Kryptographie für die Industrie Kryptografie für die neue Geräterichtlinie und die Industrie

Von Michael Walser

In der IT verwendete Kryptografie-Systeme lassen sich nicht einfach in die Industrie übernehmen: sie sind zu komplex, zu schwierig handzuhaben und zu teuer. Benötigt wird ein Kryptografie-Werkzeugkasten mit einfach anzuwendenden Tools, mit denen die Sicherheit, Integrität, Authentizität und Vertraulichkeit der benötigten Daten schnell und einfach sichergestellt werden kann. Damit lässt auch die Update-Pflicht gemäß der neuen EU-Geräterichtlinie einfach und sicher umsetzen.

Firma zum Thema

Mit der allgegenwärtigen Vernetzung in der Industrie kommt der Datensicherheit eine Schlüsselrolle zu.
Mit der allgegenwärtigen Vernetzung in der Industrie kommt der Datensicherheit eine Schlüsselrolle zu.
(© ipopba - stock.adobe.com)

Mit dem Einzug des Internets der Dinge in praktisch sämtliche Industriezweige und der damit einhergehenden Vernetzung müssen die verwendeten Daten und Programme (Firmware) absolut sicher sein und dürfen nicht kompromittiert werden können. Viele Unternehmen setzen heute netzwerkfähige Geräte in unternehmenskritischen Umgebungen ein. Dazu gehören beispielsweise medizintechnische Geräte, Verkehrsleitsysteme, Industrieanlagen und Fertigungssysteme sowie autonome Roboter und Fahrzeuge Zwar haben viele Anbieter von IoT-Lösungen die Wichtigkeit wirksamer Sicherheitsmechanismen in diesen Applikationen erkannt und es wurden daher entsprechende Regularien eingeführt, bisher allerdings nur auf freiwilliger Basis. Doch längst nicht alle Hersteller industrieller Anlagen und Geräte halten sich an diese freiwilligen Richtlinien, denn die Implementierung geeigneter Kryptografie-Verfahren ist vielen Unternehmen zu aufwändig und zu teuer. Im Banken- und Versicherungswesen sowie zur Übertragung vertraulicher E-Mails sind IT-Verfahren im Einsatz, die jedoch erst an die Bedürfnisse der Industrie adaptiert werden müssten. Dies ist jedoch aufgrund der verwendeten Verfahren und deren Komplexität nicht möglich. Oftmals sind die Geräte einfach zu schwach oder es existieren keine Implementierungen für diese Plattformen.

Häufige Fehler vermeiden

Dabei gilt es zunächst drei häufig gemachte Fehlerquellen auszuschließen. Erstens, das Kerckhoff´sche Prinzip darf nicht verletzt werden. Es besagt, dass der Schlüssel geheim sein muss, man aber niemals vom Algorithmus her auf den Schlüssel schließen können darf. Wenn man zweitens Standards und Normen (z.B. AES) verwendet, dann ist das Kerckhoff´sche Prinzip meist sichergestellt. Von eigenen Implementierungen sollte man absehen. Da geteilte Ressourcen stets ein Risiko beinhalten, müssen drittens die kryptografischen Schlüssel auch immer von der Applikation getrennt werden und zwar in dafür vorgesehene Hardware. Wenn der Schlüssel nur in Software versteckt ist, kann er relativ einfach wieder ausgelesen werden. Das bedeutet, dass der Schlüssel in sogenannten „Secure Elements“ hinterlegt und vor dem Zugriff von außen geschützt werden muss.

Da in der Industrie Milliarden von unterschiedlichsten Geräten und Systemen von Kleinsteuerungen bis hin zu großen Anlagen - häufig seit vielen Jahren - im Einsatz sind, müssen die Secure-Elements für alle Hardware-Ebenen verfügbar sein. Die Secure Elements selbst sind meist schwer zu beherrschen, daher wurden spezielle Crypto-Module entwickelt, die dies viel einfacher machen. Es gibt sie als Chip (für die Platine) während der Entwicklung, als mini-PCI-Express (für die Integration in Edge Computer und Gateways sowie SCADA-Systemen) oder zur ganz einfachen Nachrüstung für alle Gräte mit USB-Schnittstelle. Die HSMs wiederum sind für den Einsatz in Rechenzentren gedacht und halten die Schlüssel für Entwicklung, Produktion und Kommunikation bereit. Damit ist für jeden Einsatzbereich der optimale Formfaktor verfügbar und die Kryptografie ist lückenlos vom Chip bis in die Cloud einsetzbar.

Für rauen Industrieeinsatz geeignet

Da diese Kryptografie-Module für den Einsatz in rauen Industrieumgebungen und auch im Außenbereich z.B. in der Verkehrstechnik vorgesehen sind, ist eine hohe Robustheit nötig, d.h. die Hardware muss wasserdicht und stoßfest sein und einen Betriebstemperaturbereich von mindestens – 40 bis + 90 °C verkraften. In der Industrie sind sehr viele unterschiedliche Betriebssysteme und Programmiersprachen neben C auch Embedded-Java oder Circuit-Python usw. und CPU-Architekturen (z.B. ARM) im Einsatz. Da man nicht alle unterstützen kann sollten die Module unabhängig vom Betriebssystem und auch der Computerarchitektur sein, ohne Treiber auskommen und Plug & Play anwendbar sein: d.h. anschließen, einschalten und loslegen. Das bedeutet auch, dass keine Software-Bibliotheken zur Integration oder Ansprache von komplexen Schnittstellen wie PKCS#11 nötig sind. Eine hohe Widerstandsfestigkeit der Module gegenüber den in der Industrie häufig vorhandenen Störquellen, wie z.B. Elektromagnetischen Interferenzen (EMI), stellt den problemlosen Einsatz sowohl im Schaltschrank sowie auch im Home- und IT-Umfeld sicher. Ein geringer Stromverbrauch muss ebenfalls gewährleistet sein, damit ein langer Betrieb mit Batterien und Solarzellen der in Industrienetzwerken häufig weit verteilten Geräte sichergestellt ist. Und eine langfristige Produktverfügbarkeit muss auch sichergestellt sein, denn die Produkte müssen über viele Jahre, häufig mehr als zehn Jahre, mit gleichbleibender Qualität lieferbar sein. Dies, weil viele der eingesetzten Geräte und Systeme zertifiziert sind und jede Änderung einer Neuzertifizierung bedarf, was zeit- und kostenintensiv ist.

Einfache Integration

Zusammen mit der Hardwaremodulen realisieren die Krypto-Blöcke komplette Kryptografie-Lösungen.
Zusammen mit der Hardwaremodulen realisieren die Krypto-Blöcke komplette Kryptografie-Lösungen.
(Bild: Sematicon)

Da in der Industrie kaum Know-how bezüglich der Kryptografie vorhanden ist, muss eine kosteneffiziente Integration mit umfangreichem detaillierten Begleitmaterial auch ohne Vorkenntnisse möglich sein. Ingenieure aus den unterschiedlichsten Industriezweigen z.B. Automobil-, Flugzeug- und Maschinenbau, Verkehrstechnik sowie sonstigen Industrien müssen damit die Hardware entweder als Krypto-Chip direkt auf der Platine, als USB-Stick oder als HSM, ohne jegliche Software, einfach mit einer universellen Schnittstelle für alle Betriebssysteme und Programmiersprachen in ihr Projekt integrieren können. Da in der Kryptografie diverse symmetrische und asymmetrische Algorithmen sowie Zusatzfunktionen benötigt werden, sollte man diese zu entsprechenden „Krypto-Blöcken“, wie z.B. symmetrische und asymmetrische sowie Hash-Funktionen, Schlüsselableitungen etc. zusammenfassen und mit der Bedienoberfläche HCI (Human command Interface) in Klartext (Encrypt = verschlüsseln, Sign = signieren, Verify = Signatur prüfen usw.) ansprechen können. Damit vereinfacht sich die Erstellung der jeweils geeigneten Kryptografie-Funktion wesentlich.

Ein Beispiel wie sich die Kryptografie für die Industrie vereinfachen lässt, kann am Beispiel Public-Key-Infrastruktur (PKI) veranschaulicht werden. Dies ist ein System bzw. eine ganze Infrastruktur, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Es ist ein sogenanntes asymmetrisches kryptografisches System und die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet. Allerdings ist dieses allgemein eingesetzte Verfahren zu aufwändig und teuer, um in Embedded-Systemen eingesetzt zu werden. Bei den hohen Stückzahlen dieser Systeme in Industrie- oder IoT-Netzwerken kommen für die geräteabhängige Lizenz der PKI-Kryptografie schnell mehrere hunderttausend Euro zusammen. Viele Use-Cases erfordern jedoch oftmals keine PKI, weil gerade die Eigenschaften, die die Schlagkraft der PKI ausmachen ausgeklammert werden oder nur mit viel Aufwand genutzt werden können. Einfacher ist es andere Standardverfahren einzusetzen, denn es gibt viel einfachere und kostengünstigere Möglichkeiten die Identität von Systemen und Geräten sicherzustellen.

Damit die industriellen Anwender nicht zu viel Zeit für die Entwicklung der geeigneten Kryptografie-Lösung aufwenden müssen, können fertige Beispiellösungen dienen. Damit bleibt den Firmen mehr Zeit zur Entwicklung ihres eigentlichen Projekts. Solche Beispielmodule können z.B. die M2M-Kommunikation, die Cloud-Anbindung, Secure-Boot, die Fernsteuerung, den Datentransport, die Vertraulichkeit und Integrität der Daten, Wartungszugänge sowie die Werksprovisionierung etc. beinhalten. Um auch ganz speziellen Anforderungen der Anwender gerecht zu werden, sollten die Krypto-Module bei Bedarf auch mit einer kundenspezifischen Schnittstelle für das jeweilige Projekt ausgestattet werden können. Die bezahlbaren Netzwerkbasierten Hardware-Sicherheits-Module (HSMs) unterstützen neben der Provisionierung der Geräte auch bei deren Entwicklung. So können beispielsweise unbedingt benötigte Schlüssel für die digitale Signatur von z.B: Gerätetreibern (EV-Code Signatur) für Windows oder für die Firmware der Geräte (Update-Pflicht) zentral, einfach, sicher und überwacht zur Verfügung gestellt werden.

Fazit

Kryptografie für die Industrie ist heute einfach und kostengünstig machbar. Dazu stehen die benötigten preisgünstigen und einfach einzusetzenden Werkzeuge als Krypto-Blöcke zur Verfügung. In ihnen sind die Basisalgorithmen („crypto primitives“) so kombiniert, dass sie für die Industrie geeignet übernommen werden können. Diese lassen sich in für jedermann verständlichen Klartext für die jeweilige Aufgabe konfigurieren, damit die Anwender ihre Kryptografie-Projekte schnell und unkompliziert realisieren können. Vorgefertigte Beispielanwendungen vereinfachen diese Aufgabe weiter.

Über den Autor: Michael Walser ist Vorstandsmitglied, Gründer und CTO des Münchner Sicherheitsunternehmens Sematicon AG. In dieser Funktion verantwortet er die technische Strategie des Unternehmens und berät Kunden bei der sicheren Umsetzung der digitalen Transformation. Nach seinem Abschluss in Elektrotechnik war er als Consultant und Berater bei weltweiten IT-Sicherheitsprojekten – mit dem Schwerpunkt Kryptographie - für die technische und organisatorische Umsetzung verantwortlich.

(ID:47905514)