Die moderne Produktion nach Industrie 4.0 vernetzt Maschinen, Anlagen und Geräte beliebiger Größe mit Steuerungen, teilweise winzigen Sensoren und Aktoren, wobei jeder einzelne adressierbar sein muss. Jeder spricht mit jedem, um Daten und Informationen entlang der Prozesse der gesamten Wertschöpfungskette auszutauschen. Zum einen muss diese Kommunikation zwischen den Berechtigten reibungslos funktionieren und zum anderen müssen Eindringlinge unbedingt vom Kommunikationssystem ausgesperrt werden, um die Produktion vor Manipulationen zu schützen.
Oliver Winzenried ist Vorstand der Wibu Systems AG in Karlsruhe
Die Hersteller benötigen dafür einen einheitlichen und anerkannten Kommunikationsstandard, der die modernen Anforderungen der Industrie erfüllt. Basierend auf der klassischen OPC-Technik nutzen Hersteller die erweiterte und verbesserte Kommunikation OPC Unified Architecture, kurz OPC UA. Zu den Neuerungen zählen unter anderem Plattformunabhängigkeit, Objektorientierung, Typsicherheit und eine Security-Implementierung. Der Standard für sichere Systeme muss folgende Herausforderungen lösen:
- Datenverschlüsselung gegen Spionage und Produktpiraterie (Confidentiality)
- Datenintegrität (Integrity)
- Anwendungsauthentifizierung, damit sich die Anwendungen gegenseitig kennen (Application Authentication)
- Benutzerauthentifizierung, damit nur Berechtigte das System bedienen können (User Authentication)
- Rollenbasierte Berechtigungsmodelle für Anwender (User Authorization)
- Aufzeichnung sicherheitsrelevanter Ereignisse (Auditing)
- Verfügbarkeit des Systems, hier kann nicht einfach ein Virencheck erfolgen, der das System Minuten lahmlegt (Availability)
Sicherheit bei Embedded-Software
Egal, ob es ein Roboter oder ein kleiner Sensor ist – sie funktionieren immer mit Embedded-Software, die in der dazugehörigen Hardware steckt. Selbst in kleinen Maschinen und Anlagen arbeiten mehrere solche Embedded-Systeme in Visualisierung, Steuerung, Sensoren und Aktoren zusammen und müssen Daten austauschen. Dabei müssen sie sich gegenseitig vertrauen. Dies ist im offenen OPC-UA-Standard vorgesehen. Das Problem ist das Ausrollen, Verwalten und Erneuern der Zertifikate, denn OPC UA beruht darauf, dass sich alle OPC-Geräte und OPC-Anwendungen über X.509-Zertifikate authentifizieren. Geräte bekommen ihre Zertifikate über verschiedene Wege:
- Das UA-Gerät holt sich selbständig seine Zertifikate von einer zentralen Stelle ab (pull model).
- Ein zentraler Server verteilt an alle Geräte, die über ein Netzwerk verbunden sind, die entsprechenden Zertifikate (push model).
Die Karlsruher Wibu-Systems AG hat seine technisch präventive Lösung CodeMeter zu Softwareschutz, Lizenzierung und Integritätsschutz speziell für den Einsatz in Embedded Systemen mit OPC UA vorbereitet. CodeMeter License Central verwaltet jetzt auch Zertifikate.
Die CodeMeter License Central enthält die neue Funktion speziell für OPC UA, die das Verwalten und Ausrollen der Zertifikate erleichtert. Betrachtet man eine Maschine oder Anlage genauer, wird einem die Vielzahl der Sensoren, Aktoren, Steuerungen oder Anzeigesysteme bewusst. Für die sichere Kommunikation gemäß OPC UA muss jeder einzelne einschließlich des dazugehörigen ERP-Systems das richtige Zertifikat tragen, was manuell nur mit großem Aufwand möglich ist. Die CodeMeter License Central von Wibu-Systems ist ein Datenbank-basiertes Tool zur Erzeugung, Verteilung und Verwaltung von Lizenzen. Eine neue Erweiterung für OPC UA kann nun auch X.509-Zertifikate handhaben. Die CodeMeter-Schlüsselspeicher, auch CmContainer genannt, enthalten die Nutzungsrechte und dienen als Zertifikatsspeicher gemäß OPC UA, sicher gespeichert im Smart-Card-Chip eines CmDongles oder einer verschlüsselten CmActLicense-Datei. Jeder CmContainer ist einzigartig und identifiziert damit jeden Sensor, Aktor oder jede Steuerung. Mit Hilfe der CodeMeter License Central werden die Zertifikate automatisiert verteilt und verwaltet, was besonders bei großer Anzahl hilfreich ist.
Zertifikate automatisiert verteilen
Die CodeMeter License Central kann hier die komplette PKI abbilden und speichern. Es können Zertifikate zum Signieren von Code erstellt werden, um dessen Integrität zu sichern. Mit Zertifikatsketten können unterschiedliche Abteilungen oder auch Dritte berechtigt werden, Code zu signieren. Die Zertifikatsketten werden vom Rootzertifikat abgeleitet, das als Vertrauensanker sicher aufbewahrt wird. Es wird selten verwendet. Damit kann dieses Rootzertifikat sicher vor Missbrauch aufbewahrt werden. Es ist die Basis für Certificate Revocation Lists, CRLs, mit denen die im Feld befindlichen Zertifikate zurückgezogen werden können. OPC UA berücksichtigt Zertifikate für Geräte oder Applikationen und für Anwender oder Benutzer.
Darüber hinaus sieht das Konzept von CodeMeter den Schutz der Embedded-Software durch Verschlüsselung vor und speichert die dazugehörten Schlüssel auf sichere Weise. Zusätzlich wird der Programmcode vor Manipulation durch Einsatz von elektronisch signiertem Code und Prüfung gegen eine Zertifikatskette geschützt.
Der Nutzen und die Einsatzmöglichkeiten von CodeMeter sind vielfältig: Sie erlauben Protection, also den Schutz gegen Kopieren und Reverse-Engineering; Licensing, das neue Geschäftsmodelle durch flexible Funktionsfreischaltung und Integration in den Vertriebsprozess ermöglicht; sowie Security, das heißt Schutz vor Manipulation und Cyber-An- griffen.
Die CmContainer sind als CmDongle für die USB-Schnittstelle und für die industriellen Schnittstellen wie CFast, µSD, SD und CF mit erweitertem Temperaturbereich und hochwertigem SLC-Flash verfügbar. Die Schutzhardware zeichnet sich durch gute EMV-Eigenschaften, Feuchteresistenz und Nachrüstbarkeit in bestehende Maschinen aus; sie ist geeignet für den harten Fabrikalltag. Hersteller können auch softwarebasierte Aktivierungsdateien namens CmActLicense als Träger der Nutzungsrechte einsetzen und an einen Fingerabdruck des Zielsystems binden.
Entwickler-Tools als Zubehör
Neben der Schlüsselspeicherung bietet die Wibu-Systems-Protection-Suite auch die Tools für Entwickler, um ihren Programmcode zu verschlüsseln und zu signieren. Hierbei werden alle gängigen Betriebssysteme wie Windows, Mac OS X oder Linux mit dem AxProtector unterstützt für nativen Programmcode, also beispielsweise C, C++ oder Delphi aber auch .NET und Java. Für Embedded Betriebssysteme steht ein ExProtector zur Verfügung, der mit modifizierten Loadern im Betriebssystem zusammenarbeitet und auch Secure Boot unterstützt. ge
Hannover Messe: 8-D05
INFO-TIPP
OPC UA ist ein Kommunikationsstandard, der die modernen Anforderungen der Industrie erfüllt. Informationen dazu bietet die Seite der OPC Foundation:
PRAXIS PLUS
Der CmStick/M verbindet die CodeMeter-Schutzfunktionen zum Integritäts- und Know-how-Schutz sowie zur flexiblen Lizenzierung von Software und Daten mit einer verschlüsselten Flash-Disk in einem USB-Stick. Der CmStick/M enthält den CodeMeter-SmartCard-Chip für die Security-Funktionen und einen USB-Controller auf 32-Bit-ARM-Basis mit Hardware-AES-Verschlüsselung. So können sämtliche Daten auf dem Flash-Speicher verschlüsselt abgelegt werden. Der Stick ist verfügbar mit 128 MB bis 16 GB SLC-Flash oder mit MLC-Flash von 8 bis128 GB.
Teilen:
