Sicherheit im industriellen Internet der Dinge
Herausforderungen und Konzepte

Uwe Laufs und Sven Wagner, Fraunhofer IAO, Stuttgart

In zahlreichen Branchen und Anwendungsbereichen bietet das industrielle Internet der Dinge (IIoT) mit der Vernetzung intelligenter Objekte eine Vielzahl an Möglichkeiten und Chancen. Hinsichtlich der Sicherheit solcher Systeme entstehen jedoch, ähnlich wie im eher an Privatanwender gerichteten Internet der Dinge, durch den hohen Verteilungsgrad, die Heterogenität der vernetzten Systeme sowie den Umfang und die Dynamik der Vernetzung ganz neue Herausforderungen. Ebenso können die Auswirkungen von Angriffen drastisch sein. Ein Dreh- und Angelpunkt für Sicherheit im IIoT sind vertrauenswürdige Identitäten der beteiligten Subsysteme, ohne die ein sicheres Gesamtsystem nur schwer zu realisieren ist. Für die Absicherung der Systemidentitäten bieten sich zertifikatsbasierte Verfahren an. Die hierfür gängige Lösung mittels Public Key Infrastructure (PKI) ist im Bereich IIoT häufig jedoch zu aufwändig und zu wenig flexibel. Des Weiteren sind oft Mechanismen zur Verbreitung vertrauenswürdiger Informationen über Subsysteme und Mechanismen zur Sicherstellung der Echtheit von Daten und Transaktionen und deren Dokumentation erforderlich. Der Beitrag beschreibt neben den Herausforderungen des IIoT aus Sicht der Sicherheit Konzepte zum Umgang mit diesen Herausforderungen und skizziert geeignete Lösungen sowie Ansätze und Entwicklungen aus der aktuellen Forschung. Der Fokus liegt hierbei auf den Besonderheiten im IIoT-Umfeld.

Das industrielle Internet der Dinge (IIoT) bietet eine Vielzahl an Chancen in verschiedensten Branchen und Anwendungsbereichen, etwa in der Produktion, der Logistik, der Energieversorgung, im Gesundheitswesen oder im Agrarsektor. Die Grundlage hierbei sind sogenannte smart objects (z. B. Geräte, Maschinenbauteile, Produkte), die miteinander kommunizieren und ggf. eigenständig, bestimmte Aktionen durchführen. Hierbei ist erforderlich, dass jedes Objekt eindeutig identifizierbar ist, z. B. durch eine URL, und dass jedes Objekt jederzeit angesprochen und mit anderen angebundenen Geräten sowie Datenanalyse- und -auswertesystemen kommunizieren kann. Die Zahl an intelligenten Objekten steigt stetig an. Z. B. prognostiziert das US-Marktforschungsunternehmen Gartner, dass bis zum Jahr 2020 über 20 Milliarden Geräte mit dem Internet verbunden sind [1]. Mit dem Internet Protokoll v6 (IPv6) steht hierfür auch ein ausreichend großer Adressierungsbereich für die stetig wachsensende Zahl an intelligenten Objekten und Sensoren zur Verfügung. Mit Unterstützung von IIoT können z. B. in der Produktion die erforderlichen Wartungsarbeiten (predictive maintenance) oder die Prozesse an sich ändernde Randbedingungen bedarfsgerecht und flexibel angepasst werden. Dies ermöglicht eine Steigerung der betrieblichen Effektivität und kann somit zu Einsparungen bei den Produktionskosten führen. Ähnliche Anwendungen zur Prozessoptimierung werden auch in den anderen genannten Anwendungsbereichen verfolgt.

Das IIoT ist die industrielle Variante des Internet der Dinge (IoT). Beim eher an Privatanwender gerichteten IoT stehen allerdings Services für den Verbraucher im Mittelpunkt, wie z. B. Smart Home und Smart Wearables. Im Vergleich zum IoT können die Auswirkungen eines Angriffs auf ein industrielles IoT-System gravierend sein. Es kann z. B. zu Produktionsstillständen oder materiellen Schäden an Anlagen führen.

Für beide Varianten, IoT und IIoT, sind die Heterogenität (bzgl. Hard- und Software) der vernetzten Systeme aufgrund der Vielzahl verschiedenster Geräte, der hohe Verteilungsgrad sowie der Umfang und die Dynamik der Vernetzung zentrale Merkmale. Dies führt unter anderem hinsichtlich der Sicherheit solcher Systeme zu neuen Herausforderungen. Dies gilt ebenso für die eigentlichen IIoT-Funktionalitäten als auch für die eingesetzten Sicherheitstechniken und -konzepte. Da zusätzlich die Kommunikation aufgrund der Komplexität im IIoT nicht nur mit einem einzigen Protokoll durchgeführt werden kann, ist auch hier die Interoperabilität von großer Bedeutung. 

Identitäten von Systemen und Komponenten

Für die Sicherheit im IIoT sind vertrauenswürdige Identitäten der beteiligten Komponenten von ganz zentraler Bedeutung. Ohne diese vertrauenswürdigen Identitäten ist ein sicheres Gesamtsystem nur schwer oder nicht zu realisieren.

Viele Verfahren zur Absicherung menschlicher Identitäten können für Systemidentitäten nicht oder nur eingeschränkt sinnvoll verwendet werden. Hierzu zählen z. B. Biometrie und Chipkarten und auch Passwörter. Stattdessen empfiehlt es sich, für nicht-menschliche Identitäten z. B. auf zertifikatsbasierte Verfahren [2] zurückzugreifen. Zertifikate basieren auf der sogenannten asymmetrischen Kryptografie [3] mit getrennten Schlüsseln für die Ver- und Entschlüsselung. Dies erlaubt auch die Absicherung von Systemidentitäten, beispielsweise durch digitale Signaturen. Die Technik ist auf Seiten der IIoT-Systeme bereits auf sehr preiswerten Micro-Controllern einsetzbar und somit auch für eine breite Hardware-Abdeckung geeignet.

Generell wäre für das IIoT eine klassische, zertifikatsbasierte Lösung geeignet. Ein Beispiel hierfür ist eine Public Key Infrastructure (PKI) [2], welche die Überprüfung aller Identitäten erlaubt, sofern diese entsprechend über die PKI registriert, mit Zertifikaten ausgestattet und verwaltet werden. Standardverfahren wie eine PKI sind für das IIoT jedoch oft nur eingeschränkt geeignet, da sie häufig zu aufwändig für die Vielzahl der beteiligten Geräte sind. Zudem sind diese Verfahren oft nicht ausreichend flexibel für Systeme mit großer Dynamik in Hinblick auf wechselnde oder hinzukommende Komponenten. 

Ein einfaches, leicht nachvollziehbares Anwendungsbeispiel aus dem Agrarbereich ist die optimale, automatisierte Wasserversorgung von Pflanzen anhand von Feuchtigkeitssensoren im Boden. Es wird eine Vielzahl an Sensoren eingesetzt, die über einen Funkstandard mit einem Knotenpunkt kommunizieren, ab dem die Daten dann über ein Rechnernetz übertragen werden. Die Steuerung soll auf Basis der Daten der tatsächlichen, also echten Sensoren erfolgen. Die Steuerung des Bewässerungssystems soll nur vom vorgesehenen System aus erfolgen können. Es soll also nicht möglich sein, dass ein Angreifer Sensoren entfernt und dafür eigene, falsche Daten sendet und somit Einfluss auf die Steuerung der Bewässerungsanlage nimmt. In einem solchen Szenario sind leichtgewichtigere Identitätsmanagementansätze besser geeignet, die eine gute, mit deutlich geringerem Aufwand verbundene Skalierbarkeit auf große Systeme sowie genügend Flexibilität für dynamische Systeme aufweisen.

Die derzeit im Rahmen des EU Forschungsprojekts LIGHTest [4] entwickelte leichtgewichtige globale Vertrauensinfrastruktur nutzt die bestehende Infra- und Organisationsstruktur des Domain Name System (DNS) des Internets. Hierbei wird insbesondere auf die Erweiterungen um Sicherheitsmechanismen im DNS (Domain Name System Security Extensions, DNSSEC) [5] zurückgegriffen. Diese ermöglichen eine Verifizierung der Authentizität und Integrität der DNS-Daten (Ressource Records). Hierfür wird für jede DNS Zone ein Zonenschlüsselpaar generiert und die dazugehörigen Ressource Records mit dem privaten Schlüssel digital signiert. Ausgehend von einem globalen Root-Schlüssel werden zusätzlich jeweils Level für Level die Schlüssel der darunterliegenden Domains signiert. Somit existiert eine Vertrauenskette zur Verifizierung der Authentizität und Integrität der angefragten DNS Ressource Records. Des Weiteren muss sichergestellt sein, dass die Kommunikation über den richtigen DNS Server stattfindet, d. h. es ist eine Authentifizierung des Servers erforderlich. Beim verschlüsselten Transport über das TLS-Protokoll identifiziert sich der Server über ein Zertifikat. Hierfür gibt es für das DNS ein geeignetes Protokoll namens DNS-based Authentication of Named Entities (DANE) [6], das dem Server-Betreiber ermöglicht, Informationen über die in DNS verwendeten Zertifikate zu veröffentlichen. Die DNS Erweiterungen DNSSEC und DANE bieten zusammen mit dem weltweit verfügbaren und akzeptierten zentralen Wurzelzertifikat (Vertrauensanker) die Möglichkeit, in einer hierarchischen Struktur auch eigene DNS-Server zu betreiben, deren Identität dann über die gegebene, durchgängige Zertifikatskette bis hin zum Wurzelzertifikat abgesichert ist. LIGHTest schafft damit unter anderem die Möglichkeit, über einen solchen Server mit abgesicherter Identität beliebige Informationen zu publizieren. Es ist also beispielsweise möglich, dass ein Hersteller von Sensoren diese mit einem Zertifikat ausstattet und automatisch das zur Identitätsprüfung notwendige öffentliche Zertifikat über seinen eigenen LIGHTest Server veröffentlicht. LIGHTest bietet zudem die Möglichkeit, Vertrauensregeln per eigener Policy aufzustellen. Mithilfe der Policy können im Prinzip für jedes IIoT-Objekt bzw. für jede Gruppe von IIoT-Objekten spezifische Regeln hinsichtlich der Vertrauenswürdigkeit von Identitäten erstellt werden. Damit ist eine Differenzierung möglich hinsichtlich des Vertraulichkeitsniveaus des IIoT-Objekts sowie der Randbedingungen vor Ort (z. B. abgesichertes Netzwerk, Funkverbindung).

Bild 1: Prinzipskizze des Identitätsmanagementsystems mit DNS.

Ein einfaches Beispiel in diesem Zusammenhang ist die Vertrauensregel „Sensoren, die vom Hersteller nicht bestätigt werden, sind nicht vertrauenswürdig“. Wird ein höherer Sicherheitsstatus benötigt, könnte z. B. ein eigener Server nur die Identitäten der Sensoren bestätigen, die tatsächlich im eigenen Besitz sind. Auch wesentlich komplexere Regelwerke sind möglich.

In Bild 1 ist das leichtgewichtige Identitätsmanagementsystem mit DNS exemplarisch dargestellt. Die zentralen Komponenten sind der Identitätsmanager, der als Kontrollinstrument für den Identitätsnachweis fungiert, ein zentraler DNS Server mit Sicherheitserweiterungen sowie ein Policy-Dokument, das die Vertrauensregeln enthält. 

Zum Weiterlesen klicken Sie hier