Sichere Kommunikation für industrielle Netze
OPC UA - Quo vadis?
Mit OPC UA steht ein Standard zum Austausch von Informationen zur Verfügung, der viele unterschiedliche Bedürfnisse abdeckt. Bei der Konzeption wurde bereits das Thema Security berücksichtigt. Es wurden Möglichkeiten vorgesehen, dass zu übertragende Daten signiert und verschlüsselt werden können. Jedoch hört man immer wieder von Problemen. Was ist hier der aktuelle Stand?
Bild: wladimir1804/FotoliaDas Bundesamt für Sicherheit für Sicherheit in der Informationstechnik (BSI) hat 2015 eine Studie zur IT-Sicherheit bzw. Industrial Security in Bezug auf OPC UA veröffentlicht. Das Ergebnis der Studie wurde vielfach mit den Worten "OPC UA ist sicher" zusammengefasst. Korrekter ist die Aussage, dass in den Spezifikationen keine systematischen Schwachstellen entdeckt wurden. Einzelne Verbesserungsvorschläge wurden von der OPC Foundation aufgegriffen und in neuere Versionen der Spezifikationen eingearbeitet. Ebenso wurden im Rahmen der Studie gefundene Schwachstellen in der Referenzimplementierung schnell beseitigt. Dieses vorbildliche Verhalten hat sich auch Anfang 2018 gezeigt, als durch die Firma Kaspersky weitere Schwachstellen entdeckt, veröffentlicht und behoben wurden.
Der Teufel steckt im Detail
Doch schon Johann Wolfgang von Goethe schrieb: "Grau, mein Freund ist alle Theorie". In den Spezifiaktionen sieht OPC UA Mechanismen für eine sichere Übertragung vor. In der praktischen Umsetzung steckt der Teufel jedoch im Detail. Das führt dazu, dass die Sicherheit der Daten bedroht wird. Ein Beispiel ist die Verteilung und Pflege der Zertifikate mit den öffentlichen Schlüsseln. Der Global Discovery Service (GDS) hat die Aufgabe, diese zu verwalten und als zentrale Anlaufstelle für Komponenten in einem Bereich zu dienen. Es gab lange Zeit jedoch keine Implementierung. Die Verteilung von Zertifikaten für die Verschlüsselung und Authentisierung erfolgt daher momentan häufig manuell. Alternativ werden in Projekten zum Teil mit hohem Aufwand Einzellösungen entwickelt. Für kleinere Szenarien mit wenigen Komponenten ist ein regelmäßiger händischer Austausch noch mit vertretbarem Aufwand möglich. Bei größeren Installationen mit hunderten Komponenten ist damit ein sehr hoher zeitlicher Invest verbunden. Zudem sind solche manuellen Lösungen fehleranfällig. Bei Ablauf eines Zertifikats und nicht rechtzeitiger Erneuerung droht ein Ausfall der darüber abgewickelten Funktion und möglicherweise ein Stillstand der Anlage. Vor diesem Problem stehen viele Entwickler und Anwender von OPC UA. Die einfachste Lösung bietet ebenfalls der Standard: es ist die Security-Option 'none'. Wie der Name vermuten lässt, sind dort alle Security-Funktionen deaktiviert. Der Entwickler muss sich nicht mehr mit den Problemen der Zertifikate auseinander setzen und kann schnell eine Lösung mit OPC UA umsetzen. In diesem Fall ist OPC UA nicht besser oder schlechter als jedes andere Protokoll ohne Security-Funktionen.
Bild: Bundesamt für Sicherheit in der ITEntscheidung auf Basis der Risiken
Es ist auch nicht in jedem Szenario notwendig, die Daten zu signieren und zu verschlüsseln. Im Rahmen einer Risikoanalyse kann entschieden werden, dass es ausreicht die Daten nur zu signieren. Möglicherweise gibt es auch Szenarien, in denen auf beides verzichtet wird, weil die Kommunikation in einem abgeschotteten Netzwerk erfolgt. Wichtig ist, dass eine bewusste Entscheidung auf Basis der möglichen Risiken getroffen wird. Die Entscheidung darf dabei nicht durch Herausforderungen bei der Umsetzung beeinflusst werden. Diese Funktionen nachträglich einzufügen ist mit erheblich mehr Aufwand verbunden. Diese Aufgabe für die Nutzer von OPC UA haben die Plattform Industrie 4.0 und die OPC Foundation aufgegriffen. Da OPC UA eine zentrale Rolle bei Industrie 4.0 zugeschrieben wird, werden in dem Diskussionspapier 'Sichere Implementierung von OPC UA für Betreiber, Integratoren und Hersteller' Anforderungen an die sichere Verwendung herausgestellt und erste Umsetzungsmöglichkeiten vorgestellt.
Private Schlüssel sicher speichern
Neben der genannten Herausforderung bei der Nutzung des Standards und der Implementierungen selbst, gibt es weitere offene Punkte und dazu gehört die sichere Speicherung der verwendeten privaten Schlüssel. Bisher werden diese als Dateien im Speicher der Komponente abgelegt. Ein Angreifer, der Zugriff auf die Komponente hat, kann diesen kopieren und nutzen, um Daten zu entschlüsseln, signieren oder sich als die Komponente zu authentisieren. Um die sichere Speicherung zu vereinfachen, läuft im BSI das Projekt 'SE-API for OPC UA' (Secure Element - Application Programming Interface). In dem Projekt soll eine einheitliche Programmierschnittstelle definiert werden, über die sogenannte Secure-Elements angesprochen werden können. Dabei handelt es sich um zusätzliche Hardwareelemente, die besondere Schutzmaßnahmen für kryptographische Geheimnisse bieten. Mit der Programmierschnittstelle ist beabsichtigt, den Zugriff und die Nutzung dieser Elemente zu vereinfachen und eine einfache Portierbarkeit auf unterschiedliche Hersteller zu ermöglichen. Insbesondere wird die Programmierschnittstelle auf die direkte Integration in OPC-UA-Bibliotheken verbessert, so dass diese die Schlüssel und kryptographischen Operationen automatisch in der Hardware durchführen. Auf diesem Weg kann in Komponenten, die entsprechende Module enthalten, mit wenig Aufwand eine sichere Speicherung erzielt werden.
Ausblick
Für die weitere Umsetzung von Industrie 4.0 ist es unerlässlich, dass Security by Design auch im Zusammenhang mit dem Einsatz von OPC UA stärker verfolgt wird. Das bedeutet, dass die spezifizierten Sicherheitsmechanismen in den Komponenten implementiert und bei der Integration durch den Maschinenbauer genutzt werden. Dabei ist von allen Seiten Wert auf eine einfache Nutzung zu legen. Für den Betreiber einer Maschine oder Anlage ist das besonders wichtig. Für ihn zählt, dass die Maschine verfügbar ist und korrekt arbeitet. Er möchte den Aufwand für die Sicherheit, soweit es möglich ist, reduzieren. Es kann sich daher lohnen bei der Beschaffung mehr Geld zu investieren, um eine einfach nutzbare sichere Lösung einzukaufen, als später durch schlechte Lösungen einen hohen manuellen Aufwand zu generieren. Die Akzeptanz von Lösungen, die einen erheblichen Mehraufwand mit wenig Komfort im Betrieb oder Ausfällen durch den Einsatz von Security-Mechanismen verursachen, wird gering sein. Es braucht daher nutzbare Lösungen, die die Verwaltung von den Zertifikaten und Berechtigungen vereinfacht. Hierbei steht weniger OPC UA im Vordergrund als die Umsetzung in den Komponenten und Anlagen. Das wird auch für die Sicherheits-Features von OPC UA entscheidend sein. Wenn der spezifizierte Funktionsumfang nicht genutzt wird, weil es zu komplex ist oder nicht vollständig implementiert ist, ist OPC UA nur eines von vielen Protokollen ohne Security. Es muss sich gerade in Bezug auf Industrie 4.0 noch zeigen, dass Security bei OPC UA ernst genommen wird und sich die Lösungen auf dem Markt etablieren, die sicher und einfach nutzbar sind.
Der Teufel steckt im Detail
Doch schon Johann Wolfgang von Goethe schrieb: "Grau, mein Freund ist alle Theorie". In den Spezifiaktionen sieht OPC UA Mechanismen für eine sichere Übertragung vor. In der praktischen Umsetzung steckt der Teufel jedoch im Detail. Das führt dazu, dass die Sicherheit der Daten bedroht wird. Ein Beispiel ist die Verteilung und Pflege der Zertifikate mit den öffentlichen Schlüsseln. Der Global Discovery Service (GDS) hat die Aufgabe, diese zu verwalten und als zentrale Anlaufstelle für Komponenten in einem Bereich zu dienen. Es gab lange Zeit jedoch keine Implementierung. Die Verteilung von Zertifikaten für die Verschlüsselung und Authentisierung erfolgt daher momentan häufig manuell. Alternativ werden in Projekten zum Teil mit hohem Aufwand Einzellösungen entwickelt. Für kleinere Szenarien mit wenigen Komponenten ist ein regelmäßiger händischer Austausch noch mit vertretbarem Aufwand möglich. Bei größeren Installationen mit hunderten Komponenten ist damit ein sehr hoher zeitlicher Invest verbunden. Zudem sind solche manuellen Lösungen fehleranfällig. Bei Ablauf eines Zertifikats und nicht rechtzeitiger Erneuerung droht ein Ausfall der darüber abgewickelten Funktion und möglicherweise ein Stillstand der Anlage. Vor diesem Problem stehen viele Entwickler und Anwender von OPC UA. Die einfachste Lösung bietet ebenfalls der Standard: es ist die Security-Option 'none'. Wie der Name vermuten lässt, sind dort alle Security-Funktionen deaktiviert. Der Entwickler muss sich nicht mehr mit den Problemen der Zertifikate auseinander setzen und kann schnell eine Lösung mit OPC UA umsetzen. In diesem Fall ist OPC UA nicht besser oder schlechter als jedes andere Protokoll ohne Security-Funktionen.
Bundesamt für Sicherheit in der IT
Dieser Artikel erschien in SPS-MAGAZIN 8 2018 - 20.08.18.Für weitere Artikel besuchen Sie www.sps-magazin.de
