OPC UA und Informationssicherheit
Mechanismen für jeden Anwendungsfall
Der Standard OPC UA hält eine Reihe von Mechanismen zur Absicherung der Kommunikation zwischen Automatisierungskomponenten bereit. Anhand eines Drei-Ebenen-Modells lässt sich ein Cyber Security Management-System einrichten, das auf den jeweiligen Anwendungsfall abgestimmte IT-Sicherheitslösungen gestattet.
Funktionale Sicherheit (functional safety), Zuverlässigkeit (reliability) und Informationssicherheit (IT security) spielen eine immer bedeutendere Rolle in der industriellen Automatisierung. Durch die Öffnung der Produktionsnetzwerke nach außen müssen gerade Standard-Kommunikations- und Managementplattformen, die dort eingesetzt werden und die Informationen aus der Produktion über Netzwerkinfrastrukturen zugänglich machen, ein großes Augenmerk auf einen angemessenen Schutz der kommunizierten Informationen legen. Unerheblich ist dabei, ob der Zugriff lokal oder standort-/unternehmensübergreifend zum Beispiel via Internet erfolgt. Die erforderlichen Schutzmechanismen variieren von Fall zu Fall. Die OPC Unified Architecture (OPC UA), als ein Vertreter solcher Standards, spezifiziert eine Reihe an möglichen Mechanismen, die es im Bedarfsfall zu nutzen gilt. Diese sind nicht Standard-spezifisch, sondern bauen auf aktuell in der Praxis vorherrschenden Mechanismen auf. Das Fraunhofer IOSB setzt OPC UA in laufenden Forschungsprojekten und in vielen Industrieprojekten ein. Gerade die Sicherheitsmechanismen des Standards geben häufig den Ausschlag zur Entscheidung für diese Technologie. Die OPC UA-Spezifikationen benennen mögliche Angriffsszenarien, wie das unerlaubte Eindringen in das System, die Verfälschung oder Manipulation von Werten, Nachrichten und Anmeldedaten, das unerlaubte Abhören der Kommunikation oder die Kompromittierung von OPC UA-Servern durch eine Nachrichtenflut sowie explizite umsetzbare Gegenmaßnahmen.
Sicherheitsmodell mit drei Ebenen
Mittels OPC UA lässt sich ein Cyber Security Management-System (CSMS) auf der Grundlage eines Sicherheitsmodells mit drei Ebenen einrichten. Die Nutzer-Authentifizierung in OPC UA erfolgt mit einer Benutzerpasswort-Kombination oder basierend auf einem Sicherheitsschlüssel, einem 'security token'. Hierfür wird der Einsatz von Zertifikaten vorgeschlagen, zum Beispiel X.509v3. Auch Server und Clients erhalten eine eigene Identität basierend auf einem solchen Zertifikat. Dabei spielt es keine Rolle, ob dies selbst-signierte oder von einer Zertifizierungsstelle (Trusted Authority) verifizierte Zertifikate sind. Während Local Discovery Server (LDS) Informationen über alle Server vorhalten, die bei ihnen registriert wurden, kann ein Global Discovery Server (GDS) auch Discovery-Informationen über Applikationen in einem Unternehmen bereitstellen. Der GDS übernimmt das Zertifikatsmanagement, die Verteilung und das Management von Zertifikaten und realisiert Trust- und Revocation List. Dabei muss die Erstverteilung ebenso wie die Erneuerung von Zertifikaten unterstützt werden. Für Nutzer oder Gruppen kann der Zugriff auf einen OPC UA-Server oder seine Knoten geregelt werden. Diese Autorisierungsmechanismen regeln den lesenden (read, historyread), schreibenden (write, historywrite) oder ausführenden Zugriff (execute) auf Daten. Wird der Zugriff verweigert, gibt es hierfür entsprechende vordefinierte Status-Codes, zum Beispiel 'Bad_useraccessdenied'. So kann für Personen mit bestimmten Rollen wie Inbetriebnehmer, Servicetechniker oder den Anlagenbetreiber der Zugriff auf wichtige Produktionsinformationen geregelt werden. Das Fraunhofer IOSB nutzt diese Mechanismen beispielsweise im Projekt SecurePLUGandWORK. Auch die Integrität der Daten muss sichergestellt werden: Ein Empfänger muss sicher sein, dass die Daten ohne jegliche Verfälschung bei ihm eintreffen - gerade so, wie sie der Sender verschickt hat. Dazu werden Daten 'signiert'. Hierfür werden symmetrische und asymmetrische Signaturen genutzt. Gleichzeitig enthält jede Request-/Response-Nachricht in OPC UA eindeutige Session-IDs, Secure Channel-IDs, Zeitstempel, Sequenznummern und Request-IDs, auf Basis derer geprüft werden kann, ob Nachrichten verfälscht wurden. Um die Vertraulichkeit der auf einem spezifischen Kommunikationskanal, oder secure channel, zwischen zwei Partnern übermittelten und verwalteten Informationen sicherzustellen, wird eine asymmetrische Verschlüsselung genutzt. Dies soll das das ungewollte Abhören von Nachrichten verhindern.
Redundanzmechanismen für OPC UA-Server
Der Kompromittierung von OPC UA-Servern auf Grund von Nachrichtenfluten wirkt OPC UA entgegen, indem nur eine definierte maximale Anzahl an Sessions von einem Server akzeptiert wird und gleichzeitig die Verfügbarkeit der Server auf Basis von Redundanzmechanismen sichergestellt wird. Zusätzlich zur vorbeugenden Sicherung gilt es auch, den aktuellen Zustand, Aktionen und Ergebnisse als Audit-Spuren zu dokumentieren und nachvollziehen zu können, um im Nachgang einer Kommunikation die sogenannte Prüffähigkeit - oder auditability - sicherzustellen. Daher werden mit OPC UA erfolgreiche und erfolglose Verbindungsversuche ebenso aufgezeichnet wie Konfigurationsänderungen, Zurückweisungen von Sessions und so weiter. Anhand der Audit-Spuren kann beispielsweise das versuchte Eindringen von Angreifern frühzeitig erkannt und klassifiziert werden. Diese Mechanismen nutzt das IOSB beispielsweise innerhalb eines Frühwarnsystems für Cyber-Attacken auf IT-Systeme kritischer Infrastrukturen. OPC UA bietet also eine Vielzahl von Möglichkeiten für die IT-Sicherheit. Welche ausgewählt und umgesetzt werden sollten, entscheidet sich anhand des Anwendungsfalls und den möglichen Bedrohungen.
Der Standard OPC UA hält eine Reihe von Mechanismen zur Absicherung der Kommunikation zwischen Automatisierungskomponenten bereit. Anhand eines Drei-Ebenen-Modells lässt sich ein Cyber Security Management-System einrichten, das auf den jeweiligen Anwendungsfall abgestimmte IT-Sicherheitslösungen gestattet.
Funktionale Sicherheit (functional safety), Zuverlässigkeit (reliability) und Informationssicherheit (IT security) spielen eine immer bedeutendere Rolle in der industriellen Automatisierung. Durch die Öffnung der Produktionsnetzwerke nach außen müssen gerade Standard-Kommunikations- und Managementplattformen, die dort eingesetzt werden und die Informationen aus der Produktion über Netzwerkinfrastrukturen zugänglich machen, ein großes Augenmerk auf einen angemessenen Schutz der kommunizierten Informationen legen. Unerheblich ist dabei, ob der Zugriff lokal oder standort-/unternehmensübergreifend zum Beispiel via Internet erfolgt. Die erforderlichen Schutzmechanismen variieren von Fall zu Fall. Die OPC Unified Architecture (OPC UA), als ein Vertreter solcher Standards, spezifiziert eine Reihe an möglichen Mechanismen, die es im Bedarfsfall zu nutzen gilt. Diese sind nicht Standard-spezifisch, sondern bauen auf aktuell in der Praxis vorherrschenden Mechanismen auf. Das Fraunhofer IOSB setzt OPC UA in laufenden Forschungsprojekten und in vielen Industrieprojekten ein. Gerade die Sicherheitsmechanismen des Standards geben häufig den Ausschlag zur Entscheidung für diese Technologie. Die OPC UA-Spezifikationen benennen mögliche Angriffsszenarien, wie das unerlaubte Eindringen in das System, die Verfälschung oder Manipulation von Werten, Nachrichten und Anmeldedaten, das unerlaubte Abhören der Kommunikation oder die Kompromittierung von OPC UA-Servern durch eine Nachrichtenflut sowie explizite umsetzbare Gegenmaßnahmen.
Fraunhofer-Institut für Optronik, Systemtechnik
Dieser Artikel erschien in IT&PRODUCTION Mai 2015 - 08.05.15.Für weitere Artikel besuchen Sie www.it-production.com