Sichere Kommunikation in kleinen Systemen mit geringer Teilnehmerzahl
21.11.2013 -
Die datentechnische Sicherheit von M2M-Kommunikationswegen spielt bei Industrie 4.0 eine bedeutende Rolle. Geschäftsmodelle mit sehr hoher Teilnehmerzahl können dafür eigene Sicherheitsarchitekturen finanzieren. Eine neue Lösung ermöglicht jetzt einen ähnlich sicheren Weg für kleine Systeme mit wenigen Teilnehmern.
„Diese Entwicklung wird kommen, allerdings nur schrittweise und in Verbindung mit bestimmten Applikationen ....", so lautet das Ergebnis vieler Diskussionen der vergangenen Monate zum Thema Industrie 4.0. Gleichzeitig wurde auch die Frage nach der Informationssicherheit der verwendeten Kommunikationswege und Speicher gestellt. Denn es wird zunehmend von Sicherheitsproblemen bei Steuerungen berichtet, die über offene Zugänge ans Internet angebunden sind und über diese Lücke aus der Ferne manipuliert werden konnten. Hierfür bietet der für http-Verbindungen festgelegte, meist offene TCP/IP Port 80 gute Gelegenheit. Derartige Vorfälle sind nicht neu, werden jetzt aber von der Öffentlichkeit intensiver wahrgenommen. Andererseits gibt es seit einigen Jahren zuverlässige M2M-Lösungen unter Nutzung von Diensten der Mobilfunkbetreiber. Hier ist eine kritische Hinterfragung angebracht, warum es zu derartigen Unterschieden kommt und mit welchen Mitteln Verbesserungen erreicht werden können.
Etablierte Sicherheitslösungen
In den vergangenen Jahren sind Kommunikationstechnologien und -systeme entwickelt worden, die die ihnen zugedachten Applikationen erfolgreich und mit ausreichender Sicherheit lösen. Das schließt jedoch nicht aus, dass für andere Einsatzbereiche entsprechende Lösungen noch fehlen, insbesondere hinsichtlich skalierbarer Teilnehmerzahl und günstigen Einstiegs- und Betriebskosten.
VPN-Verbindung: Die Fernwartung ist seit Jahren eine bewährte Methode, um mit weltweit installierten Maschinen und Anlagen vorbeugend oder in aktuellen Bedarfsfällen ohne Reiseaufwand Verbindung aufzunehmen. Genutzt wird hierzu ein über Verschlüsselung (meist SSL) gesicherter VPN-Tunnel, der in der Regel als Punkt-zu-Punkt-Verbindung zwischen zwei Teilnehmern aufgebaut wird. Dadurch wird - bildlich gesprochen - die Ethernetleitung einer Anlagen-Steuerung über Mobilfunk- und Internetstrecken bis zum Wartungstechniker im Servicecenter verlängert. Als Geräte benötigt man einen VPN-Server im Bereich der Steuerung und einem VPN-Client, der auf dem PC des Wartungstechnikers als Software installiert ist. Über welche und wie viele physikalische Netzwerke diese Verbindung tatsächlich läuft, ist irrelevant. Das zu Grunde liegende Geschäftsmodell ist also durch eine Punkt-zu-Punkt-Verbindung charakterisiert, deren Sicherheit durch die verwendete Verschlüsselung bestimmt wird.
M2M-Datentransfer über Mobilfunk: Die Datenweiterleitung von Maschinen und Anlagen über Mobilfunk zu zentralen Portalen und von dort über das Internet zu einem Empfänger werden ebenfalls seit Jahren erfolgreich eingesetzt, vorwiegend von großen Unternehmen mit einheitlichen Anwendungen und sehr vielen Teilnehmern. Dafür bieten überregional präsente Mobilfunknetz-Betreiber entsprechende Dienste an: Eine Anzahl verteilt installierter Maschinen, Fahrzeuge, Automaten u.ä. als Datenendpunkte (DEP) sind mit SIM-Karten ausgerüstet und senden Daten über Mobilfunk an einen zentralen Datenintegrationspunkt (DIP). Ein bekanntes Beispiel ist Toll Collect, wo die ermittelten Daten der Fahrzeuge per Mobilfunk an eine Zentrale weitergeleitet werden. Für Anwendungen mit wenigen Teilnehmern wie beispielsweise in der Automatisierungstechnik kam eine derartige Lösung aus Kostengründen bisher kaum in Betracht.
Was für die IT-Sicherheit wichtig ist
Noch immer werden Automatisierungssysteme geplant und umgesetzt, ohne dabei die Belange der IT-Sicherheit ausreichend zu berücksichtigen. Das betrifft sowohl die Auswahl der Komponenten als auch deren Integration in die Systeme. Ein Beispiel soll das verdeutlichen: Eine Zimmertüre kann aus leichterem Material gefertigt werden als eine Haus- oder eine Tresortür, aber auch die massivste Tür ist gegenüber Einbrechern wirkungslos, wenn der zugehörige Türrahmen aus Presspappe besteht. Ein zweiter Aspekt einer sicherheitsgerichteten Planung ist die Bewertung, welche Faktoren für die Sicherheit einer bestimmten Lösung relevant sind, wie ein anderes Beispiel zeigt: Bei einer Reise mit dem Auto stellt ein Motorschaden ein eher geringes Sicherheitsrisiko für das Leben der Reisenden dar. Wird für die gleiche Reise jedoch ein einmotoriges Flugzeug gewählt, so bildet das gleiche Ereignis ein wesentlich höheres Sicherheitsrisiko. Die datentechnische Sicherheit von Systemen sollte daher immer unter Berücksichtigung des relevanten Geschäftsmodells und der darauf abgestimmten Geräte geplant werden. Ein Beispiel dafür ist Entwicklung und Einsatz des Funkmoduls DE 7000 aus der Dataeagle-Serie.
Sicherheitslösung für skalierbare Teilnehmerzahl
Wünsche aus der Praxis haben zur Entwicklung einer M2M-Lösung geführt, die sich durch unbegrenzt skalierbare Teilnehmerzahl und trotzdem wirkungsvolle Sicherheitsmechanismen auszeichnet. Das entsprechende Geschäftsmodell ist wie folgt charakterisiert: Informationen von einer bis zu vielen Datenquelle(n) wie Sensoren, Messgeräte oder Steuerungen sollen einem bis sehr vielen Empfänger(n) zugänglich gemacht werden. Dabei kann es sich um eine geschlossene Gruppe, zum Beispiel alle Mitarbeiter einer Wartungsabteilung oder eine offene Gruppe wie die Bewohner einer bestimmten Region handeln. Am Ort der Datenerfassung besteht keine Netzwerk-Infrastruktur oder der Zugang dazu ist seitens einer IT-Abteilung gesperrt. Beispiele sind Sensoren für Temperatur in der Landwirtschaft, für Pegelstände an Flüssen in Hochwassergebieten oder für Schneehöhen in Touristikregionen.
DE 7000 ist ein Gateway, das für die Realisierung des oben beschriebenen Anwendungsszenarios entwickelt wurde. Es empfängt kontinuierlich Daten von verschiedenen Quellen und sendet diese über Mobilfunk, DSL Ethernet oder WLAN an einen, im Gateway fest parametrierten, hochsicheren Cloud-Speicherplatz. Dort stehen die Daten den interessierten Nutzern zum Abruf durch baugleiche Gateways oder andere internetfähige Geräte bereit oder sie werden automatisch an einen definierten Empfängerkreis gesendet. Das Geschäftsmodell ist also durch eine von „eins" bis „sehr viele" skalierbare Teilnehmerzahl auf Sender- und Empfängerseite und Einbezug eines Cloud-Speichers in den Übertragungsweg gekennzeichnet. Mobilfunknetze werden nur zur Durchleitung an den Cloudspeicher genutzt. Die Ein- und Ausgänge des Gateways sind universell gestaltet: Neben analogen und digitalen Anschlüssen sind Verbindungen zu Profibus, Profinet, Modbus und CAN sowie zu unterlagerten Funknetzen oder Smartphones vorgesehen.
Sicherheitsarchitektur der DE 7000-Lösung
Als Cloud-Speicher nutzt DE 7000 den Amazon-Dienst Simple Storage Service (3S), der hohe Sicherheitsmechanismen bei Zugriffsrechten als auch Speichersicherheit bietet. Genutzt wird dafür ein minimaler Teil einer Serverfarm, die gegenüber möglichen Angriffsszenarien bestmöglich abgesichert ist. Ergänzend ist der Standort des tatsächlich genutzten Servers nach Kontinenten wählbar.
Die Verbindung zum Cloudspeicher kann nur vom Endgerät selbst ausgelöst werden und erfolgt über ein SSL-gesichertes Protokoll. Der Server erlaubt einen Verbindungsaufbau nur von einem ihm bekannten Gerät, das sich bei der Einwahl über komplexe Authentifizierungsverfahren legitimieren muss.
Der Cloudspeicher-Betreiber erlaubt diese Einwahlprozedur nur bei Nutzung einer von ihm bereitgestellten Software, die im anfragendem Gerät (hier DE 7000) fest implementiert ist (hier embedded Linux). Das leistet einen zusätzlichen Sicherheitsbeitrag.
Übertragen und gespeichert werden keine werthaltigen Informationen wie Dokumente, Datenserien oder Bilder, sondern nur sehr kurzlebige, ständig aktualisierte 32bit-Werte. Diese repräsentieren zum Beispiel einen Zählerstand, eine Temperatur oder ein Prozessabbild. Dazu werden noch ein Zeitstempel sowie Statusinformationen als Binärdatei, gegebenenfalls noch zusätzlich verschlüsselt, abgelegt. Im Gegensatz zu einer kompletten Dokument- oder Bilddatei stellen diese ständig wechselnden Datengruppen an sich keinen Wert dar: Sie liefern keine Informationen, um welche Werte es sich handelt oder wer der Datenlieferant ist. Eine derartige Binärdatei ist für Außenstehende oder Datenschnüffler ohne Wert. Für den oder die authentifizierten Empfänger dagegen bietet die Binärdatei eine konkrete Information.
Sollte sich der gewählte Cloud-Dienst unerwartet als unsicher erweisen, ist eine Umparametrierung bereits installierter Geräte auf einen alternativen Cloud-Dienst über einen Remote-Zugriff vorgesehen. Ein direkter externer Zugriff auf die SPS ist physikalisch nicht möglich. Der Anwender definiert welche Werte nach außen gehen und welche Werte gegebenenfalls geändert werden dürfen.
Im Unterschied zur Finanzierung eigener Server beziehungsweise Nutzung kompletter Mobilfunk-Dienste sind die anteiligen Speicher- und Durchleitungskosten der DE 7000-Lösung gering: Das Senden eines Datenpaketes im Minutentakt mit Speicherung in S 3 verursacht Kosten von weniger als 10 Euro pro Monat.
Kontakt
Schildknecht AG
Haugweg 26
71711 Murr
+49 7144 89718 0
+49 7144 89718 29