Wer ist verantwortlich für den Einbau einer Schutzlösung? Die Fäden laufen beim SPS-Hersteller zusammen, denn er wählt Hardware, Betriebssystem und Software für die Steuerung aus und führt dies zu einem Produkt, das beim Maschinenhersteller und als Bestandteil der Maschine beim Betreiber zum Einsatz kommt, zusammen.
Anforderungen an Sicherheit
Eine geeignete Lösung wie der technisch präventive Schutz CodeMeter erfüllt die Sicherheitsbedürfnisse aller Beteiligten. Der Schutz muss den Nachbau von Maschinen erschweren, indem die Software so geschützt ist, dass sie nur mit einem nicht-klonbaren Schlüssel funktioniert. Die Software muss verschlüsselt sein, was eine Analyse (Reverse-Engineering) verhindert. Und der Programmcode wird vor Manipulation durch Einsatz von elektronisch signiertem Code und Prüfung gegen eine Zertifikatskette geschützt. Es zeigt sich: Kern des Schutzes ist die Verschlüsselung der Software.
Verschlüsselung
Wirkungsvoll und praxistauglich ist die Verschlüsselung der Embedded-Software, sodass die oben genannten Sicherheitsbedürfnisse erfüllt werden. Eine sichere Implementierung symmetrischer und asymmetrischer Verschlüsselungsverfahren (AES, RSA, ECC) sowie Hashfunktionen (SHA-256) und Funktionen zur Signaturvalidierung (ECDSA) sowie einen Zufallszahlengenerator und eine Zustandsmaschine sind dafür erforderlich. Mit Software-Werkzeugen ist es möglich, alle oben beschriebenen Schritte zum Integritätsschutz umzusetzen und in Entwicklungsprozesse zu integrieren.
Ausblick
Sicherheit in der Automatisierungsindustrie funktioniert nur, wenn SPS-Anbieter, Steuerungshersteller oder Hersteller von Embedded-Systemen den anderen Beteiligten die Schutzfunktionen bereitstellen. Bei vernetzten Komponenten ist ferner eine Authentifizierung und Datenverschlüsselung notwendig. Der offene Standard OPC UA bietet alle Mechanismen dafür. Basis der Verschlüsselung und Authentifizierung sind auch hier symmetrische und asymmetrische Kryptographie. Nutzt man die \’Secure Elements\‘ in den Embedded-Systemen optimal, so können sie sowohl für Know-how- und Integritäts-Schutz als auch für Kommunikation und Authentifizierung genutzt werden.
