Suchen

Industrial Internet of Things Neue Möglichkeiten, die Smart Factory zu sichern

| Autor / Redakteur: Hubertus Grobbel / M. A. Benedikt Hofmann

In der Smart Factory der Zukunft sind Sensoren, Aktoren und Systeme vernetzt und kommunizieren miteinander. Aber: Wie können Daten und Kommunikation im Industrial Internet of Things (IIoT) vor Spionage und Sabotage geschützt werden? Vom Flash-Memory-Spezialist Swissbit kommt jetzt eine Lösung: SD-Karten mit integriertem sicheren Element zur Identifizierung von Systemen.

Firmen zum Thema

Spezielle Firmware und Secure Element können einen Flash-Speicher in eine vielseitige Komponente für Sicherheitslösungen zum Beispiel in IIoT verwandeln.
Spezielle Firmware und Secure Element können einen Flash-Speicher in eine vielseitige Komponente für Sicherheitslösungen zum Beispiel in IIoT verwandeln.
(Bild: Swissbit)

Intelligente Produktionsanlagen, die sich automatisch auf neue Produkte oder Ereignisse einstellen und komfortable Fernwartungs- und Fernsteuerungsfunktionen bieten, sollen die industrielle Produktion der Zukunft – Stichwort Industrie 4.0 – bei Qualität, Effizienz und Flexibilität auf ein völlig neues Level heben. Aber: Die Vernetzung von industriellen Anlagen, die selbstständige Kommunikation zwischen „Dingen“ birgt auch neue Risiken. Was ist, wenn Hacker oder manipulierte Systeme die Kontrolle über Roboter oder industrielle Anlangen erlangen? Anders gefragt: Woher weiß ein „Ding“, dass die empfangenen Daten oder Datenabfragen von einem anderen „Ding“ korrekt sind und diese Systemkomponente überhaupt die ist, die sie vorgibt zu sein?

Vier Schritte zur Sicherheit: Identifikation, Authentisierung, Authentifizierung, Autorisierung

Um diese Herausforderung des IIoT zu lösen, hilft der Rückgriff auf moderne Sicherheitskonzepte in der klassischen IT mit der Kommunikation zwischen menschlichen Nutzern. Diese Konzepte fordern Identifizierung, Authentisierung, Authentifizierung und Autorisierung. Bei der Authentisierung meldet sich ein Nutzer an und gibt seine Identität bekannt. Er behauptet also, ein bestimmter Nutzer zu sein. Der nächste Schritt ist die Authentifizierung, also die Überprüfung seiner behaupteten Identität. Hierzu muss der Nutzer sich ausweisen – durch ein Geheimnis wie Password/PIN und/oder einen weiteren Faktor wie ein Hardware-Identifizierungsobjekt. Diese Identifizierungsobjekte können Token, Smart Cards oder Ähnliches sein. Bei sicherheitskritischen Anwendungen ist eine sogenannte Zweifaktor-Authentisierung erforderlich – also beispielsweise Password/PIN und ein nicht kopierbares Identifizierungsobjekt. Ist der Nutzer erfolgreich authentifiziert, bekommt er Zugriffs- und Nutzungsrechte – in dem Umfang, in dem diese ihm zuvor eingeräumt wurden (Autorisierung).

Probleme in der Praxis

Reine Security-Softwarelösungen für sicherheitstechnisch relevante Einrichtungen – und Produktionslinien und Industrieanlagen sollten generell in dieser Kategorie gesehen werden – bieten aufgrund der leichten Kopier- und Manipulierbarkeit keinen ausreichenden Schutz. Über das Internet kommunizierende Systeme oder deren Gateways im IIoT müssen einerseits eine nicht klonbare Identität aufweisen und andererseits in der Lage sein, Daten kryptografisch stark gesichert zu senden und zu empfangen. Ein solcher Schutz erfordert immer eine in Hardware implementierte Lösung, die man auch als Sicherheitsanker bezeichnet.

Es gibt generell verschiedene Ansätze, einen solchen Sicherheitsanker für die jeweilige Applikation zu wählen: Der Einbau von SIM-Karten (ähnlich wie bei Mobiltelefonen), das Auflöten von identifizierbaren Hardwarekomponenten (Trusted Platform Module – TPM) in die Baugruppen oder der Einsatz von Prozessoren, die über integrierte Elemente eindeutig identifizierbar sind (Trusted Execution Environment – TEE).

Alle diese Ansätze bieten verschieden hohe Sicherheitslevel mit Vor- und Nachteilen. Es ergeben sich im praktischen Einsatz Einschränkungen, die abgewogen werden müssen. Die genannten Lösungen haben gemeinsam, dass sie, obwohl sie die Sicherheit heben, die Flexibilität des Lösungsanbieters einschränken. So werden die Anlagenhersteller bei den Entwicklungen technologisch an bestimmte Hersteller, Baugruppen und/oder Prozessoren oder einen Vertriebskanal gebunden.

Flash-Speicher mit „TPM“ als Lösung

Jetzt bietet das Schweizer Unternehmen Swissbit, eines der führenden Spezialisten für Flash Memory-Lösungen und industrietaugliche Speichermedien, eine neue Lösung: Industrietaugliche Flash-Memory-Karten, in denen ein Secure Element als Identifizierungsmerkmal verbaut ist, das die Funktion eines Trusted Platform Module (TPM) übernimmt. Diese Lösung birgt für Entwickler von IIoT-Komponenten und -Lösungen sehr weitreichende Vorteile und kann neben Sicherheitsanforderungen noch andere Funktionen erfüllen.

Die Vorteile beginnen schon bei der Integration. Diese ist für Entwickler extrem einfach, weil die Memory-Schnittstellen standardisiert sind, Middleware für die Integration der TPM-Abfragen mitgeliefert wird und Swissbit Flash Memories mit TPM-Funktion in verschiedenen Formfaktoren als SD-Karten, MicroSD-Karten oder USB-Sticks entwickelt, produziert und anbietet. Basis sind Flash-Memory-Module, die bereits seit Jahren für den Industrieeinsatz spezifiziert sind, beispielsweise durch ein im Vergleich zu Consumer/Commodity-Karten deutlich erweiterten Temperaturbereich und eine deutlich längere Lebensdauer und Verfügbarkeit.

(ID:44426438)