IIoT: 5 Säulen der Sicherheit

„Public Key Infrastructure“ als die nötige wie etablierte Sicherheitstechnologie

[datensicherheit.de, 05.06.2019] Lösungen für „Smart Manufacturing“ und Industrie 4.0 würden 2019 weltweit rund 87 Milliarden US-Dollar Umsatz erwirtschaften, so das Hamburger Marktforschungshaus IoT Analytics in seiner Prognose. 2023 sollten es 310 Milliarden US-Dollar sein. Den Trend bedienten Bosch, GE, IBM, Siemens (mit MindSphere) oder PTC bereits. Auf ihren IIoT-Cloud-Plattformen (Industrial Internet of Things) liefen Apps, die Firmen als Service buchten. Allerdings schaffe die Vernetzung von Sensoren, Maschinen und Fahrzeugen unzählige Angriffsflächen für Cyber-Kriminelle. Mit der „Public Key Infrastructure“ (PKI) stehe die nötige wie etablierte Sicherheitstechnologie bereit – dennoch hielten sich Sicherheitsbedenken gegenüber dem IIoT. Diese Skepsis sei unbegründet, sagt Andreas Philipp, „Business Development Manager“ bei PrimeKey.

Ein Bedrohungsszenario

Cyber-Kriminelle schleusten ein „Device“ in eine IIoT-Infrastruktur ein. Das Gerät gebe vor, Teil des IIoT-Netzes zu sein. In diesem kommunizierten die Maschinen und Anlagen der Fertigungsstraße unverschlüsselt über ein WLAN. Über das eingeschleuste Gerät ließen sich Daten abgreifen, Apps und Firmware manipulieren oder die Produktion stören.

Andreas Philipp, Business Development Manager, Bild: Primekey

Andreas Philipp: Für den nötigen sicheren Datenaustausch stehen mit PKI, SEE und Code Signing passende Lösungen zur Verfügung

Dieses Gedankenspiel greife die reale Bedrohung auf. So habe das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) 2018 mehr als 190 „Advisories“ als Reaktion auf in ICSs (Industrial Control Systems) entdeckte Schwachstellen veröffentlicht. Daneben gefährde Produkt- und Markenpiraterie das Geschäft vieler Unternehmen. Die Vernetzung mache angreifbarer als zuvor, weshalb Sicherheitsbedenken gegenüber dem IIoT und IoT nachvollziehbar seien, so Philipp.
Laut einer Studie des Beratungshauses Bain & Company sähen rund 45 Prozent der Unternehmen in Sicherheitsbedenken den größten Hemmfaktor, wenn es um die Umsetzung von IoT-Projekten geht.

PKI erfüllt Sicherheitsbedarf der Industrie- und Fertigungsfirmen

Jede Applikation müsse letztendlich in einer vernetzen Umgebung sicher Daten austauschen, wofür mit einer „Public Key Infrastructure“ (PKI) die nötige Sicherheitstechnologie bereitstehe. Philipp: „Eine PKI erfüllt exakt den Sicherheitsbedarf von Industrie- und Fertigungsfirmen, denn sie schafft eine Vertrauensbasis in IoT- und Industrial-IoT-Umgebungen, die auf fünf Säulen basiert.“

1. Authentisierung und Authentifizierung von Nutzern, Geräten und Infrastrukturkomponenten (Gateways, Router etc.), Systemen (Daten) und Kontrollkomponenten (Befehlen)
   Dies stelle sicher, dass nur dazu befugte und vertrauenswürdige Kommunikationspartner Informationen austauschen. Das heißt laut Philipp, alle Beteiligten müssen sich im ersten Schritt gewissermaßen ausweisen (Authentisierung). Anschließend werde überprüft, ob es sich tatsächlich um den entsprechenden Kommunikationspartner handelt oder eine Instanz, die dies nur vorgibt (Authentifizierung).
2. Integrität
   Daten und Befehle dürften sich nicht ohne Weiteres austauschen oder manipulieren lassen.
3. Vertraulichkeit
   Sensible Informationen müssten vor dem Zugriff Unbefugter geschützt sein. Dies gelte für Daten, die übermittelt werden, wie auch für persistente Daten. Sensibel seien in diesem Zusammenhang unter anderem Daten zur Steuerung von Maschinen oder solche, die den Produktionsablauf beschreiben und verfahrensrelevant sind.
4. Systemsicherheit
   IoT- oder IIoT-Systeme müssten so aufgebaut sein, dass es für Angreifer nicht möglich ist, Schadsoftware einzuschleusen oder solche Komponenten zu übernehmen. „So machen gekaperte IoT-Systeme (IoT-Bots), die Hacker beispielsweise für Distributed-Denial-of-Service-Angriffe (DDoS) missbrauchen, an die 16 Prozent aller infizierten Systeme in den Netzen von Cloud-Service-Providern aus“, berichtet Philipp – das habe der „Nokia Threat Intelligence Report 2019“ gezeigt. Nur dann, wenn solche Angriffe ausgeschlossen sind, lasse sich die Systemsoftware von IoT-Komponenten ohne Risiko aus der Ferne (remote) aktualisieren.
5. Zertifizierungen und Compliance
   Eine PKI und ergänzende Lösungen wie eine „Secure Execution Environment“ (SEE) sollten über einschlägige Zertifikate wie FIPS 140-2 verfügen. Interessenten sollten zudem prüfen, ob ein Anbieter Compliance-Regelungen berücksichtigt. Dazu zählten die „Charter of Trust“, ein Zusammenschluss von Unternehmen wie Allianz, Daimler, IBM, NXP, Siemens und der Telekom, sowie das „Framework for Improving Critical Infrastructure Cybersecurity“ des US-amerikanischen NIST (National Institute of Standards and Technology). Dieses Rahmenwerk ziele auf die Absicherung von Kritischen Infrastrukturen (Kritis) ab, etwa von Kraftwerken, zentralen Industrieanlagen und Versorgungseinrichtungen.

Es sei sinnvoll, eine PKI durch eine SEE zu ergänzen, da dieses „x86“-Serversystem alle Apps physikalisch und logisch vor Angreifern und unbefugtem Zugriff schütze. Einen weiteren Sicherheitsgewinn erziele, wer seine PKI für eine IIoT-Umgebung mit „Code Signing“ kombiniert. Diese Technologie versehe das Zertifikat, das die PKI bereitstellt, mit einer elektronischen Signatur.

Wertschöpfung umstellen und absichern!

„Mit der sogenannten Appifizierung verbinden Unternehmen zurecht Geschäftspotenzial und Wettbewerbsfähigkeit. Je mehr von ihnen ihre Geschäftsmodelle auf As-a-Service-Angebote und das dafür nötige Vertrauen ausrichten, desto kritischer werden sich erfolgreiche Cyber-Angriffe auswirken“, unterstreicht Philipp.
Es stehe nicht mehr nur die Reputation auf dem Spiel, sondern die gesamte Wertschöpfungskette des Unternehmens. Diese Gefahr sollte aber nicht von Vernetzung und Industrie-4.0-Initiativen abhalten. Philipp betont: „Denn für den nötigen sicheren Datenaustausch stehen mit PKI, SEE und Code Signing die passenden Lösungen zur Verfügung.“

Weitere Informationen zum Thema:

Forbes, Louis Columbus, 13.12.2018
2018 Roundup Of Internet Of Things Forecasts And Market Estimates

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe