstriert, wie durch lückenlose Integration von Hardwaresicherheit und hardware-gestützter verschlüsselter Kommunikation die derzeitige Sicherheitsarchitektur in Industrieunternehmen nochmals deutlich gesteigert werden kann.
SMGW-Konzept übertragbar?
Als Grundlage für die „Sichere Datenkommunikation für die verteilte Fabrik der Zukunft“ diente das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entworfene Sicherheitskonzept aus der Energiewirtschaft. Zentrale Komponente ist das so genannte Smart Meter Gateway (SMGW). Es sorgt für eine hochsichere Datenkommunikation zwischen den Verbrauchszählern sowie dezentralen Energieanlagen (PV-Systeme, Wärmepumpen, Speicher) in den Gebäuden auf der einen Seite und den Energieversorgern, Netzbetreibern und weiteren Marktteilnehmern auf der anderen Seite.
Jedes SMGW wird während der Produktion personalisiert. Das heißt: jedes Produkt wird individuell auf die Kommunikation vorbereitet und die jeweils erforderlichen Zertifikate und privaten Schlüssel im Gerät hinterlegt oder erzeugt. Neben dem zentralen Vertrauensanker vom BSI (der Root-CA), wird das Herstellerzertifikat benötigt, um das Gateway einem Hersteller zuzuordnen. Schließlich wird das Zertifikat des Gateway-Administrators (GWA) implementiert. Somit weiß das SMGW, mit welchem GWA es kommunizieren darf. Mit einem individuellen Gütesiegel-Zertifikat wird schließlich eine gesicherte Kommunikation zwischen dem SMGW und dem Administrator aufgebaut.
Die gesamte Datenkommunikation ist geschützt: Für jeden Verbindungsaufbau zwischen einem SMGW und einem autorisierten Marktteilnehmer (GWA oder externem Marktteilnehmer, EMT) ist eine gegenseitige Authentifizierung der Kommunikationspartner erforderlich. Die Kommunikation erfolgt dabei stets über einen verschlüsselten, integritätsgesicherten Kanal. Zudem werden Daten vor Versand vom SMGW zusätzlich auf Datenebene für den Endempfänger verschlüsselt und signiert. Mit dieser Smart Metering Public Key Infrastruktur ist gewährleistet, dass nur zertifizierte Marktteilnehmer in der Lage sind, Daten zu empfangen oder Aktionen über das SMGW auszuführen.
Anpassungen am Konzept der Energiewirtschaft
Anders als im regulierten Energiebereich, mussten die Partner im SiDaFab-Projekt allerdings ein Weg finden, eine standardisierte Lösung zu entwickeln, die gleichzeitig in unterschiedlichsten Prozess-, System- und Softwarelandschaften in Unternehmen angewendet werden kann. Schließlich musste die Lösung auch zwingend echtzeitfähig und unabhängig vom Datenübertragungsmedium sein. Eine Übertragung eins-zu-eins aus der Energiebranche, als branchenübergreifende Lösung, wäre daher nicht praxistauglich. Die Arend Prozessautomation konnte im Projekt ihr langjähriges Fachwissen als Systemintegrator für Automation und Industrie 4.0 einbringen. So wurde sichergestellt, dass neben einem hohen Sicherheitsniveau auch die vielfältigen Anforderungen aus Industrieunternehmen ausreichend berücksichtigt sind. Die Erkenntnisse aus dem Projekt flossen direkt in die Weiterentwicklung des Arendar-Produkts ein.
Das SiDaFab-Projekt hat ein neues, ganzheitliches Sicherheitssystem für die Datenkommunikation zwischen verschiedenen Anlagen und Standorten eines Unternehmens entworfen. Das Kernelement ist das Devolo Secure Gateway Industrie 4.0 (SGI4.0), eine hardwarebasierte Sicherheitskomponente, die im Projekt entwickelt wurde. Das SGI4.0 ist die zentrale Kommunikationsschnittstelle in der jeweiligen Produktionsstätte, an das die einzelnen Industrieanlagen, Geräte oder Sensoren angeschlossen werden. Die Datenquelle ist unerheblich. Das Gateway verschlüsselt die (Prozess-)Daten und stellt die Integrität und die Datenkommunikation zum Unternehmensserver oder zur Unternehmens-Cloud sicher. Zwischen den Unternehmensstandorten und Fertigungsstätten stellt das Secure Gateway Industrie 4.0 eine hochsichere Verbindung her und regelt, wer auf welche Daten zugreifen darf.
Kommunikation über neuen Industriestandard OPC UA
Bei der Datenkommunikation setzt die im Projekt verantwortliche Hochschule Bremen auf den neusten Industriestandard OPC UA. Dieser unterscheidet sich, als plattformunabhängige und service-orientierte Architektur, erheblich von seinen Vorgängern – insbesondere durch die Fähigkeit Maschinendaten nicht nur zu transportieren, sondern auch maschinenlesbar zu beschreiben. Die Hochschule Bremen hat darüber hinaus auch die Sicherheitsarchitektur maßgeblich entworfen.
Zum umfassenden Schutz beinhaltet das Gateway einen Vertrauensanker in Form eines standardisierten Hardware-Sicherheitsmoduls, dem industrial Trusted Platform Module (iTPM) 2.0 von Infineon. Durch diesen Vertrauensanker wird eine sichere Kommunikation mit Ende-zu-Ende-Verschlüsselung über physikalisch gesichertes Schlüsselmaterial gewährleistet und die Vertrauenswürdigkeit der Plattform durch Secure-Boot-Mechanismen sichergestellt. Desweiteren überwacht das Infineon-TPM die Integrität der Hard- und Softwaresysteme, was die Sicherheit gegenüber reinen Softwarelösungen deutlich erhöht.
Neue Produkte, weitere Forschung
Die Verflechtungen zwischen Lieferanten, Herstellern, Kunden und Maschinen werden in einer digitalen Welt noch weiter zunehmen. Die Datenintegrität und die sichere Kommunikation rücken stärker in den Fokus. Vertrauensanker mit hardwarebasierter Sicherheit erhöhen das Schutzlevel maßgeblich. Devolo, Infineon, Arend, sowie die Hochschule Bremen haben im gemeinsamen SiDaFab-Projekt praxisorientiert aufgezeigt, wie das Sicherheitsniveau im Industrie-4.0-Umfeld auf eine neue Stufe gehoben werden kann. Mit den Erfahrungen aus der Smart-Meter-Gateway-Entwicklung, sowie mit den Erkenntnissen aus dem SiDaFab-Projekt rückt das Aachener Unternehmen Devolo seine Expertise für die industrielle Auftragsentwicklung nun stärker in den Fokus. „Wir sehen großen Bedarf nach sicheren Kommunikationslösungen in der Industrie und bieten unsere langjährige Erfahrung in diesem Bereich an. Für namhafte Unternehmen entwickeln und produzieren wir bereits erfolgreich individuelle Kommunikationslösungen,“ erklärt Heiko Harbers, Vorstandsvorsitzender und Inhaber des Unternehmens. Auch die Blockchain-Technologie wird neue Wege hinsichtlich Datenkommunikation, Sicherheit und Transparenz eröffnen. In der Energiebranche beispielsweise durch Stromdirektlieferungen aus kleinen, dezentralen EE-Anlagen an Verbraucher (Direktverträge) oder im Bereich der Elektromobilität und deren Bezahlsysteme. Devolo wird im kommenden Jahr in zwei Forschungsprojekten zum Thema Blockchain beteiligt sein und sein Know-how weiter ausbauen.