Software & Security Know-how richtig schützen

Bild: Wibu-Systems
13.06.2014

Sind Maschinen miteinander und mit ERP-Systemen im Sinne von Industrie 4.0 vernetzt, können herkömmliche Schutzmaßnahmen das Eindringen in ungesicherte Netze von Embedded-Systemen nicht verhindern. Hier kommen neue Schutzkonzepte zum Tragen.

Wie Maschinen, Anlagen und Geräte funktionieren, wird von der dazugehörigen Embedded-Software bestimmt. Viel Expertenwissen steckt beispielsweise in der Diagnose-Software von Kfz-Werkstätten oder in der Software zur Steuerung von Cerec-Fräsmaschinen, von Schweißrobotern oder von Stickmaschinen. Um Software vor Produktpiraterie und vor Manipulation zu schützen, benötigen Hersteller einen geeigneten technisch-präventiven Schutz, der sowohl einen hohen Sicherheitslevel bietet als auch die modernen Anforderungen der intelligenten Produktion erfüllt, die durch die wachsenden Vernetzung im Sinne von Industrie 4.0 entstehen.

Internationale Richtlinien, Gesetze und Normen sorgen seit Jahren für Safety in der Produktion, sodass Mensch und Umwelt vor Fehlern der Maschinen geschützt sind. Auch bewährte Abwehrmaßnahmen wie Wachpersonal und Wachhund, abschließbare Türen oder Zäune um Gebäude oder Geräte zur Personenkontrolle verhindern das Eindringen von unberechtigten Personen.

Sind jedoch die einzelnen Maschinen miteinander vernetzt, wirken die klassischen Security-Maßnahmen nicht. Über ungesicherte Netze können Unberechtigte eindringen und den Hersteller schädigen. Neue Schutzkonzepte unter Berücksichtigung der Vernetzung in Industrie 4.0 müssen so aufgebaut sein, dass sie Produkte, Daten, Know-how und sensible Produktionsnetze vor Produktpiraten, Wirtschaftsspionen oder Saboteuren schützen. Auch müssen sie jegliches Eindringen verhindern, damit auf gar keinen Fall Produktionsprozesse gestört, fehlerhaft produziert oder sogar Maschinen beschädigt werden.

Technisch-präventiver Schutz

Hersteller können CodeMeter als technisch-präventive Lösung zum Schutz ganz unterschiedlicher Bedürfnisse nutzen wie etwa zum Produkt- und Know-how-Schutz oder zum Integritätsschutz in der Automatisierungsindustrie. Die Ver- und Entschlüsselung der Embedded-Software ist der wesentliche Kern des Schutzes – auch Schlüssel werden sicher gespeichert.

Die Embedded-Software wird nur entschlüsselt und nutzbar, wenn die passende Berechtigung in Form der Schutzhardware CmDongle oder einer Aktivierungsdatei vorhanden ist. Zusätzlich wird der Programmcode vor Manipulation durch Einsatz von elektronisch signiertem Code und Prüfung gegen eine Zertifikatskette geschützt.

Nachdem Hersteller ihre Schutzbedürfnisse identifiziert haben, können sie das geeignete Schutzkonzept wählen. Besonders hilfreich ist, wenn dieses Konzept zu einem späteren Zeitpunkt anfallende, andere Schutzbedürfnisse gleichfalls abdeckt, beispielsweise:

  • Know-how-Schutz gegen Reverse-Engineering und Kopierschutz gegen Nachbau: Dabei werden verschlüsselte Programmcodes gespeichert und zur Laufzeit im Arbeitsspeicher wieder entschlüsselt. Dies verhindert die Analyse des Programms und beugt auf geschickte Weise Angriffe auf Algorithmen vor, die nur durch Reverse-Engineering in falsche Hände gelangen könnten. So schützt die Verschlüsselung das überlebensnotwendige Know-how in der Software des Herstellers und verhindert eine einfache Kopie auf eine nachgebaute Hardware.

  • Integritätsschutz gegen Manipulation: Mit Hilfe von signiertem Programmcode wird ein System als vertrauenswürdig eingestuft. Durch die elektronische Signatur wird sichergestellt, dass die ausgeführte Software nicht manipuliert oder verändert wurde. Bei Prüfung der Signatur gegen eine Zertifikatskette wird sichergestellt, dass der Programmcode von einem berechtigten Herausgeber kommt und kein Schadcode untergeschoben wird. Die Zertifikatskette ermöglicht Herstellern, unterschiedliche Abteilungen oder auch Third-Party-Zulieferer die Berechtigung zu geben, Code zu signieren und ermöglicht auch deren Rücknahme durch sogenannte „Revocation Lists“. Voraussetzung ist, dass der eigentliche Vertrauensanker, der „Root-Public-Key“, sicher im System gespeichert ist.

  • Authentifizierung: Sind in einer Maschine oder einer kompletten Fabrikanlage viele, miteinander vernetzte Steuerungskomponenten, so müssen sich diese gegenseitig ausweisen können, damit beispielsweise der Durchflussmesswert auch tatsächlich vom richtigen Sensor gelesen wird. Kompatibel zum offenen IEC-Standard OPC UA können die dazu notwendigen Zertifikate sicher in CodeMeter-Lizenzcontainern gespeichert werden.

  • Flexible Funktionsfreischaltung: Über die Verschlüsselung der Software wird zusätzlich die Logistik vereinfacht, denn alle Geräte können mit vollem Softwarefunktionsumfang ausgestattet werden und nur die vom Kunden gekauften Funktionen werden freigeschaltet. Der Hersteller kann so Zusatzgeschäfte, sogenannte After-Sales-Geschäfte, abschließen. Die Schlüssel, die eine bestimmte Funktion freischalten, werden sicher in der Schutzhardware CmDongle oder der Aktivierungsdatei CmActLicense gespeichert. Die effiziente Übertragung der Lizenzen erfolgt mit der CodeMeter License Central, die in die Prozesse des Herstellers integriert wird, beispielsweise in ERP-Systeme wie SAP oder in CRM-Systeme wie SalesForce. Auf die gleiche Weise können auch Zertifikate für OPC UA an vernetzte Komponenten ausgerollt werden.

  • Schutz von Produktionsdaten: Nur mit den Originaldaten des Auftraggebers kann der Betreiber einer Maschine die Produktionsaufträge ausführen. Sind die Originaldaten ungeschützt, könnten in Nacht- oder Sonderschichten auf einfache Weise Markenprodukte als Plagiat in hochwertiger Qualität für den Graumarkt hergestellt werden – ohne Wissen des Auftraggebers. Mit Hilfe eines Zählers, der die genaue Produktionsstückzahl definiert, werden diese Daten geschützt. Nur der Auftraggeber kann den Zähler für den nächsten Produktionsauftrag wieder hochsetzen.

Sicherheit durch Ver- und Entschlüsselung

Das Herz der Ver- und Entschlüsselung ist das spezielle CodeMeter-ASIC, ein SmartCard-Chip, das sich in jedem CmDongle befindet. CodeMeter benutzt moderne und sichere Algorithmen wie die symmetrische Verschlüsselung mit AES, Advanced Encryption Standard, mit 128-Bit-Schlüsseln und die asymmetrische Verschlüsselung ECC, Elliptic Curve Cryptography, mit 224-Bit-Schlüsseln.

Die Verschlüsselung funktioniert über verschiedene Werkzeuge. Der Entwickler wählt eine grafische Oberfläche, Kommandozeilentools oder Programmierschnittstellen. Die Anwendung AxProtector erlaubt den intuitiven Einbau des Schützes per grafischer Benutzeroberfläche. Das Tool IxProtector verschlüsselt individuell definierte Programmteile, die Programmierschnittstelle WUPI erlaubt den einfachen Einbau in den Quellcode. Hersteller sollten sich neben der Sicherheit auch Gedanken zur Lizenzierung machen.

Die notwendigen Schlüssel und Lizenzen müssen erstellt und verteilt werden, und zwar über passend zu den beim Hersteller vorhandenen Vertriebs- und Herstellungsprozessen. Das Werkzeug CodeMeter License Central erfüllt diese Aufgaben und lässt sich leicht in bestehende ERP-Systeme wie SAP oder MS Dynamics, CRM-Systeme wie SalesForce oder Online-Shops integrieren. Entweder läuft die CodeMeter License Central beim Hersteller oder als Wibu-Cloud-Lösung. Mit diesem Tool können die Hersteller aus ihrem bestehenden Prozess die Softwarelizenzen überblicken, ohne dass eine weitere Lösung dafür notwendig ist.

Wettbewerbsvorsprung sichern

Nur mit ganzheitlichen Schutzkonzepten, die sowohl aktuelle Bedürfnisse erfüllen als auch offen für zukünftige Herausforderungen wie bei der intelligenten Produktion gemäß Industrie 4.0 sind, helfen den industriellen Herstellern. Es gilt, das wertvolle Know-how, das in Embedded-Systemen steckt, wirkungsvoll zu schützen, damit Hersteller ihren Wettbewerbsvorsprung halten oder sogar ausbauen können. Security und Safety gehören untrennbar zusammen.
Weitere Informationen zu Wibu-Systems finden Sie im Business-Profil auf der Seite 86.

Bildergalerie

  • Abbildung 1: Die Schutzhardware CmDongle erfüllt industrielle Anforderungen.

    Abbildung 1: Die Schutzhardware CmDongle erfüllt industrielle Anforderungen.

    Bild: Wibu-Systems

  • Abbildung 2: Know-how und Algorithmen in der Produktion müssen vor Produktpiraten, Wirtschaftsspionen und Saboteuren geschützt werden.

    Abbildung 2: Know-how und Algorithmen in der Produktion müssen vor Produktpiraten, Wirtschaftsspionen und Saboteuren geschützt werden.

    Bild: Wibu-Systems

Firmen zu diesem Artikel
Verwandte Artikel