Internet der Dinge IT-Sicherheitsarchitekturen für Industrie 4.0

Best practice - bewährte Sicherungstechniken aus der IT auch in der industriellen Kommunikation einzusetzen.
Best practice - bewährte Sicherungstechniken aus der IT auch in der industriellen Kommunikation einzusetzen.

In dem Maße, in dem sich die industrielle Automatisierung verändert, verändern sich auch die Anforderungen an die Sicherheit. Neben der funktionalen Sicherheit rückt dabei immer mehr die Datensicherheit in den Mittelpunkt. Als „best practice“ bietet es sich an, bewährte Sicherungstechniken aus der IT auch in der industriellen Kommunikation einzusetzen.

Die Vernetzung von Geräten und Anlagen nimmt auch im industriellen Bereich rapide zu. Die Wirtschaft steht hierbei an der Schwelle zur vierten industriellen Revolution. Durch das Internet getrieben, wachsen reale und virtuelle Welten immer weiter zu einem Internet der Dinge zusammen. Die Kennzeichen der zukünftigen Form der Industrieproduktion sind die starke Individualisierung der Produkte unter den Bedingungen einer hoch flexibilisierten (Großserien-) Produktion, die weitgehende Integration von Kunden und Geschäftspartnern in Geschäfts- und Wertschöpfungsprozesse und die Kopplung von Produktion und hochwertigen Dienstleitungen, die in sogenannten hybriden Produkten mündet [1].

Diese automatisierte und autonome Vernetzung von Geräten und Anwendungen im Bereich der industriellen Automation, die gemeinhin als Indus­trie 4.0 bezeichnet wird, bedarf eines hohen Niveaus an funktionaler Sicherheit (Safety) und Datensicherheit (Security). Geschäftsprozesse werden immer stärker integriert und vernetzt. Regelkreise basieren nicht mehr nur auf Monitoring, sondern immer mehr auf automatisierter Steuerung (Control). Folglich gewinnt die Sicherheit eine immer größere Bedeutung. Sicherheit ist hierbei als kombinierte Anforderung zu verstehen, die Betriebssicherheit, Arbeitssicherheit, IT-Sicherheit und Privatsphärenschutz berücksichtigt. Dabei ist es anerkannter Stand der Technik, dass diese unterschiedlichen Anforderungen wechselseitig abhängig sind und nur in der Kombination realisiert werden können.

Sicherheitsanforderungen steigen

Während Sicherheitslösungen im klassischen IT-Umfeld seit Jahren verbreitet und etabliert sind, werden diese bislang in industriellen und Embedded-Netzen nur in geringem Maße eingesetzt. Beispiele aus der Vergangenheit zeigen aber, dass auch der Einsatz herkömmlicher Protokolle und Techniken, wie Virtual Private Networking (VPN) und Paketfilter (Firewalls), durchaus möglich ist [3].

Allerdings steht gegenwärtig eine neue Phase an, in der auch in Embedded-Netzwerken umfangreiche und in herkömmlichen IP-Netzen bewährte Technologien eingesetzt werden. Das momentan wahrscheinlich bekannteste Beispiel stammt aus dem Bereich der Zählerfernauslesung (Smart Metering), wo das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Anfang 2011 einen Entwurf zum Schutzprofil für die Kommunikationseinheit eines intelligenten Messsystems („Protection Profile for the Gateway of a Smart Metering System“) erarbeitet hat [5] [6], in dem zur Gewährleistung der Interoperabilität der verschiedenen in einem Smart Metering System vorhandenen Komponenten auch rein funktionale Vorgaben erarbeitet und die im Schutzprofil getroffenen Sicherheitsanforderungen näher ausgestaltet werden.

Mehrstufige Architekturen für industrielle Netzwerke

Mit der zunehmenden Vernetzung industrieller Anlagen werden auch die Architekturen immer komplexer. Insbesondere haben sich zwei Grundtypen der in der Regel mehrstufigen Architekturen herauskristallisiert, die in den Bildern 1 und 2 dargestellt sind.

Bild 1 zeigt hierbei die typische mehrstufige Architektur für Sensor-Aktor-Netzwerke in sehr stark räumlich verteilten Anwendungen, die im Folgenden als A1 bezeichnet wird. Typische Anwendungsbeispiele hierfür sind die Haus- und Gebäudeautomation, das Monitoring in räumlich verteilten Anwendungen, beispielsweise der Prozessautomation oder der Logistik, das Smart Metering sowie Telehealth- oder Telecare-Anwendungen. In dieser Architektur werden vier Netzwerkebenen unterschieden:

  • Die Primärkommunikation oder im Falle des Smart Metering das Local Metrological Network (LMN) erlaubt die Anbindung von Sensoren an einen Datensammler.
  • Die Sekundärkommunikation stellt den Zugriff von lokalen Benutzern auf die lokalen Daten zur Verfügung. Diese erfolgt in vielen Fällen über das Gateway.
  • Die Tertiärkommunikation stellt als Weitverkehrsnetz (Wide Area Network; WAN) die Anbindung an die Back-End-Systeme, die meist in Datenbanken organisiert sind, und weiteren Marktteilnehmer her.
  • Und schließlich erlaubt die Quaternärkommunikation den Datenaustausch zwischen Marktteilnehmern.

Bild 2 zeigt die mehrstufige Architektur A2 für die bekannte Automatisierungspyramide in räumlich konzentrierteren Anwendungen. Typische Anwendungsbeispiele hierfür kommen aus den Bereichen Industrie- oder Prozessautomatisierung sowie aus der Gebäudeautomatisierung. Im weiteren Sinne können aber auch Kfz-Bordnetze hier eingeordnet werden. Im Unterschied zur Architektur A1 bestehen hier umfangreiche lokale Netzwerke auf verschiedenen Ebenen, die klassischerweise über dezentrale Gateways verschaltet und über ein zentrales Gateway mit globalen Netzwerken verbunden werden.

Die meisten industriellen Netzwerke bieten gegenwärtig keine Sicherheitsvorkehrungen. Um Missverständnisse zu vermeiden, sei darauf hingewiesen, dass diese Aussage in Bezug auf Security gilt, nicht jedoch in Bezug auf die Safety. So ging man bislang davon aus, dass Automationsnetze (A2) klassischerweise in doppelter Hinsicht geschützt sind:

  • Sie haben den Schutz über mehrere Netzwerkebenen und werden dort jeweils über Gateways und Firewalls vor unerlaubtem Zugriff geschützt.
  • Sie befinden sich auch räumlich häufig in einem Bereich des Betriebsgeländes, der nicht allgemein zugänglich ist.

Diese Unterschiede werden häufig auch herangezogen, um zu begründen, warum die Sicherheitsarchitekturen der verteilten Systeme nicht auch in räumlich konzentrierten Umgebungen (A2) umgesetzt werden können.

Diese beiden Aspekte verändern sich aber zunehmend, wie in den folgenden Punkten erläutert und in Bild 3 gezeigt wird.

  • Zum Ersten werden – insbesondere im Bereich der Prozessautomatisierung – sehr wohl große Netze aufgebaut, die nicht nur auf ein Firmengebäude beschränkt sind. Dies führt dazu, dass der physische Zugriff nicht mehr so limitiert werden kann, wie dies bei ganz lokalen Netzen in einzelnen Produktionszellen der Industrieautomatisierung klassischerweise erfolgen konnte.
  • Zum Zweiten kommen – bei Anwendungen sowohl der Prozess- als auch der Industrieautomatisierung – nun eben auch zunehmend drahtlose Übertragungsprotokolle für Sensor-Aktor-Netzwerke zum Einsatz. Damit ist die räumliche physische Einordnung mitnichten mehr so ideal abzugrenzen, wie dies in den klassischen drahtgebundenen Protokollen der Fall war. Trotz dieses Risikos weisen viele der bestehenden drahtlosen Kommunikationsprotokolle für Anwendungen der Prozess- und Industrieautomatisierung aber nur ein geringes Schutzniveau auf.
  • Zum Dritten können beide Architekturen durch einen unmittelbaren Zugriff von Bediengeräten erweitert werden. Dies bedeutet, dass zum Beispiel auf ein Sensor- oder Aktorelement auch lokal zugegriffen werden kann, um z.B. zu parametrisieren, Messdaten auszulesen oder ein Firmware Update durchzuführen. Insbesondere dann, wenn dieser Zugriff durch eine drahtlose Schnittstelle erfolgt, stellen diese Erweiterungen eine wesentliche Veränderung der Sicherheitsarchitektur dar, weil diese Zugriffe eine ganz kritische Hintertür (Backdoor) auf die Geräte, aber auch auf die Netzwerkverbindungen eröffnen können. Es ist deswegen von zentraler Bedeutung, diese Zugriffe abzusichern.