Industrielle Cyber-Sicherheit Minimierung der Angriffsfläche

Um Sicherheitskritische Systeme mit Embedded Hardware Plattformen besser schützen ist die Wahl ausschlaggebend - auch im IIoT.
Um Sicherheitskritische Systeme mit Embedded Hardware Plattformen besser schützen ist die Wahl ausschlaggebend - auch im IIoT.

Ohne Schutz vor Cyberattacken sind nicht nur Arbeitsabläufe und Daten gefährdet, sondern auch Menschenleben. Um sicherheitskritische Systeme besser zu schützen, ist schon die Wahl der Embedded Hardware Plattform ausschlaggebend – auch im IIoT.

Anbieter von cyber-physikalischen Systemen mit Internet-Konnektivität bemühen sich derzeit, robuste Schutzmaßnahmen in ihre Produkte zu integrieren. Alle Beteiligten sind sich einig, dass die Cybersicherheit nicht dem Zufall überlassen werden darf. Doch es bleibt die Frage, wie die Entwickler wissen können, welches Maß an Sicherheit sie generell bereitstellen sollten. Auch andere Fragen kommen in dem Zusammenhang auf: Welcher Anteil der Systemkosten ist für Gegenmaßnahmen im Sinne der Cyber-Sicherheit anzusetzen? Ist die Anlage sicher genug?

Bei der Abwägung eines geeigneten Standards waren diese Fragen für die Sicherheitsfachleute lange eine knifflige Herausforderung. Mit der Publikation von IEC 62443 hat sich das grundlegend geändert: Seitdem steht ein breites Spektrum von Bedrohungsmodellen zur Verfügung. Außerdem sind nun geeignete Gegenmaßnahmen für jede im Standard definierte Sicherheitsebene vorgeschrieben.
Der IEC-Standard erlaubt industriellen Sicherheitsbeauftragten den Ansatz einer übergreifenden Sicherheits-Kennzahl (shared figure of merit). Da mehr und mehr Unternehmen nach verifizierbaren Sicherheitslösungen verlangen, entwickeln sich diese Arten von Zertifizierungen zu kundenseitig definierten Anforderungsprofilen. Als Teil des Standards definiert IEC 62443-4-2 die Anforderungen an Sicherheits-Plattformen auf der Komponenten-Ebene, die durch konfigurierbare Hardware-Bausteine wie FPGA-basierte SoCs (System on Chip) ermöglicht oder beschleunigt werden können.

Cybersicherheit betrifft alle Aspekte von Systemen, einschließlich der von Safety-Systemen. Ende 2017 griffen Hacker die Triconix-Safety-Systeme von Schneider Electric an. Das Ziel des Angriffes konnte nicht ermittelt werden, doch zum Glück war die Attacke erfolglos. Allerdings wurde dadurch das Bewusstsein geschärft, dass auch Safety-Systeme Ziel von Cyberattacken sein können.

Schutz und Reaktion

Die eingebetteten Controller im OT-Bereich (operational technology) können nicht einfach auf Standard-IT-Sicherheitslösungen zurückgreifen. Während IT-Systeme die Vertraulichkeit priorisieren, gilt für OT-Equipment die Verfügbarkeit als Top-Priorität. Und die Verfügbarkeit beginnt mit den Eigenschaften und Fähigkeiten der Hardware.

Hardware-Sicherheit über die Lebensdauer

Um sicher zu gehen, dass alle potenziellen Bedrohungen vernetzter industrieller Anlagen berücksichtigt werden, ist es hilfreich, einen vierstufigen Sicherheits-Lebensdauerzyklus anzusetzen (Bild 1).

Starker Schutz ist eine wichtige Vorbedingung. Speziell bei neu eingerichteten Anlagen und Systemen sollte dieser so stark sein, wie es die aktuell verfügbare Technik erlaubt. Mehrere Schutz-Ebenen, die sowohl die Hardware als auch die Software umfassen sowie das Booten und die Runtime-Operationen abdecken, sollten eingerichtet werden, um eine tief gestaffelte Verteidigung zu formieren.

Allerdings müssen die Anlagen-Entwickler davon ausgehen, dass Hacker irgendwann auch einen erfolgreichen Angriff lancieren. Denn die Sicherheitsmaßnahmen werden mit der Zeit schwächer, weil sie veralten. Eine geeignete Detektionsmethode ist somit die nächst höhere Stufe im Lebenszyklus der Anlage. Sie besteht in der Suche nach nicht intendierten oder nicht autorisierten Änderungen im System unter Einsatz sicherer Attestierungen und Messverfahren.

Die dritte Stufe – als Resilienz bezeichnet – bezieht sich auf die Fähigkeit der betroffenen Anlage, in einen sicheren Fallback-Betriebsmodus überzugehen und den Operator über die vorliegende Situation zu informieren. Das ist wichtig, damit industrielle Systeme nach einem Angriff weiterarbeiten können – entweder aus Sicherheitsgründen oder auch, um Stillstandzeit-Kosten zu vermeiden.

Die vierte Stufe ermöglicht es Anlagen, eine detaillierte Dokumentation von Sicherheits-Attacken zu erstellen. Das erleichtert die Wiederherstellung – einschließlich dem Hinzufügen von Sicherheits-Patches und die allgemeine Verbesserung der Sicherheitsposition ähnlich gelagerter Systeme.

Die konfigurierbare Hardware von Xilinx bietet Eigenschaften, die einen vollständigen Sicherheits-Lifecycle unterstützen – einschließlich einem starken, in Hardware vorliegenden Vertrauensanker, integrierten kryptographischen Akzeleratoren, PUFs (physically unique function), integrierter sicherer Abspeicherung und Key-Management-Funktionen. Außerdem bieten die Xilinx IP-Partner FPGA-basierte Sicherheits-Monitore wie MicroArx, um die Detektionsmöglichkeiten von Angriffen weiter zu verfeinern und die Resilienz kritischer Software-Applikationen durch FPGA-basiertes Monitoring zu verstärken.

Schutz eingebetteter Komponenten

Ganz gleich, welche Technologien zum Schutz des Systems eingesetzt werden, sie müssen auf einem starken Fundament basieren. Das beginnt mit der »embedded platform chain of trust«, wie sie 2011 von Ukil, Sen und Koilakonda beschrieben wurde (Bild 2).

Um ein derartiges starkes Sicherheits-Fundament auf der Hardware- und Boot-Zeit Software-Ebene einzurichten, bieten die Zynq UltraScale+-SoCs (System on Chip) von Xilinx die folgenden Eigenschaften: unveränderliche Baustein-Identität und Boot-ROM, Anti-Tamper Funktionen, integrierte Speicherung in eFuses mit Sicherheitsschlüssel, sowie Bitstream-Authentifizierung und Verschlüsselung für sicheres Hardware-Laden. Die geschützte Boot-Firmware erzwingt das sichere Booten und die Ausführung des Bootloaders auf der ersten Stufe. Sie beendet den Prozess, wenn sie entdeckt, dass die Integrität der Software verletzt wurde und zeigt damit an, dass ein Manipulationsversuch der Software stattgefunden hat. Auf den höheren Ebenen wird nur ein authentifiziertes OS Image mit digitaler Signatur geladen.

Nachdem ein System eingeschaltet wurde und reibungslos läuft, sollte die Kommunikation mit anderen Anlagenteilen geschützt über authentifizierte Kanäle verlaufen, und zwar mit Verschlüsselung, wenn der Schutz der übertragenen Daten notwendig ist. Die Xilinx FPGAs verfügen über integrierte Hardware-Akzeleratoren für Industrie-Standard Verschlüsselungs-Algorithmen wie RSA-SHA und AES, um eine sichere und verschlüsselte Kommunikation zu unterstützen. Der Datenaustausch mit anderen Bausteinen im System – wie nicht-flüchtige Speicher – kann auch mit dem Einsatz von Baustein-spezifischen Schlüsseln geschützt werden, die nicht vom Anwender lesbar sind.

Und schließlich werden auch die System-Monitoring-Funktionen wie die gemessene Boot-Dauer, die gemessene Startdauer von Applikationen und der Einsatz eines TPM (Trusted Platform Module) unterstützt. Alle diese Glieder der Signalkette werden gebraucht, um den Betrieb und die Integrität der Komponenten als End-to-End-Sicherheits-Architektur zu schützen.

Neben dem Schutz des angemessenen Betriebszustands des Bausteins schützen diese miteinander verbundenen Layer von Sicherheitsfunktionen auch die IP des vorliegenden FPGA-Hardware-Designs und die auf ihm laufende SoC-Software.

Best Practice für mehr Sicherheit

Seit der Publikation des internationalen Sicherheits-Standards IEC 624435 für industrielle Steuersysteme sind die Anlagenentwickler definitiv besser gerüstet, die am besten geeigneten Sicherheitslösungen für Embedded Systeme auszuwählen und zu implementieren. Organisationen wie die Trusted Computing Group (TCG) und das Industrial Internet Consortium (IIC) arbeiten an der Formalisierung der besten Praktiken für die IIoT-Sicherheit.

Im Bewusstsein der Risiken bei der Vernetzung industrieller Anlagen mit dem Internet hat die TCG die Industrial Sub Group eingerichtet, um relevante Sicherheits-Richtlinien zu entwickeln. Die Gruppe steht mit dem IIC in Verbindung und hat mit vielen Beteiligten die Schaffung des IIC Industrial Internet Security Framework (IISF) vorangetrieben.

Es widmet sich dem Bedarf an höheren Safety-Ebenen, der Zuverlässigkeit und der Resilienz in IIoT-Systemen, die über die Anforderungen traditioneller IT-Environments hinausgehen. Xilinx war an der Formulierung von IEC 62443 beteiligt und ist ein aktives Mitglied von TCG und IIC, einschließlich der Partizipation an der TCG Industrial Sub Group. Sicherheitsfunktionen, die von den Xilinx FPGA SoCs und Design Tools unterstützt werden, ermöglichen den Anwendern die Erstellung von industriellen Steuer-Plattformen nach IEC 62443-4-2 und verhelfen ihnen zur schnelleren Marktreife ihrer Produkte. Außerdem werden neue Verfahren eingeführt, die den Anwendern die sichere Installation von Schlüsseln und spezifischen Geräte-Identifikatoren innerhalb der Lieferketten ermöglichen. Eine Übersicht über einige der wichtigen Sicherheitsfunktionen nach IEC 62433-4-2, und wie Xilinx diese unterstützt, zeigt Bild 3.

Die Grundlagen zur Minimierung der Angriffsflächen bilden starke Hardware-Authentifizierung und Funktionen zur Unterstützung des sicheren Bootens, Software-Messung und Verschlüsselung. Sie verbessern die Fähigkeit zur Wahrung der Integrität aller Bausteine.

 

Der Autor

 

Wesley Skeffington

ist Principal Architect bei Xilinx mit Schwerpunkt auf SoC-Lösungen für den industriellen und medizinischen Markt. Vor seinem Wechsel zu Xilinx war er 16 Jahre lang bei General Electric im Bereich Embedded Systems und Steuerungen tätig.