Sicher mit symmetrischer Verschlüsselung
Smartes VPN für smarte Systeme
Die Veränderungsprozesse im Maschinenbau und in der industriellen Fertigung erfordern eine Verschmelzung der Industrie mit der Welt der IT. Die Absicherung der Kommunikation zwischen diesen Bereichen bringt jedoch neue Herausforderungen in puncto Sicherheit, Konnektivität und Stabilität mit sich. Klassische VPN-Techniken geraten dabei schnell an ihre Grenzen. Einen innovativen Lösungsansatz stellt die Verwendung symmetrischer Verschlüsselung dar.Das Thema Industriespionage im Hightech-Bereich rückt immer mehr in den Fokus. Deutschland ist beispielsweise führend bei der Entwicklung von erneuerbaren Energietechniken. Doch durch Wirtschaftsspionage können für ein Unternehmen ganze Märkte wegbrechen und Schäden von mehreren Millionen Euro entstehen. Darüber hinaus finden täglich Angriffe auf die Authentisierungsebenen von Steuerungs- oder Produktionsanlagen statt, die über die öffentliche IP-Adresse direkt im Internet zugänglich sind. Aufgrund der kompletten Neuausrichtung der industriellen Kommunikationswege wächst so die Angriffsfläche für Industriespionage stets weiter. Es stellt sich nicht die Frage nach dem Ob, sondern in welcher Form Datenschutzmaßnahmen umzusetzen sind. Trotz vieler ungelöster Fragen sowohl technischer als auch strategischer Art rund um die Vision Industrie 4.0 arbeiten bereits heute viele Unternehmen der Fertigungsindustrie mit selbststeuernden Prozessen und greifen via Fernsteuerung auf Firmen- und Maschinendaten zu. Die starren, unflexiblen Fertigungsanlagen verwandeln sich mit der Zeit in Smart Factories mit effizienten und ressourcensparenden Produktions-strukturen. Die entscheidende Rolle bei diesen Strukturen spielt die Kommunikation, die die Welten der Industrie und IT miteinander verschmelzen lässt. Doch können klassische VPN-Lösungen mit ihren zugrunde liegenden Verbindungs- oder Verschlüsselungsmethoden auch im Internet der Dinge bestehen? Neue Herausforderungen für VPN-Lösungen Die industrielle Topologie der neuen Generation Industrie 4.0 ist äußerst vielfältig und unterschiedlich. Smarte Systeme benötigen für die Kommunikation folglich auch neue und sichere Infrastrukturen. Die Anforderungen von Industrie 4.0 bringen es mit sich, beispielsweise auch Fremdsysteme - etwa die eines neuen Zulieferers im Ausland - in die bestehende Netzwerkstruktur des Unternehmens einzubinden. Klassische VPN-Techniken geraten dabei unter den Aspekten Topologie und Connectivity schnell an ihre Grenzen. Darüber hinaus sind grundlegende Algorithmen des PKI-Kryptosystems (PKI: Public-Key-Infrastruktur), auf dem alle aktuellen VPN-Lösungen basieren, infrage zu stellen. Bei diesen Lösungen lässt sich nur dann von einer vertrauenswürdigen Verbindung sprechen, wenn das Vertrauen an die Root-Zertifikate oder CA (Certificate Authority) garantiert ist. Doch ist dies angesichts der Geschehnisse rund um Prism, Tempora und Co. tatsächlich der Fall? Ein möglicher Lösungsansatz verbirgt sich hinter dem Einsatz von VPN-Techniken mit einem symmetrischen Schlüssel-Management als Basis. Diese Art der Verschlüsselung konzentriert sich auf Punkt-zu-Punkt-Verbindungen, also die direkte Kommunikation zwischen den Endpunkten innerhalb des VPNs. Klassische VPN-Lösungen mit Nutzung von IPSec oder SSL verwenden hingegen für den Aufbau einer sicherer Verbindung asymmetrische Verschlüsselungsverfahren. Ein symmetrisches Schlüssel-Management weist von Grund auf keine Schwachstellen der Public-Key-Infrastruktur auf. Die Widerstandsfähigkeit der Verschlüsselung ist dementsprechend unabhängig von der Rechenkomplexität mathematischer Funktionen oder Vertrauenswürdigkeit der Zertifikate. Bereits anhand des Beispiels der Schlüssellänge lässt sich die erhöhte Security von symmetrischen gegenüber asymmetrischen Techniken aufzeigen: Um genau das gleiche Sicherheitsniveau der symmetrischen Verfahren mit einer Schlüssellänge von 128 Bit (minimale heutige Anforderung an die symmetrischen Systeme) zu erreichen, müsste die Länge der PKI-Schlüssel mehr als 2.000 Bit betragen. Die noch relativ jungen Algorithmen der PKI-Systeme waren in ihrer frühen Entwicklung so angreifbar, dass sie sich innerhalb weniger Monate knacken ließen. Doch auch die Algorithmen, die heute im IT-Bereich etabliert sind, verlieren kontinuierlich an Resistenz - dies beweisen immer neue Anforderungen an die minimale Schlüssellänge bei der PKI. Symmetrisches Schlüssel-Management Die Vertrauensfrage an die PKI entfällt bei der Verwendung symmetrischer Kryptografieverfahren komplett, da Letztere keine Zertifikatsstruktur beziehungsweise Security Association benötigen, um ein VPN aufzubauen. Beim Austausch asymmetrischer Schlüssel hingegen sind stets Dritte, in diesem Fall Zertifizierungsstellen, involviert. Die CAs selbst genossen zwar bislang grundsätzliches Vertrauen. Jedoch ist spätestens seit den Enthüllungen durch Edward Snowden klar, dass Zertifizierungsstellen ihre Kommunikation gegenüber Geheimdiensten offenlegen müssen und somit nicht mehr als vertrauenswürdig gelten können. Der Grundgedanke symmetrischer Verschlüsselung besteht darin, dass jede Seite bereits vor Beginn des Datenaustauschs über einen Schlüssel verfügt, mit dem die Verschlüsselung erfolgt. Jedes Knotenpaar des VPNs besitzt seinen eigenen separaten Schlüssel für den Informationsaustausch. Dieser Schlüssel selbst wird bei der Verschlüsselung jedoch nicht verwendet, stattdessen kommt eine Ableitung von ihm zum Einsatz. Dabei verschlüsselt das System jedes einzelne ausgehende Paket im Netzwerk durch eine neue Schlüsselableitung. Beispiele für aktuelle und sichere symmetrische Kryptoverfahren sind AES (Advanced Encryption Standard) und GOST 28147-89. Die IT-Sicherheitslösung Vipnet von Infotecs beispielsweise verwendet das als sicher geltende und weltweit eingesetzte AES-256-Verfahren. Die Möglichkeiten für Angriffe wie zum Beispiel "Man in the Middle" sind grundsätzlich ausgeschlossen, da ein Austausch von öffentlichen Schlüsseln und Zertifikaten über einen unsicheren Kanal bei symmetrischer Verschlüsselung nicht notwendig ist. Ist der Verschlüsselungstreiber dabei tief in der Netzwerkschicht angesiedelt und der gesamte Traffic von der Netzwerkkarte des Absenders bis zur Netzwerkkarte des Empfängers verschlüsselt, dann lässt sich von sicheren Verbindungen zwischen den involvierten Endpunkten sprechen - seien es stationäre Rechner oder beispielsweise auch mobile Clients. IT-Administratoren können auf diese Weise auch eine hochsichere virtuelle "Abteilung" innerhalb Netzverbunds aufbauen, worin ausschließlich die Rechner dieser Abteilung über verschlüsselte Verbindungen miteinander kommunizieren. Problemlose Einbindung von Zulieferern Weitere Vorteile der symmetrischen Verschlüsselung gegenüber IPSec liegen in der Schnelligkeit und Stabilität der Verbindungen. Diese Eigenschaften sind im Bereich Industrie ausschlaggebend. Produktionssysteme sind oft über LTE und andere Mobilfunkstandards an das globale Netz angebunden, bei denen Verbindungsabbrüche nicht auszuschließen sind. Mit symmetrischer Verschlüsselung lassen sich sogar Produktionsstandorte oder Zulieferer in Gebieten, in denen keine stabile Internet-Verbindung gegeben ist, problemlos ins eigene Netzwerk integrieren. Mithilfe der beispielsweise von Vipnet verwendeten VPN-Technik lässt sich jeder Endpunkt mit einem beliebigen anderen exklusiv verbinden und somit festlegen, welche Personen oder Objekte miteinander kommunizieren dürfen. Sobald die Endpunkte im Netz einander "sehen", bauen sie sofort verschlüsselte Verbindungen auf - ohne die Notwendigkeit einer vorherigen Authentication Session mit der Gegenstelle. Daher können symmetrische Verfahren eine stabile und schnelle Verbindung garantieren. Ein solches VPN-Lösungskonzept ist zwar schon seit Langem auf dem Markt verfügbar und in der klassischen IT-Landschaft ausgiebig erprobt. Die Interoperabilität und Kompatibilität in der industriellen Umgebung verlangen aber nach einer Standardisierung. Dabei ist das produzierende Gewerbe in jeder Hinsicht noch weit von einer landesweiten oder gar globalen Vernetzung entfernt. Derzeit sind zahlreiche Gremien und Arbeitskreise bestrebt, sowohl Standards als auch eine Kategorisierung der erheblichen Vielfalt von Topologien, Plattformen und Übertragungsmedien zu erarbeiten. Standards für Interoperabilität erforderlich Eine der zentralen Rollen nehmen dabei zum Beispiel Funknetzwerke ein. WLAN hat in der Büro-IT zwar einen beachtlichen Standard erreicht - für die Industrie ist dieser aber weniger geeignet, da es ziemlich kostenintensiv ist, Plattformen mit einer geringen CPU-Leistung mit WLAN auszustatten. Weiterhin ist für eine gute Abdeckung im lokalen Netzwerk und einen hohen Datendurchsatz ein relativ großer Stromverbrauch erforderlich. Aus diesem Grund stehen für industrielle Einsatzzwecke aktuell mehrere Alternativen in der Diskussion: Zigbee, 6LoWPAN (IPv6 over Low Power Wireless Personal Area Network) oder sogar Bluetooth. Eine andere wesentliche Rolle spielt die Auswahl der Methode für die Verteilung, Aufbewahrung und den Schutz der kryptografischen Schlüssel für jedes Kommunikationsobjekt. Ob die Hersteller der Steuerungsmodule, Sensoren etc. in Zukunft bereit sind, ihre Produkte mit einem TPM (Trusted Platform Module) auszustatten, in dem sich Schlüssel auf sichere Weise aufbewahren lassen, ist noch ungewiss. Diese und viele andere Fragen gilt es, in den kommenden Jahren zu klären und in eine grundlegende Strategie umzuwandeln.
Lesen Sie mehr zum Thema
