Der sichere Zugang

Mit der IT-Anbindung von Maschinen und Anlagen steigt das Risiko unbefugter Zugriffe und Manipulationen. Wirksamen Schutz versprechen Public-Key-Infrastrukturen.

Mit der IT-Anbindung von Maschinen und Anlagen steigt das Risiko unbefugter Zugriffe und Manipulationen. Wirksamen Schutz versprechen Public-Key-Infrastrukturen.

Bei der Abwicklung von Online-Geschäften und auch bei der Kommunikation per E-Mail sind Public-Key-Infrastrukturen (PKI) längst flächendeckend im Einsatz. Mit ihnen lassen sich auf Basis eines digitalen Zertifikats Geschäftspartner authentifizieren und Daten verschlüsseln. Zertifikate verhindern, dass Daten manipuliert oder unbefugten Nutzern Tür und Tor geöffnet wird, beispielsweise zu sensiblen oder komplexen Produktionsanlagen.

Ebenso tauschen Maschinen untereinander Daten aus – mit steigender Tendenz: Das Harbor Research Institute in Kalifornien prognostizierte in einer Studie von 2006, dass bis zum Jahr 2010 mehr als 500 Mio. Geräte und Maschinen aller Art mit dem Internet/Intranet verbunden sein werden. Eine große Herausforderung für die Gerätehersteller, die mit dieser Entwicklung vor einem Dilemma stehen: Einerseits müssen sie gewährleisten, dass ihre Maschinen und Anlagen bei Anwendern optimal in deren Produktionsprozess eingebunden werden können. Andererseits müssen die Lieferanten aber auch sicherstellen, dass nur berechtigte Personen Zugriff auf deren geschäfts- und produktionskritische Daten haben.

Die Einführung einer Public-Key-Infrastruktur ist eine Methode, um diesem Dilemma zu entkommen. Die digitalen Zertifikate basieren auf einem asymmetrischen Verschlüsselungsverfahren, das nach bestimmten mathematischen Verfahren zwei einander zugeordnete Schlüssel berechnet. Einer der Schlüssel wird veröffentlicht, das heißt dem Kommunikationspartner zur Verfügung gestellt. Den zweiten Schlüssel hält der Besitzer geheim. Herzstück ist eine vertrauenswürdige Instanz, das so genannte Trustcenter (TC). Das TC ermöglicht die Überprüfung der Zertifikate. Dazu unterhält das Trustcenter unter anderem ein Verzeichnis der Schlüssel sowie eine Sperrliste für ungültige Schlüssel.

Auf diese Weise ist sichergestellt, dass nur ein bestimmter Personenkreis Zugang zu den geschützten Systemen hat, beispielsweise um ein Software-Update durchzuführen. Ebenso unterstützen PKI-basierte Prozesse die Realisierung sicherer Freigabe- und Änderungsprozeduren. Ist auf einer CNC-Maschine beispielsweise ein neues Programm einzuspielen, durchläuft dieses in der Regel vorher eine Qualitätssicherung. Damit die Maschine nur QS-geprüfte Software akzeptiert, können die CNC-Programme mittels PKI digital signiert werden. Bei einem Update überprüft die Maschine dann, ob die Signatur von einer authorisierten Person mit entsprechendem Berechtigungsschüssel stammt. Dazu ist in der Maschine eine Rechte-Struktur hinterlegt, die festlegt, welche Personen oder Abteilungen Änderungen durchführen dürfen. Authentifiziert die Maschine die Signatur, wird das Update akzeptiert, andernfalls verweigert. Mit diesem Verfahren lassen sich ebenso Rezeptur-Änderungen in Batch-Prozessen oder Bediener-Eingriffe in den Prozessablauf überwachen und protokollieren.

Hat ein Anlagenbauer bereits eine Public-Key-Infrastruktur aufgebaut, beispielsweise zur Absicherung seiner eigenen elektronischen Geschäftsprozesse oder der E-Mail-Kommunikation, wird er in der Regel keine weitere Infrastruktur zusätzlich aufbauen. Deshalb muss es möglich sein, die Maschinen-nahe Security in existierende PKI-Systeme einzubinden. Ein ebenfalls denkbares Szenario ist, dass ein Anlagenbauer seine PKI für den Kunden nicht transparent – unsichtbar – in die Anlage integrieren will. Dies stellt allerdings eine besondere Herausforderung hinsichtlich der Wartung und dem Certificate-Lifecycle-Management dar.

Denn in der Regel ist die Industrie-Anlage nur einmal mit der Zertifizierungsstelle (CA) verbunden – zum Zeitpunkt der Initialisierung, die bei der Inbetriebnahme erfolgt. Alle weiteren Änderungen wie die Erneuerung der Sicherheitszertifikate lassen sich anschließend meist nur noch bei einer Wartung vor Ort durchführen. Außerdem ist die Verifikation des Gültigkeitsstatus des Zertifikats nur mittels einer Zertifikat-Sperrliste (Certificate Revocation List – CRL) möglich. Dies setzt aber voraus, dass die CRL regelmäßig in das System eingebracht werden kann. Eine Möglichkeit ist, dies über Software-Updates zu verteilen. Der bei personenbezogenen PKIs übliche OCSP-Responder (Online Certificate Status Protocol) scheidet aufgrund der intransparenten Implementierung und der nicht existierenden Verbindungen aus. Das Speichern einer CRL bei der Initialisierung des Systems ist zwar möglich, jedoch besteht der bei der CRL-Aktualisierung
das gleiche Problem wie bei der Zertifikatserneuerung.

Die Implementierung verborgener Public Key-Infrastrukturen erweist sich deswegen als äußerst schwierig. Zusätzlich sollte für solche Fälle berücksichtigt werden, dass eine zu strenge Implementierung dazu führen kann, dass die Anlage nicht mehr funktioniert. Denn ein Zertifikat hat immer nur eine bestimmte Gültigkeitsdauer und kann danach nicht mehr verwendet werden. Daher ist es in manchen Fällen sinnvoll, auf die Verifikation der Gültigkeit des Zertifikats sowie der CRL zu verzichten.

Ein weiteres Problem eines ausschließlich Hersteller-basierten Ansatzes besteht  darin, dass die Anlagen nach ihrer Auslieferung nicht mehr mit der PKI des Anlagenherstellers verbunden sind. Dadurch entsteht ein potenzielles Sicherheitsrisiko, da die verwendeten Algorithmen nach einigen Jahren aufgrund der BSI-Empfehlungen als unsicher eingestuft sind. Dies kann je nach Implementierung dazu führen, dass die Hardware vor Ort (Smartcards) ausgetauscht werden muss. Dies verursacht neben den Kosten wiederum eine potenzielle Sicherheitslücke. Denn bei Smartcards sind in der Regel die Schlüssellänge – und auch die zur Verfügung stehenden Algorithmen – begrenzt. Marktüblich sind derzeit 2048 Bit RSA-Keys. Aus diesem Grund sollte sich ein Anlagenhersteller genau überlegen, ob eine PKI-Implementierung ohne Einbindung des Endkunden die richtige Strategie ist.