Zum Schutz vor Datenklau und Manipulation erfüllt eine Public Key Infrastructure souverän die nötigen fünf Kriterien

Lösungen für Smart Manufacturing und Industrie 4.0 werden dieses Jahr weltweit rund 87 Milliarden US-Dollar Umsatz erwirtschaften, sagt das Hamburger Markforschungshaus IoT Analytics voraus . 2023 sollen es 310 Milliarden US-Dollar sein. Den Trend bedienen Bosch, GE, IBM, Siemens (mit MindSphere) oder PTC bereits. Auf ihren IIoT (Industrial Internet of Things)-Cloud-Plattformen laufen Apps, die Firmen als Service buchen.

Allerdings schafft die Vernetzung von Sensoren, Maschinen und Fahrzeugen unzählige Angriffsflächen für Cyberkriminelle. Mit Public Key Infrastructure (PKI) steht die nötige wie etablierte Security-Technoligie bereit – dennoch halten sich Sicherheitsbedenken gegenüber dem IIoT. Warum diese Skepsis unbegründet ist, erklärt Andreas Philipp, Business Development Manager bei PrimeKey . Der Sicherheitsexperte zeigt, wie eine PKI funktioniert und welche Kriterien sie erfüllen muss.

Cyberkriminelle schleusen ein Device in eine IIoT (Industrial Internet of Things)-Infrastruktur ein. Das Gerät gibt vor, Teil des IIoT-Netzes zu sein. In diesem kommunizieren die Maschinen und Anlagen der Fertigungsstraße unverschlüsselt über WLAN. Über das eingeschleuste Gerät lassen sich Daten abgreifen, Apps und Firmware manipulieren oder die Produktion stören.

Dieses Gedankenspiel greift die reale Bedrohung auf. So veröffentlichte das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) 2018 mehr als 190 Advisories als Reaktion auf Schwachstellen, die in ICSs (Industrial Control Systems) entdeckt wurden. Daneben gefährdet Produkt- und Markenpiraterie das Geschäft vieler Unternehmen. Die Vernetzung macht angreifbarer als zuvor, weshalb Sicherheitsbedenken gegenüber dem IIoT und IoT nachvollziehbar sind. Laut einer Studie des Beratungshauses Bain & Company sehen rund 45 Prozent der Unternehmen in Sicherheitsbedenken den größten Hemmfaktor, wenn es um die Umsetzung von IoT-Projekten geht.

Die fünf wichtigsten Sicherheitsanforderungen an eine PKI im Industrieumfeld

Jede Applikation muss letztendlich in einer vernetzen Umgebung sicher Daten austauschen, wofür mit einer Public Key Infrastructure (PKI) die nötige Sicherheitstechnologie bereitsteht. Eine PKI erfüllt exakt den Sicherheitsbedarf von Industrie- und Fertigungsfirmen, denn sie schafft eine Vertrauensbasis in IoT- und Industrial-IoT-Umgebungen, die auf fünf Säulen basiert:

• Authentisierung und Authentifizierung von Nutzern, Geräten und Infrastrukturkomponenten (Gateways, Router etc.), Systemen (Daten) und Kontrollkomponenten (Befehlen): Dies stellt sicher, dass nur dazu befugte und vertrauenswürdige Kommunikationspartner Informationen austauschen. Das heißt, alle Beteiligten müssen sich im ersten Schritt gewissermaßen ausweisen (Authentisierung). Anschließend wird überprüft, ob es sich tatsächlich um den entsprechenden Kommunikationspartner handelt oder eine Instanz, die dies nur vorgibt (Authentifizierung).
• Integrität: Daten und Befehle dürfen sich nicht ohne Weiteres austauschen oder manipulieren lassen.
• Vertraulichkeit: Sensible Informationen müssen vor dem Zugriff Unbefugter geschützt sein. Dies gilt für Daten, die übermittelt werden, wie auch für persistente Daten. Sensibel sind in diesem Zusammenhang unter anderem Daten zur Steuerung von Maschinen oder solche, die den Produktionsablauf beschreiben und verfahrensrelevant sind.
• Systemsicherheit: IoT- oder IIoT-Systeme müssen so aufgebaut sein, dass es für Angreifer nicht möglich ist, Schadsoftware einzuschleusen oder solche Komponenten zu übernehmen. So machen gekaperte IoT-Systeme (IoT-Bots), die Hacker beispielsweise für Distributed-Denial-of-Service-Angriffe (DDoS) missbrauchen, an die 16 Prozent aller infizierten Systeme in den Netzen von Cloud-Service-Providern aus. Das ergab der Nokia Threat Intelligence Report 2019. Nur dann, wenn solche Angriffe ausgeschlossen sind, lässt sich die Systemsoftware von IoT-Komponenten ohne Risiko aus der Ferne (remote) aktualisieren.
• Zertifizierungen und Compliance: Eine PKI und ergänzende Lösungen wie eine Secure Execution Environment (SEE) sollten über einschlägige Zertifikate wie FIPS 140-2 verfügen. Interessenten sollten zudem prüfen, ob ein Anbieter Compliance-Regelungen berücksichtigt. Dazu zählen die Charter of Trust, ein Zusammenschluss von Unternehmen wie Allianz, Daimler, IBM, NXP, Siemens und der Telekom, sowie das „Framework for Improving Critical Infrastructure Cyber Security“ des amerikanischen NIST (National Institute of Standards and Technology). Dieses Rahmenwerk zielt auf die Absicherung von Kritischen Infrastrukturen (Kritis) ab, etwa von Kraftwerken, zentralen Industrieanlagen und Versorgungseinrichtungen.

Es ist sinnvoll, eine PKI durch eine SEE zu ergänzen, da dieses x86-Serversystem alle Apps physikalisch und logisch vor Angreifern und unbefugtem Zugriff schützt. Einen weiteren Sicherheitsgewinn erzielt, wer seine PKI für eine IIoT-Umgebung mit Code Signing kombiniert. Diese Technologie versieht das Zertifikat, das die PKI bereitstellt, mit einer elektronischen Signatur.

Wertschöpfung umstellen und absichern

Mit der sogenannten Appifizierung verbinden Unternehmen zurecht Geschäftspotenzial und Wettbewerbsfähigkeit. Je mehr von ihnen ihre Geschäftsmodelle auf As-a-Service-Angebote und das dafür nötige Vertrauen ausrichten, desto kritischer werden sich erfolgreiche Cyberangriffe auswirken. Es steht nicht mehr nur die Reputation auf dem Spiel, sondern die gesamte Wertschöpfungskette des Unternehmens. Diese Gefahr sollte aber nicht von Vernetzung und Industrie-4.0-Initiativen abhalten. Denn für den nötigen sicheren Datenaustausch stehen mit PKI, SEE und Code Signing die passenden Lösungen zur Verfügung.