Wie Maschinen, Anlagen und Geräte funktionieren, wird von der dazugehörigen Embedded-Software bestimmt. Viel Expertenwissen steckt beispielsweise in der Diagnose-Software von KFZ-Werkstätten oder in der Software zur Steuerung von Cerec-Fräsmaschinen, von Schweißrobotern oder auch von Stickmaschinen. Um Software vor Produktpiraterie und vor Manipulation zu schützen, benötigen Hersteller einen geeigneten technisch-präventiven Schutz, der sowohl einen hohen Sicherheitslevel bietet als auch die modernen Anforderungen der intelligenten Produktion erfüllt, die durch die wachsende Vernetzung im Sinne von Industrie 4.0 entstehen.
Internationale Richtlinien, Gesetze und Normen sorgen seit Jahren für Safety in der Produktion, so dass Mensch und Umwelt vor Fehlern der Maschinen geschützt sind. Auch bewährte Abwehrmaßnahmen wie Wachpersonal und Wachhund, abschließbare Türen oder Zäune um Gebäude oder Geräte zur Personenkontrolle verhindern das Eindringen von unberechtigten Personen.
Sind jedoch die einzelnen Maschinen miteinander vernetzt, wirken die klassischen Security-Maßnahmen nicht; über ungesicherte Netze können Unberechtigte eindringen und den Hersteller schädigen. Neue Schutzkonzepte unter Berücksichtigung der Vernetzung in Industrie 4.0 müssen so aufgebaut sein, dass sie Produkte, Daten, Know-how und sensible Produktionsnetze vor Produktpiraten, Wirtschaftsspionen oder Saboteuren schützen. Auch müssen sie jedes Eindringen verhindern, damit keinesfalls Produktionsprozesse gestört, fehlerhaft produziert oder sogar Maschinen beschädigt werden.
Technisch-präventiver Schutz
Hersteller können Codemeter als technisch-präventive Lösung zum Schutz ganz unterschiedlicher Bedürfnisse nutzen, wie etwa zum Produkt- und Know-how-Schutz oder zum Integritätsschutz in der Automatisierungsindustrie. Die Ver- und Entschlüsselung der Embedded Software ist der wesentliche Kern des Schutzes; auch Schlüssel werden sicher gespeichert. Die Embedded Software wird nur entschlüsselt und nutzbar, wenn die passende Berechtigung in Form der Schutz-Hardware Cmdongle oder einer Aktivierungsdatei vorhanden ist. Zusätzlich wird der Programmcode vor Manipulation durch Einsatz von elektronisch signiertem Code und Prüfung gegen eine Zertifikatskette geschützt.
Schutzkonzepte für Hersteller
Nachdem Hersteller ihre Schutzbedürfnisse identifiziert haben, können sie das geeignete Schutzkonzept wählen. Besonders hilfreich ist, wenn dieses Konzept zu einem späteren Zeitpunkt anfallende Schutzbedürfnisse wie die folgenden gleichfalls abdeckt:
Know-how-Schutz gegen Reverse-Engineering und Kopierschutz gegen Nachbau: Dabei werden verschlüsselte Programmcodes gespeichert und zur Laufzeit im Arbeitsspeicher wieder entschlüsselt. Dies verhindert die Analyse des Programms und beugt Angriffen auf Algorithmen vor, die nur durch Reverse Engineering in falsche Hände gelangen könnten. So schützt die Verschlüsselung das überlebensnotwendige Know-how in der Software des Herstellers und verhindert eine einfache Kopie auf eine nachgebaute Hardware.
Integritätsschutz gegen Manipulation: Mit Hilfe von signiertem Programmcode wird ein System als vertrauenswürdig eingestuft. Durch die elektronische Signatur wird sichergestellt, dass die ausgeführte Software nicht manipuliert oder verändert wurde. Bei Prüfung der Signatur gegen eine Zertifikatskette wird sichergestellt, dass der Programmcode von einem berechtigten Herausgeber kommt und kein Schadcode untergeschoben wird. Die Zertifikatskette ermöglicht Herstellern, unterschiedliche Abteilungen oder auch Third-Party-Zulieferern die Berechtigung zu geben, Codes zu signieren und ermöglicht deren Rücknahme durch so genannte Revocation Lists. Voraussetzung ist, dass der eigentliche Vertrauensanker, der Root Public Key, sicher im System gespeichert ist.
Authentifizierung: Sind in einer Maschine oder Fabrikanlage viele Steuerungskomponenten miteinander vernetzt, so müssen sich diese gegenseitig ausweisen können, damit beispielsweise der Durchfluss-Messwert auch tatsächlich vom richtigen Sensor gelesen wird. Kompatibel zum offenen IEC-Standard OPC UA können die notwendigen Zertifikate sicher in Codemeter-Lizenzcontainern gespeichert werden.
Flexible Funktionsfreischaltung: Über die Verschlüsselung der Software wird zusätzlich die Logistik vereinfacht, denn alle Geräte können mit vollem Software-Funktionsumfang ausgestattet werden, nur vom Kunden gekaufte Funktionen werden freigeschaltet. Der Hersteller kann so After-Sales-Geschäfte abschließen. Die Schlüssel, die eine bestimmte Funktion freischalten, werden sicher in der Schutz-Hardware Cmdongle oder der Aktivierungsdatei Cmactlicense gespeichert. Die effiziente Übertragung der Lizenzen erfolgt mit der Codemeter License Central, die in die Prozesse des Herstellers integriert wird, beispielsweise SAP (ERP) oder Salesforce (CRM). Auf die gleiche Weise können Zertifikate für OPC UA an vernetzte Komponenten ausgerollt werden.
Schutz von Produktionsdaten: Nur mit den Originaldaten des Auftraggebers kann der Betreiber einer Maschine die Produktionsaufträge ausführen. Sind die Originaldaten ungeschützt, könnten in Nacht- oder Sonderschichten Markenprodukte als Plagiat in hochwertiger Qualität für den Graumarkt hergestellt werden – ohne Wissen des Auftraggebers. Mit Hilfe eines Zählers für die genaue Produktionsstückzahl werden diese Daten geschützt. Nur der Auftraggeber kann den Zähler für den nächsten Produktionsauftrag wieder hochsetzen.
Sicherheit durch Ver- und Entschlüsselung
Das Herz der Ver- und Entschlüsselung ist das Codemeter-ASIC, ein Smartcard-Chip, der sich im Cmdongle befindet. Codemeter benutzt sichere Algorithmen wie die symmetrische Verschlüsselung mit AES (Advanced Encryption Standard) mit 128Bit-Schlüsseln und die asymmetrische Verschlüsselung ECC (Elliptic Curve Cryptography) mit 224Bit-Schlüsseln.
Die Verschlüsselung funktioniert über verschiedene Werkzeuge. Der Entwickler wählt eine grafische Oberfläche, Kommandozeilen-Tools oder Programmierschnittstellen. Die Anwendung Axprotector erlaubt den intuitiven Einbau des Schützes per grafische Benutzeroberfläche. Das Tool Ixprotector verschlüsselt individuell definierte Programmteile, und die leistungsfähigen Programmierschnittstelle Wupi erlaubt den Einbau in den Quellcode auf einfache Weise.
Hersteller sollten sich neben der Sicherheit auch Gedanken zur Lizenzierung machen. Die notwendigen Schlüssel und Lizenzen müssen erstellt und verteilt werden, und zwar über passend zu den beim Hersteller vorhandenen Vertriebs- und Herstellungsprozessen. Das Werkzeug Codemeter License Central erfüllt diese Aufgaben und lässt sich leicht in bestehende ERP-Systeme, CRM-Systeme oder Online-Shops integrieren. Entweder läuft die Codemeter License Central beim Hersteller oder als Wibu-Cloud-Lösung. Mit diesem Tool können die Hersteller aus ihrem bestehenden Prozess die Software-Lizenzen überblicken, ohne dass eine weitere Lösung dafür notwendig ist.