Das Internet der Dinge (IoT, Internet of Things) ist aus unserem Alltag nicht mehr wegzudenken. Von Musik und Filmen auf dem Smartphone, Haushaltsgeräten und selbstfahrenden Autos über Verkehrsleitsysteme, Wirtschaftssysteme zahlreicher Dienstleister und Fertigungsunternehmen bis hin zur Energieversorgung ganzer Regionen – ein Großteil der wichtigen Geschäfte und Prozesse wird per Tablet, App oder PC gesteuert.
Achillesferse vernetzter Infrastrukturen: die Sicherheit
Doch je komplexer, leistungsstärker und bedeutsamer diese Systeme werden, desto stärker gelangen sie auch ins Visier von Hackern. Ein Cyberangriff auf eine kritische Infrastruktur hat beängstigende Folgen: Dies zeigte die Attacke auf den US-amerikanischen Pipelinebetreiber Colonial Pipeline (CP), der am 7. Mai 2021 seine IT-Systeme wegen eines Angriffs herunterfahren musste. Das Unternehmen betreibt eine 8.800 Kilometer lange Pipeline, die die Raffinerien am Golf von Mexiko mit dem Süden und Osten der USA verbindet. Glück im Unglück: Der Angriff wurde schnell abgewehrt. Aber wären die IT-Systeme und damit das Leitungsnetz länger ausgefallen, wäre es zu Versorgungsengpässen an Tankstellen und Flughäfen an der gesamten Ostküste der USA gekommen.
Wie lassen sich ICS zuverlässig schützen?
Industrial Control Systems (ICS) ist das Zusammenspiel von Menschen, Hardware oder Software, die den sicheren und zuverlässigen Betrieb industrieller Prozesse beeinflussen. Es handelt sich um vernetzte Systeme und Anwendungen, die zur Steuerung von Fertigungs- und Verarbeitungsanlagen eingesetzt werden und die verteilten, also auch den Remote-Betrieb ermöglichen. Häufig wird das gesamte Software- und Gerätemanagement von ICS in der Cloud verwaltet. Da lassen auch Bedrohungen wie Denial-of-Service, die Verletzung von Betriebsgeheimnissen, Anlagenausfälle oder Umweltschäden nicht lange auf sich warten. Die Auswirkungen können verheerend sein.
„Cyberangriffe auf kritische Infrastrukturen und industrielle Kontrollsysteme sind ein ernstzunehmendes realistisches Szenario auch in Deutschland“, bemerkt der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm (Quelle: wiwo.de). Daher darf niemand die Augen vor dem Cyberrisiko verschließen und Unternehmen müssen ein optimales Abwehr- und Schutzsystem einrichten.
Den besten Schutz für vernetzte Infrastrukturen und industrielle Kontrollsysteme bieten die elektronischen Zertifikate in einer Public-Key-Infrastruktur (PKI). Mit dieser Kryptotechnologie werden Daten signiert und mithilfe eines Paares aus einem öffentlichen und einem privaten Zertifikat übertragen. Der Schlüssel hierzu wird von einer vertrauenswürdigen Stelle bezogen und über diese weitergegeben. Die einzelnen Zertifikate werden Schritt für Schritt authentifiziert, sodass ein ganze Authentifizierungskette entsteht, die den PKI-Pfad bildet.
Anwendungsfälle einer PKI
Diese Anwendungsfälle sollten für elektronische Zertifikate in einer Public-Key-Infrastructure beachtet werden:
- Die sichere Geräteidentität: Hierfür erhalten alle Geräte ein sogenanntes Birth Certificate, das für die Lebensdauer des Geräts gültig bleibt. Dieses wird zur Identifizierung und Authentifizierung des Geräts im Netz verwendet, daher werden bei seiner Bereitstellung automatisch ein automatischer Schlüssel und das entsprechende Zertifikat der Norm IEEE 802.1 AR generiert.
- Das Update Management. Mit Software-Updates werden ICS gegen Malware und böswillige Software-Veränderungen geschützt. Eine solche Aktualisierung wird automatisch durchgeführt, doch schon vor dem Start des Updates wird die Authentizität der Software für die ICS-Komponenten geprüft und bestätigt. Auch können über die dazu verwendeten Zertifikate unterschiedliche Autorisierungen festgelegt werden, z. B. zur Aktivierung bestimmter Funktionen oder zur Zulassung von Software von Drittanbietern.
- Der sicherer Gerätestart. Vor jedem Secure Device Booting muss die Firmware authentifiziert werden, denn der Integritätscode in der ICS-Komponente muss in kritischen Infrastrukturen sicher sein. Auch hierfür ist die sichere Schlüssel- und Identitätsverwaltung Voraussetzung.
- Die sichere Inbetriebnahme. Bei der Inbetriebnahme einer ICS erstellt der Betreiber eine lokal signifikante Geräte-ID, die in der IEEE 802.1 AR spezifiziert ist.
Gängige Normen und Empfehlungen für elektronische Zertifikate in einer ICS
Eine der wichtigsten Normen ist die IEEE 802.1 AR, die ein sogenanntes „Trust Model“ definiert, das der Hersteller der Komponente für jede Geräte -ID veröffentlicht. Sie legt die asymmetrische Kryptografie für die Public-Key-Infrastructure fest.
Das CMP, ein Protokoll für das Zertifikatsmanagement schlägt Verfahren für die Ausgabe, Verwaltung, den Rückruf und die Prüfung autorisierter Geräte, Nutzer und Prozess vor. Bei diesem Protokoll handelt es sich jedoch lediglich um eine allgemeine Empfehlung auf der Grundlage von Best Practices der Branche. Sie verweist zwar auf die Norm IEC 62443, legt jedoch keine bindenden Spezifikationen vor.
Die IEC 62443 ist eine Norm für Cybersicherheit in ICS-Systemen und klassifiziert Sicherheitsrisiken nach Art des jeweiligen Risikos. Gemäß der Spezifikation müssen die drei Stakeholder in der ICS folgende Bedingungen erfüllen: Der ICS-Betreiber muss über ein Cybersecurity Management System verfügen, der ICS-Integrator muss die Sicherheitsanforderungen und -techniken für das System kennen und einhalten. Und der ICS-Hersteller muss die Sicherheitsanforderungen für das Produkt beachten. Die Norm beschreibt vier Sicherheitsstufen. Eine PKI sollte mindestens die Stufe 3 oder 4 erfüllen, wobei Aspekte wie die Art des PKI-Zertifikats, die Stärke der Authentifizierung, die Hardwaresicherheit und der Einsatz von Kryptografie gemäß Branchenstandards eine Rolle spielen.
Komplexe Abläufe in zuverlässigen Händen
Allein anhand dieser Liste der Normen und Empfehlungen wird deutlich: Die Einrichtung einer PKI ist kein Zuckerschlecken. Sind die Komponenten geklärt, muss unter anderem überlegt werden, welche Sicherheitsebenen bedient werden sollen. Nach der Planung folgt die Implementierung, für die standard- und gesetzesgerechte Software entwickelt werden muss, die auch skalierbar sein sollte. Schließlich gilt es im laufenden Betrieb, das Personal zu schulen, die Sicherheit aufrechtzuerhalten, Audits durchzuführen usw.
Da viele Unternehmen nur über limitierte IT-Kapazitäten verfügen und häufig auch nicht über die nötige Expertise für die Einrichtung einer PKI verfügen, geben Sie die Planung, Implementierung und Überwachung der Sicherheitsinfrastruktur gern in die vertrauenswürdigen Hände eines erfahrenen PKI-Anbieters. „Ein zuverlässiger PKI-Anbieter kann die spezifischen Sicherheitskomponenten, die flexiblen und anpassungsfähigen Plattformen sowie die nötige Expertise liefern“, bestätigt Thomas Freitag, Geschäftsführer bei achelos GmbH. Doch was genau muss ein Unternehmen beachten, um ein passendes Sicherheitskonzept einzurichten?
Sicherheitsrisiken beim Einsatz von Industrial Control Systems (ICS) Quelle: achelos GmbH
Vorteile einer PKI
Elektronische Zertifikate einer Public-Key-Infrastructure eines zuverlässigen Anbieters können Angreifer mit umfangreichen Ressourcen und selbst spezifischem Wissen abwehren. Die ersten Überlegungen, die ein Unternehmen zur Einrichtung einer PKI anstellt, ähneln den Kriterien für die Implementierung fast aller vernetzter System: Die Lösung über verschiedene Standorte hinweg skalierbar sein und automatisiert funktionieren. Eine Schnittstelle zum ERP-System sollte die Authentifizierung lösungsübergreifend ermöglichen. Außerdem muss die PKI erweiterbar sein, um dem Unternehmen auch in Zukunft optimalen Schutz zu bieten. Des Weiteren sollte die Einführung einer PKI immer von der Erstellung eines risiko-basierten Cybersicherheits-Management-Systems (CSMS) und einer Sicherheitskonzeption begleitet werden, wie ihn zum Beispiel die IEC 62443 beschreibt.
Fazit
Eine Public-Key-Infrastruktur bietet durch die elektronischen Zertifikate optimalen Schutz für vernetzte Systeme zum Beispiel im Bereich Sicherheit, Gesundheit, Mobilität, im öffentlichen Sektor und im IoT. Die Planung und Einrichtung dieses Sicherheitskonzepts stellt viele Unternehmen vor große Herausforderungen. Doch mit dem richtigen PKI-Anbieter an der Seite, können sie ihre Assets und ihre Kunden zuverlässig schützen. Weitere interessante und wichtige Informationen wurden auf der PrimeKey TechDays 2021 teil, einer Online-Konferenz vorgestellt, auf der sich die Größen der Kryptografie-, PKI- und IT Security-Szene aus der ganzen Welt treffen und austauschen.