Gastbeitrag von Intel: Keine Revolution ohne Sicherheit


von Gerhard Lesch,
IoT Business Development Manager – Internet of Things Solutions Group Intel
Intel - Gerhard Lesch

Komponenten für Industrie 4.0 und das Internet der Dinge stellen hohe Ansprüche an Schutzmechanismen

Ob Industrie 4.0 oder Internet der Dinge, die berufliche und private Umgebung wird zunehmend vernetzt. Experten bemängeln dennoch die langsame Ausbreitung der neuen Technologie. Das liegt nicht zuletzt daran, dass zahlreiche Sicherheitsaspekte bislang kaum oder gar nicht geklärt sind. Die beste Lösung, um solche Bedenken auszuräumen, sind nahtlos integrierte Sicherheitsmaßnahmen. Im Idealfall solche, die schon während der Entwicklung der Komponenten geplant und eingebaut werden. Denn industrielle Komponenten sind Herr über sensible Daten und Funktionen. Wenn die Kontrolle darüber in die falschen Hände gerät, kann das schwerwiegende Schäden nach sich ziehen.

Vom Sensor bis zur Cloud absichern

Dabei genügt es nicht (mehr), die Daten lokal zu schützen. Ihren Wert entwickeln die Daten erst durch die Konsolidierung in zentralen Systemen. Das bedeutet, Sicherheit muss vom Sensor bis zur Cloud gewährleistet sein – in beide Richtungen. Für die Hersteller bedeutet das bereits bei neuen Geräten einen enormen Aufwand: Die vorher mehr oder weniger komplett als Insel aufgebauten Maschinen, Steuerungen und Produktionsanlagen gewinnen praktisch über Nacht eine weitere zu schützende Dimension. Während die Firmen Safety mittlerweile überall selbstverständlich im Griff haben, stellt Security neue Anforderungen. Wie aufwändig es ist, ein Gerät vom Moment des Einschaltens bis hin zu seinen High-Level Funktionen abzusichern, sieht man gut am Beispiel der mehrstufigen Schutzmaßnahmen, die Intel bei seinen Gateway-Lösungen für das Internet der Dinge nutzt. Zahlreiche, aufeinander aufbauende Sicherheitslevel sorgen für einen Root-of-Trust, bei dem sich höher liegende Layer auf die Integrität der jeweils tiefer liegenden Bereiche verlassen dürfen.

Jede tiefer liegende Schicht bestätigt die Korrektheit des darüber aufsetzenden Levels. Das Verfahren heißt in seiner Gesamtheit „Secure Chain of Trust“ und reicht vom Micro-Kernel im Prozessor bis zum Kernel des zu bootenden Betriebssystems. Die Ebene Null, das Basisniveau, wird direkt nach dem Einschalten aktiv. Ein Sicherheitscheck innerhalb der CPU überprüft die Hardware und sich selbst auf Unversehrtheit. Weil dieser Bereich die Wurzel aller weiteren Überprüfungen ist, wird seine Korrektheit besonders intensiv geprüft. Dieser „Stage 0“ genannte Bereich gilt als „Root of Trust“ – die sogenannte Wurzel des Vertrauens.

Abgestufte Sicherheitslevel


Die Sicherheitsstufe, die direkt nach dem Einschalten aktiv wird, liegt in einem gesicherten HW-Bereich auf dem Prozessor, entweder einer Intel® Quark oder Intel® Atom CPU. Diese Software ist auch dafür verantwortlich, darüber liegende Anwendungen (Stage 1) zu authentifizieren und die Ausführungskontrolle an diese Anwendungen zu übergeben. Stage 1 Anwendungen können ein spezielles Embedded RAM (eRAM) des Prozessors verwenden, wo auch der Authentisierungsprozess stattfindet.

Ob die Anwendung diejenige ist, die sie vorgibt zu sein, wird durch Signaturen überprüft. Dazu berechnet und speichert das System als erstes einen Hash-Wert der Anwendung oder jedes anderen Objekts, das sich später authentifizieren soll. Intel nutzt dazu den SHA-256 Algorithmus. In einem zweiten Schritt wird eine Signatur des Hash-Wertes mittels RSA-Verschlüsselung (RSA 2048, mit PKCS1-PSS Padding) und einem privaten Schlüssel angefertigt. Zur Authentifizierung entschlüsselt die CPU den Hash und vergleicht ihn mit dem gespeicherten Wert.

Danach wird die Kontrolle an das UEFI (Unified Extensible Firmware Interface) übergeben, den Bereich der die Peripherie des Systems kontrolliert. Das UEFI prüft zunächst, ob es verändert wurde und beruft sich dazu auf Daten, die im – bereits authentifizierten und integritätsgeprüften – Stage 0-Bereich liegen. Wenn die Checksumme korrekt ist und die internen Algorithmen einwandfreie Funktion melden, geht die Ausführungskontrolle eine Stufe höher an den Boot-Loader, in diesem Fall den Linux-typischen GRUB. Wenn ein Trusted Platform Module (TPM) im System eingebaut ist, so dient dieses nun für weitere Überprüfungen. TPM sind verschlüsselte, gehärtete und extrem sichere Module, in denen sicherheitsrelevante Informationen vor praktisch jedem unbefugten Zugriff und vor Manipulation geschützt sind.

Zahlreiche Schutzfunktionen im Betriebssystem

Der Boot-Loader initiiert nun das Betriebssystem. Intel verwendet bei zahlreichen seiner Systeme ein gehärtetes Linux von Wind River als Basis. Das Betriebssystem selbst hat zahlreiche Möglichkeiten, um sich selbst und darauf aufbauende Schichten zu schützen. So lassen sich Änderungen des Kernels komplett sperren oder nur von Quellen erlauben, die sich mit Zertifikaten ausweisen können. Remote-Management-Zugriffe über Netzschnittstellen können abgeschaltet oder nur gegen umfangreiche Prüfungen freigegeben werden. Und natürlich bietet das Betriebssystem nur Dienste an, die benötigt und explizit für diesen Einsatzfall gehärtet wurden.

Bis hierher ist das Gerät nur mit Diensten beschäftigt, die für die eigene Funktion notwendig sind. Weitere Anwendungen, die auf der Plattform laufen sollen, müssen über zusätzliche Mechanismen geschützt werden. Firewalls und Verschlüsselung sind ebenso denkbar wie Applikations-Whitelisting und ein Freeze-Mechanismus, der den Softwarestand immer auf den Ursprungszustand zurücksetzt. Whitelisting hat gegenüber dem häufig eingesetzten Blacklisting, bei dem versucht wird, bösartige Software zu erkennen, zahlreiche Vorteile. So sind deutlich weniger Updates der Liste und erheblich weniger Rechenleistung erforderlich. In einer eng kontrollierten und begrenzten Einsatzumgebung, wie sie im industriellen Bereich meistens anzutreffen ist, lässt sich Whitelisting durch die geringe Zahl von Anwendungen auch ohne großen administrativen Aufwand einsetzen. Um die installierte Software nur durch autorisierte Quellen zu ändern – beispielsweise bei notwendigen Updates – kann das Change Control eine weitere Sicherheitsebene einziehen.

Gateways für ältere Systeme

Die zahlreichen aufgelisteten Sicherheitsmechanismen sind natürlich nicht für jedes Element in einer Industrieumgebung verpflichtend. Es handelt sich um eine Auswahl an Maßnahmen, die aufeinander aufbauen, aber zum Teil auch eigenständig eingesetzt werden können, je nach Sicherheitsanspruch der spezifischen Anwendung. Sie soll nur zeigen, dass es mit Datenschutz und Datensicherheit im herkömmlichen Sinn nicht getan ist, sondern auch die Gerätesicherheit genauso wie der Schutz der Daten im Transit in das Gesamtkonzept einbezogen werden muss. Das gilt auch für Geräte, die bereits im Einsatz sind, in Zukunft Teil von Industrie 4.0 oder dem Internet der Dinge werden sollen und unter Umständen überhaupt keine Sicherheitselemente enthalten. Diese Geräte machen nach Schätzungen von IDC im Moment etwa 85 Prozent der verbauten Systeme aus.

Für diese Geräte sind allerdings Gateways wie die Intel® Gateways Solutions for IoT Software verfügbar, die nicht nur Sicherheitsmaßnahmen für Daten und Zugriffe in das System integrieren, sondern auch das Management vereinfachen. Die Idee dahinter ist, dass vorhandene Geräte ihre Daten an das Gateway liefern, wo sie konsolidiert werden. Von dort schickt das Gateway die Daten über gesicherte Verbindungen an die zentrale Sammelstelle wie eine ERP-Anwendung im Rechenzentrum oder direkt an einen Massenspeicher in der Cloud weiter. Der aktive Zugriff auf das Gateway ist streng reglementiert und abgesichert. Wer Zugriffsrechte besitzt, kann zahlreiche Auswertungen einsehen und die angeschlossenen Geräte im Rahmen ihrer Möglichkeiten auch steuern und beeinflussen. So wird die Sicherheitskette vom Sensor bis zur Cloud ohne Lücken geschlossen. Damit sollte kein Raum mehr für Sicherheitsbedenken bei Industrie 4.0 und dem Internet der Dinge bleiben.

Bookmark the Permalink.

Kommentare sind geschlossen.