Sicherheitsbetrachtungen für die Industrielle Kommunikation 4.0
Security-Standards mit internationaler Akzeptanz werden gebraucht
Das zunehmende Kommunikationsaufkommen im Industrie-4.0-Umfeld insbesondere durch die Einbeziehung der Cyber-Physical-Systems (CPS) verlangt nach Beachtung und Behandlung von Security-Aspekten, um hinreichende Robustheit und Angriffssicherheit zu gewährleisten. Der Beitrag zeigt konkrete Ansätze auf, um die Diskussion in Richtung Standardisierung zu unterstützen.
Diese CPS sind vor allem „Embedded Systems“: intelligente digitale und kommunizierende Systeme, die Hardware überwachen oder steuern und damit in der realen Welt eine Wirkung entfalten und letztlich Ressourcen verbrauchen. Das mag ein Laserdrucker sein, der Papier bedruckt und dabei Toner verbraucht oder eine Pumpe, die eine Flüssigkeit transportiert. In der realen Welt werden stoffliche Materialien bewegt oder umgewandelt, was neben dem Rohstoff auch Zeit und meist Energie konsumiert. Die Wirkung entfaltet sich dabei nicht nur auf die Rohstoffe, sondern auch auf die produzierende Maschine selbst (beispielsweise durch Erhitzung oder Bewegung), auf Menschen oder auf die Umwelt. Damit stellt sich die Situation anders dar als in reinen Cyber-Systemen, also der IT, wo lediglich Daten transportiert und transformiert werden.
CPS – eine Begriffsdefinition
Es ist gar nicht so einfach, was ein CPS umfasst. Es kann ein „smarter“ Feld-Aktor sein, eine ganze Industrieanlage wie auch jede mehr oder weniger große bzw. komplexe Komponente dieser. Der Untersuchungsgegenstand liegt im wahrsten Sinne im Auge des Betrachters. In jedem Fall wollen wir unterstellen, dass dem CPS eine programmierte Logik innewohnt, d.h. es wurden Algorithmen implementiert, die üblicherweise auch ausgetauscht werden können. Wir unterstellen ferner, dass ein CPS über das TCP/IP-Protokoll kommuniziert, egal ob drahtgebunden oder drahtlos, ob über Ethernet, NFC, Bluetooth oder sonst ein Basisprotokoll. Da TCP/IP routbar ist, liegt kein Sinn in einer Klassifizierung von CPS nach der Reichweite ihrer Kommunikation: jedes Bluetooth-kommunizierende Gerät kann durch Anbindung an einen Router leicht weltweite Vernetzung erlangen. Wir unterstellen den CPS weiterhin eine gewisse Autonomie: sie sind nicht reine Peripheriegeräte eines einzelnen „Masters“. Diese Situation birgt eine gewisse Gefahr, weil dann auch unbefugte Kommunikationspartner (Schadcode) das CPS veranlassen können, eine Ressourcen-verbrauchende und möglicherweise schädliche Wirkung zu entfalten.
CPS müssen nicht kommunizieren, sie können offline betrieben werden. Für unsere Definition ist entscheidend, dass sie es können. Ferner kann ein CPS eine ortsfeste Installation sein oder aber eine mobile. Letzteres unterstellt eine drahtlose Kommunikation und der „Äther“ gehört auf jeden Fall zu den „Shared Media“, will sagen: ist auch für Unbefugte nutzbar.
Der Versuch, aus dem Umfang der benutzten Geräte die zu identifizieren oder zu definieren, die als CPS eingestuft werden, ist meist unterhaltsam. Gehören Displays dazu und wenn ja, dann auch Verkehrsampeln? Wie ist es mit dem Telefon, der Computer-Tastatur oder der Maus? Mit den Sensoren, die in der realen Welt Zustände erfassen und in der digitalen Kommunikation zugänglich machen, haben auch die letztgenannten einen gewissen Anspruch auf den CPS-Titel.
Wen kümmert’s?
Wenn viele Kommunikationspartner dasselbe Medium benutzen oder sich durch Routing gegenseitig ansprechen können, stellt sich naturgemäß die Frage, ob Dritte (Schadcode) die Kommunikation belauschen oder in sie eingreifen. Oder ob ohne Befugnis Informationen abgerufen oder Befehle gegeben werden. Wenn über unsichere Netze kommuniziert wird, muss die Security immanent in die Ende-zu-Ende-Kommunikation eingebaut sein, sonst fließt geistiges Eigentum ab oder der Datenfluss divergiert vom Warenfluss, den er beschreibt oder die Betriebssicherheit eines CPS wird kompromittiert. Was möglich ist, geschieht früher oder später durch das Aufkommen eines Schadcodes, wenn nicht die Angriffssicherheit des CPS für den entsprechenden Eigenschutz sorgt. Ein ganz wesentliches Mittel hierzu ist die Überprüfung der Identität eines Kommunikationspartners.
Dazu reicht nicht die schlichte Wiedererkennung oder das gute alte Password. Die Identität könnte vorgetäuscht oder gestohlen sein, das Password aus einem Schlüssel zurückgerechnet sein oder der Angreifer zwischen zwei Kommunikationspartnern die übertragenen Daten manipulieren. Hardware-gebundene Identitäten sind erforderlich und kryptographische Verfahren. Gut, dass es diese gibt, schlecht, dass sie zu selten zur Anwendung kommen. Die Gründe sind vielfältig. Einen wollen wir etwas genauer beleuchten: Meist bezieht sich die Diskussion um CPS auf relativ kleine und oft sogar mobile Geräte. Meist ist ein gewisses Maß an Echtzeitfähigkeit unterstellt, auf jeden Fall sollen sie einfach in der Handhabung, möglichst klein und leicht und vor allem preisgünstig sein. Mit den kryptographischen und weiteren Anforderungen wie Antivirus-an-Bord steigt der Bedarf an CPU-Power und eingebautem Speicher. Wird dann noch Intelligenz wie die Integrationsfähigkeit in ein Active Directory gewünscht, ein zweiter LAN-Port zum Anschluss an ein eigenes Administrationsnetz und die Durchsetzung von Benutzer-Berechtigungsverfahren mit komplexen Passwörtern, dann steigen nicht nur die Produktionskosten, sondern auch die Hersteller-Aufwände für Entwicklung und Tests.
Dagegen nimmt die Leistungsfähigkeit des CPS eher ab und vermutlich auch die Absatzzahlen, denn der Anwendermarkt ist meist nicht hinreichend willig, für sicherheitserhöhende Eigenschaften in gleichem Maße zu bezahlen wie für die funktionalen. Vor allem vor dem Hintergrund der Komplexität wäre es wünschenswert, wenn sich die Hersteller von CPS auf je ein einziges Verfahren zur Verschlüsselung, Identifizierung, Authentifizierung etc. festlegten, damit CPS sich nicht auf ihre Kommunikationspartner dynamisch einstellen müssen, was auch wertvolle Zeit verschlingt, weil der Konfigurationsvorgang zu komplex wird.
Architektur sorgt für Stabilität und Robustheit
Nicht neu ist der Ansatz, ein gewisses Maß an Security dadurch zu gewährleisten, dass die teils wenig eigensicheren CPS in eine Kommunikationsinfrastruktur eingebettet werden, die dem unbefugten Datenverkehr erhebliche Hindernisse entgegensetzt, die wir der Einfachheit halber unter dem Begriff „Firewalls“ subsummieren, wenn auch die technischen Feinheiten vielfältig sein können. Das geht in puncto Sicherheit auf jeden Fall über das Konzept der Automatisierungspyramide hinaus, die durch die Norm ISA95 weitreichende Bekanntheit erlangt hat. Die Automatisierungspyramide ordnet Systeme in Schichten ein, sagt aber nichts über Regelungen der Kommunikation zwischen den oder gar innerhalb der Schichten aus, die man als wenig eingeschränkt annehmen kann.
Für die CPS-basierte Automation wird meist angenommen, dass jede Komponente mit jeder kommunizieren kann und ein ungutes Gefühl beschleicht einen bei der Vorstellung, dass jeder Feldsensor seine Werte im Sekundentakt in das ERP-System einspeichert. Aber das ist eine unzulässige Überziehung der Aussage, die lediglich von der Möglichkeit der Kommunikation redet, untermauert durch die Annahme, dass alle Komponenten geeignete Protokolle und Mechanismen (Nutzdatenformate, Authentifizierung, Verschlüsselung) einsetzen, die sie untereinander kompatibel in der Kommunikation machen. Welche Komponente letztlich welche andere(n) ansprechen kann, wird durch die Infrastruktur auf das sinnvolle und sichere einzuschränken sein: es werden sozusagen „die Loipen gespurt“. Nach guter alter IT-Manier werden die Netzwerke baumartig gestaltet, wobei a priori nicht festlegbar ist, ob die Bäume nach unten (zum materiellen Prozess hin) oder nach oben (in die horizontale unternehmensübergreifende Vernetzung über das Internet) auffächern.
Die Semantik-Frage
Wie im echten Leben ist die technische Kommunikationsfähigkeit alleine nicht hinreichend. Die CPS als Kommunikationsteilnehmer müssen auch ein Verständnis im Sinne einer richtigen Interpretation des übertragenen Nutzinhaltes aufbringen. Die Hürde ist eher niedrig, wenn die Kommunikationspartner vom selben Hersteller stammen und aus derselben Epoche stammen. Es kann ungleich schwieriger werden, wenn die CPS ihren Datenverkehr verschiedenen Standards unterwerfen. Die Konsequenzen reichen von der Nicht-Funktion zur Fehlfunktion. Solange sich nicht ein herstellerunabhängiger und weltweiter offener Standard durchsetzt, bietet die bestehende Inkompatibilität eine Angriffsfläche für Schadcode. Ein semantisch scharfes Vokabular muss her, das auch noch zukunftsoffen für Erweiterungen ist und globale Akzeptanz findet.
Im Zweifel für die Anlage
Die Produktionsanlage muss produzieren. Der Weg kann aber nicht sein, unter Verzicht auf Security freizügige Kommunikation zu erlauben und Kommunikationspartner ohne hinreichenden Vertrauensstatus einzubeziehen. Um den Geschäftsprozess auch langfristig am Laufen zu halten, müssen solange funktionale Neuerungen außen vor bleiben, bis die Technologie ein notwendiges Maß an Robustheit im Sinne von geringen Angriffsflächen oder hohen Hindernissen ermöglicht. Ist das erreicht, werden neue Konzepte der horizontalen und vertikalen Integration des digitalisierten Wertschöpfungsprozesses nicht nur mehr Effizienz und höhere Produktionsraten im Ergebnis zeigen, sondern auch die erwarteten neuen Geschäftsmodelle. Spätestens hier bedeutet Security wirtschaftliches Überleben.