Auf die Frage, welche Folgen ein Cyberangriff auf die Fertigungsanlage haben könnte, antworteten die Konstrukteure einer kanadischen Keksfabrik: „versalzener Keks-Teig“. Mehr als der Verlust eines Tagesvolumens an Keksen sei nicht zu erwarten. Doch dann trat der Ernstfall ein. Hacker drangen in die Unternehmenssysteme ein und übernahmen den Steuerungscomputer. Die Folge: ein kompletter Maschinenstillstand; Teig für die Kekse blieb in den Rohren und Anlagen stecken, wurde hart und konnte nicht mehr entfernt werden. Am Ende mussten die Rohre herausgeschnitten werden – ein langwieriger und kostenintensiver Vorgang.
Der Fall illustriert anschaulich, mit welchen Sicherheitsgefahren die Industrie 4.0 konfrontiert werden kann. Maschinen sind mit anderen internen und externen Systemen vernetzt. Permanent werden Daten und Informationen im Dreieck Maschine, Steuerungssysteme und IT-Anwendungen ausgetauscht. Doch wenn vernetzte Maschinen manipuliert werden, kann der Schaden schnell groß werden.
Maschinen haben individuelle Merkmale
Für eine sichere Datenkommunikation und einen manipulationsfreien Informationsaustausch soll die sogenannte „sichere Maschinenidentität“ sorgen. Sie stellt sicher, dass eine Maschine auch tatsächlich diejenige ist, für die sie sich ausgibt. „Maschinelle Identitäten sind wie beim Menschen individuelle Merkmale, die sie von anderen unterscheiden und unterscheidbar machen“, weiß Dr. Kim Nguyen, Geschäftsführer von D-Trust, einem Tochterunternehmen der Bundesdruckerei. Informationen, die in einer maschinellen Identität gespeichert werden, sind beispielsweise Seriennummer und Besitzer. Während der Identitätsnachweis in der analogen Welt in Form von Personalausweis, Reisepass oder Geburtsurkunde weit verbreitet ist, fristet er im industriellen Umfeld noch ein Schattendasein im Bewusstsein der Anwender. „Lediglich ein Viertel der deutschen Maschinen- und Anlagenbauer setzen sichere Maschinenidentitäten in der Praxis ein“, weiß Nguyen und beruft sich dabei auf eine aktuelle Studie, die die Bundesdruckerei in Zusammenarbeit mit Bitkom Research erstellt hat. Befragt wurden hier 556 nach Branchen und Größenklassen repräsentativ ausgewählte Betriebe mit mindestens 20 Mitarbeitern.
Digitale Zertifikate bestätigen Identitäten
Hauptbestandteil von „sicheren Maschinenidentitäten“ sind digitale Zertifikate. In der analogen Welt weist ein Zertifikat auf die Echtheit einer Urkunde oder einer amtlichen Bescheinigung hin, im Fall vernetzter Produktionsumgebungen bestätigt ein Zertifikat die Echtheit der Maschinenidentität.
Ein digitales Zertifikat ist ein elektronischer Datensatz, der die Identitätsinformationen der Anlage enthält und diese mit kryptografischen Verschlüsselungsmechanismen vor Veränderungen schützt. Unternehmen können Zertifikate zwar selbst ausstellen und verwalten. Doch oft sind die Kosten höher und der Aufwand größer als gedacht. „Deshalb ist dieser Ansatz für klein- und mittelständische Unternehmen nicht geeignet“, erklärt Nguyen. Ein weiterer Nachteil von selbst ausgestellten Zertifikaten: Sie lassen sich nicht in der Kommunikation mit Wartungsdienstleistern, Zuliefererunternehmen oder anderen externen Organisationen nutzen. Denn es fehlt die Beglaubigung durch eine dritte, vertrauenswürdige Instanz. Externe Zertifizierungsstellen, auch als Vertrauensdiensteanbieter bezeichnet (VDA / früher Trustcenter), überprüfen und bestätigen die Identität der Maschine. Das Unternehmen als Besitzer der Maschine muss seine Identität gegenüber dem VDA nachweisen, zum Beispiel mit einem Handelsregisterauszug. Zusätzlich kann der Maschinentyp mit einer eindeutigen ID unmittelbar verknüpft sein, zum Beispiel mit der Seriennummer. Verlaufen die Identitätsprüfungen erfolgreich, stellt der VDA ein Zertifikat aus. Dieses enthält alle notwendigen Identitätsinformationen und die Gültigkeitsdauer und ist vom VDA per Signatur beglaubigt.
Vom Zertifikat zur „sicheren Maschinenidentität“
Damit die Maschine ihre unverwechselbare „sichere Identität“ erhält, müssen das Zertifikat und die kryptografischen Schlüssel vor unberechtigten Zugriffen geschützt werden. Dafür eignen sich hardwarebasierte Lösungen. Das Zertifikat und die kryptografischen Schlüssel sind auf einem sogenannten „Hardware Security Module (HSM)“ gesichert. Für ein hohes Schutzniveau sorgen viele physische Maßnahmen, wie zum Beispiel Bohrschutzfolien oder Temperatur- und Spannungssensoren, die sofort die geheimen Schlüssel löschen, wenn jemand versucht, das Gehäuse aufzubrechen.
PKI – das Konzept mit den zwei Schlüsseln
Man mag es kaum glauben, doch die Technik, die hinter dem Ganzen steht, gibt es bereits seit 30 Jahren: die Public-Key-Infrastruktur (PKI). Das Konzept basiert auf einem kryptografischen Verfahren mit zwei Schlüsseln. Digitale Schlüssel sind zufällige Zeichenketten, die zusammen mit einem Algorithmus Daten im Klartext in einen Geheimtext umwandeln können. Zum Einsatz kommt ein Schlüsselpaar, das sich gegenseitig ergänzt: der öffentliche Schlüssel (Public Key) für das Verschlüsseln der Informationen und der private Schlüssel (Private Key) für das Entschlüsseln. Beide stehen in einer bestimmten mathematischen Abhängigkeit zueinander.
Der öffentliche Schlüssel ist frei zugänglich, während der private Schlüssel geheim und nur seinem Besitzer bekannt ist. Werden Daten mit einem öffentlichen Schlüssel verschlüsselt, können sie nur mit dem dazugehörigen privaten Schlüssel entschlüsselt werden. Public-Key-Infrastrukturen nutzen diese sogenannte asymmetrische Verschlüsselung, um die Schlüsselpaare den jeweiligen digitalen Identitäten zuzuordnen. Dies erfolgt wiederum in Form von digitalen Zertifikaten, die den Kern einer PKI bilden. Die Aufgaben der PKI bestehen also darin, die Identitäten der Schlüsselinhaber zu bestätigen, das Schlüsselpaar zu generieren und danach die Zertifikate zu erstellen, zu verteilen, zu verwalten und bei Bedarf zu prüfen. (kf)
Die Bundesdruckerei auf der It-sa 2018
Die Bundesdruckerei mit Sitz in Berlin unterstützt Unternehmen, Staaten und Behörden bei der sicheren Digitalisierung, indem sie sensible Daten erfasst, verwaltet und verschlüsselt, Dokumente und Prüfgeräte produziert und Software für hochsichere Infrastrukturen entwickelt. Zur Bundesdruckerei-Gruppe gehören die Konzerngesellschaften D-Trust, Genua, Maurer Electronics und Inco. Die Gruppe stellt ihre Lösungen auf der Fachmesse It-sa in Nürnberg (von 9. bis 11. Oktober 2018) in Halle 10.0 an Stand 210 vor.