Industrial Internet of Things

Neue Möglichkeiten, die Smart Factory zu sichern

| Autor / Redakteur: Hubertus Grobbel / Nico Litzel

Spezielle Firmware und Secure Element können einen Flash-Speicher in eine vielseitige Komponente für Sicherheitslösungen zum Beispiel in IIoT verwandeln.
Spezielle Firmware und Secure Element können einen Flash-Speicher in eine vielseitige Komponente für Sicherheitslösungen zum Beispiel in IIoT verwandeln. (Bild: Swissbit)

In der Smart Factory der Zukunft sind Sensoren, Aktoren und Systeme vernetzt und kommunizieren miteinander. Aber: Wie können Daten und Kommunikation im Industrial Internet of Things (IIoT) vor Spionage und Sabotage geschützt werden? Vom Flash-Memory-Spezialist Swissbit kommt jetzt eine Lösung: SD-Karten mit integriertem sicheren Element zur Identifizierung von Systemen.

Intelligente Produktionsanlagen, die sich automatisch auf neue Produkte oder Ereignisse einstellen und komfortable Fernwartungs- und Fernsteuerungsfunktionen bieten, sollen die industrielle Produktion der Zukunft – Stichwort Industrie 4.0 – bei Qualität, Effizienz und Flexibilität auf ein völlig neues Level heben. Aber: Die Vernetzung von industriellen Anlagen, die selbstständige Kommunikation zwischen „Dingen“ birgt auch neue Risiken. Was ist, wenn Hacker oder manipulierte Systeme die Kontrolle über Roboter oder industrielle Anlangen erlangen? Anders gefragt: Woher weiß ein „Ding“, dass die empfangenen Daten oder Datenabfragen von einem anderen „Ding“ korrekt sind und diese Systemkomponente überhaupt die ist, die sie vorgibt zu sein?

Vier Schritte zur Sicherheit: Identifikation, Authentisierung, Authentifizierung, Autorisierung

Um diese Herausforderung des IIoT zu lösen, hilft der Rückgriff auf moderne Sicherheitskonzepte in der klassischen IT mit der Kommunikation zwischen menschlichen Nutzern. Diese Konzepte fordern Identifizierung, Authentisierung, Authentifizierung und Autorisierung. Bei der Authentisierung meldet sich ein Nutzer an und gibt seine Identität bekannt. Er behauptet also, ein bestimmter Nutzer zu sein. Der nächste Schritt ist die Authentifizierung, also die Überprüfung seiner behaupteten Identität. Hierzu muss der Nutzer sich ausweisen – durch ein Geheimnis wie Password/PIN und/oder einen weiteren Faktor wie ein Hardware-Identifizierungsobjekt. Diese Identifizierungsobjekte können Token, Smart Cards oder Ähnliches sein. Bei sicherheitskritischen Anwendungen ist eine sogenannte Zweifaktor-Authentisierung erforderlich – also beispielsweise Password/PIN und ein nicht kopierbares Identifizierungsobjekt. Ist der Nutzer erfolgreich authentifiziert, bekommt er Zugriffs- und Nutzungsrechte – in dem Umfang, in dem diese ihm zuvor eingeräumt wurden (Autorisierung).

Probleme in der Praxis

Reine Security-Softwarelösungen für sicherheitstechnisch relevante Einrichtungen – und Produktionslinien und Industrieanlagen sollten generell in dieser Kategorie gesehen werden – bieten aufgrund der leichten Kopier- und Manipulierbarkeit keinen ausreichenden Schutz. Über das Internet kommunizierende Systeme oder deren Gateways im IIoT müssen einerseits eine nicht klonbare Identität aufweisen und andererseits in der Lage sein, Daten kryptografisch stark gesichert zu senden und zu empfangen. Ein solcher Schutz erfordert immer eine in Hardware implementierte Lösung, die man auch als Sicherheitsanker bezeichnet.

Es gibt generell verschiedene Ansätze, einen solchen Sicherheitsanker für die jeweilige Applikation zu wählen: Der Einbau von SIM-Karten (ähnlich wie bei Mobiltelefonen), das Auflöten von identifizierbaren Hardwarekomponenten (Trusted Platform Module – TPM) in die Baugruppen oder der Einsatz von Prozessoren, die über integrierte Elemente eindeutig identifizierbar sind (Trusted Execution Environment – TEE).

Alle diese Ansätze bieten verschieden hohe Sicherheitslevel mit Vor- und Nachteilen. Es ergeben sich im praktischen Einsatz Einschränkungen, die abgewogen werden müssen. Die genannten Lösungen haben gemeinsam, dass sie, obwohl sie die Sicherheit heben, die Flexibilität des Lösungsanbieters einschränken. So werden die Anlagenhersteller bei den Entwicklungen technologisch an bestimmte Hersteller, Baugruppen und/oder Prozessoren oder einen Vertriebskanal gebunden.

Flash-Speicher mit „TPM“ als Lösung

Jetzt bietet das Schweizer Unternehmen Swissbit, eines der führenden Spezialisten für Flash Memory-Lösungen und industrietaugliche Speichermedien, eine neue Lösung: Industrietaugliche Flash-Memory-Karten, in denen ein Secure Element als Identifizierungsmerkmal verbaut ist, das die Funktion eines Trusted Platform Module (TPM) übernimmt. Diese Lösung birgt für Entwickler von IIoT-Komponenten und -Lösungen sehr weitreichende Vorteile und kann neben Sicherheitsanforderungen noch andere Funktionen erfüllen.

Die Vorteile beginnen schon bei der Integration. Diese ist für Entwickler extrem einfach, weil die Memory-Schnittstellen standardisiert sind, Middleware für die Integration der TPM-Abfragen mitgeliefert wird und Swissbit Flash Memories mit TPM-Funktion in verschiedenen Formfaktoren als SD-Karten, MicroSD-Karten oder USB-Sticks entwickelt, produziert und anbietet. Basis sind Flash-Memory-Module, die bereits seit Jahren für den Industrieeinsatz spezifiziert sind, beispielsweise durch ein im Vergleich zu Consumer/Commodity-Karten deutlich erweiterten Temperaturbereich und eine deutlich längere Lebensdauer und Verfügbarkeit.

Die Idee von Swissbit, das Identifizierungsmerkmal mit einem Standarddatenspeicher zu kombinieren, hat auch deshalb Charme, weil die meisten Komponenten und Systeme im IIoT sowieso Speicher benötigen – für Betriebssysteme oder Daten. Die sicheren Swissbit-Speicherkarten – die übrigens in großem Umfang und verschiedensten Formfaktoren in abhörsicheren Mobiltelefonen oder Polizei-Body-Cams im Einsatz sind – bestehen im Wesentlichen aus einem Flashspeicher-Chip, einer Smart Card und einem Controller. Dessen spezielle Firmware mit einem integrierten AES-Enkryptor ermöglicht weitere Anwendungsszenarien. Weil als Sicherheitsanker von Swissbit ein Krypto-Element genutzt wird, kann nicht nur die Kommunikation abgesichert, sondern es können auch Daten hochsicher verschlüsselt werden. So lassen sich Trusted Boot Konzepte realisieren, Lizenzen sichern oder der Flash-Memory mit Enkryptor kann dazu genutzt werden, weitere Datenspeicher (zum Beispiel klassische Festplatten) im System zu verschlüsseln.

Legacy-Anlagen nachrüsten?

Eine Herausforderung beim Aufbau von sicheren IIoTs: Ältere Systeme und Komponenten, die bisher nicht ausreichend geschützt waren. Verfügen diese über USB- oder SD-Schnittstellen, so können diese Legacy-Systeme jetzt einfach mit fälschungssicheren Identitäten ausgerüstet und nachträglich in das Sicherheitskonzept integriert werden. Nachrüstung bleibt übrigens ein Thema, denn die Lebenszyklen von Sicherheitslösungen und industriellen Speicherkarten sind erstaunlich ähnlich. Genauso wie sich eine Speicherkarte im Betrieb abnutzt, sind auch Sicherheitsalgorithmen irgendwann veraltet. So ändern sich beispielsweise stetig die Anforderungen an Schlüssellängen und Algorithmen durch immer ausgefeiltere Angriffe. Die Kombination von Speicher und Sicherheit ist durch die leichte Austauschbarkeit eine ideale Kombination.

Hubertus Grobbel ist Leiter des Geschäftsbereichs Security Products bei der Swissbit AG.
Hubertus Grobbel ist Leiter des Geschäftsbereichs Security Products bei der Swissbit AG. (Bild: Christoph Vohler)

Mobile Bedieneinheiten sichern

In den Konzepten für die Smart Factory der Zukunft sollen Anlagen vom Bedienpersonal nicht mehr über spezifische Bedienelemente und Bildschirme an den Anlagen, sondern durch mobile Devices wie Tablets gesteuert, überwacht und gewartet werden. Steter Bedarf an Mobilisierung und Kostenreduktion verlagert die Kontrolle letztlich auch in die Mobiltelefone und damit in wenig vertrauenswürdige Umgebungen außerhalb einer physisch geschützten Anlage. Doch wie sieht es dann mit der Sicherheit beim Zugriff aus der Ferne aus? Mit der Lösung von Swissbit ist die Absicherung von handelsüblichen Tablets und hochsicherer Nutzerauthentisierung per sicherer microSD Karte kein Thema mehr: Der jeweilige Nutzer meldet sich an und die PIN schaltet das Authentisierungsgeheimnis innerhalb des Secure Elements frei, ohne dass es jemals kopiert werden kann. Auch am PC – beispielsweise über einen USB-Stick – ist dies problemlos möglich. Jederzeit können Nutzer daher hochsicher mit den definierten notwendigen Rechten auf die Anlagen zugreifen.

Fazit

Wer mit Recht in klassischen IT-Netzen und Internet sichere Verfahren wie Verschlüsselung und 2-Faktor-Authentisierung fordert, darf sich im IIoT nicht mit weniger zufriedengeben. Wenn Maschinen, Roboter und ganze Industrieanlagen weitgehend autonom auf Basis von Sensordaten arbeiten und „Entscheidungen treffen“, muss sichergestellt sein, dass sie diese Daten nur dann verarbeiten oder bereitstellen, wenn die datenübertragenden Systeme eindeutig authentifiziert sind. Hierzu müssen diese Systeme mit fälschungssicheren Identitäten ausgerüstet werden. Über die Flash-Memory-Lösungen mit Krypto-Chips als TPM können diese Identitäten verliehen werden. Zugleich ist diese Lösung hochflexibel, nachrüstbar und kann mit anderen Funktionalitäten wie Verschlüsselung kombiniert werden. Die Anwendungsmöglichkeiten sind vielfältig und erschließen sich prinzipiell in allen Bereichen, in denen heute schon die Industrie-Flash-Speicher von Swissbit im Einsatz sind. In medizinischen Geräten kann der Schutz der Patientendaten verbessert werden, beim Metering Manipulation verhindert werden. Vom Tracking in der Logistik bis zum Schutz industrieller Terminals vor Fremdeingriffen können ohne großen Aufwand sichere Prozesse eingeführt werden.

Dieser Artikel stammt von unserem Partnerportal MM Logistik. Verantwortlicher Redakteur: Benedikt Hofmann

* Hubertus Grobbel ist Leiter des Geschäftsbereichs Security Products bei der Swissbit AG

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44421112 / Halbleiterspeicher)