Weitere ähnliche Inhalte Ähnlich wie 'Industrie 4.0' Security (20) 'Industrie 4.0' Security 1. © Provadis
Sicherheit bei Industrie 4.0 – Industrial Internet
„Blick in den Maschinenraum“
Prof. Dr. Erwin Hoffmann
Provadis Hochschule
Frankfurt/Main (Höchst)
IT-Sicherheit erklärt!
2. © Provadis
● Unser Umfeld bei der Provadis
● Herausforderung Industrie 4.0
● Sicherheitsanforderungen
● Bestehende Kommunikationslösungen
● Neue Wege sicherer Kommunikation
beim ‚Industrial Internet‘
● Bundesamt für Sicherheit
im Informationswesen (BSI)
und die OPC UA
Sicherheitsanalyse
● Zusammenfassung
Agenda
3. © Provadis
● Die Provadis Hochschule ist Teil der Provadis Gruppe als privatem
Bildungsanbieter am Industriepark Höchst
● Anerkannt durch das hessische Wissenschaftsministerium und
durch den Wissenschaftsrat Köln
● studieren mehr als 1000 Studenten
berufsbegleitend in den
● Fachbereichen Chemical Engineering,
Business Administrations und Wirtschaftsinformatik
● Am Fachbereich Wirtschaftsinformatik bieten wir Business
Information Management BIM (Bachelor) und den interdisziplinären
Masterstudiengang Technologie und Management MTM an
Provadis Hochschule
staatlich
anerkannte
Fachhochschule
Institutionell
akkreditiert durch
den Wissenschaftsrat
4. © Provadis
Methodenmix und Praxisbezug im Studium
in unterschiedlicher
Zusammensetzung in den
einzelnen Modulen
Vorlesungen mit
Praxisbeispielen
Master Thesis mit
Verteidigung
Übungen mit
Anwendung des
Stoffs auf Neues
Praxisprojekte
mit Präsentation
und Diskussion
Praktiker-
Vorträge mit
Diskussion
Fallstudien mit
Präsentation
Zahlreiche Partnerunternehmen aus der Industrie
5. © Provadis
● Prof. Dr. rer. nat. Erwin Hoffmann (Physiker) –
Jahrgang 1958
● Aufbau des ersten Internet-Anwählknoten in
Frankfurt 1992
● Berater mit Schwerpunkt Vernetzung,
IP-Netze, Sicherheit, Buchautor
● Entwicklung eigener Software; speziell IPv6 und
Email (FEHCom)
● Professor für Informatik an der FH Frankfurt/
Main (Fachbereich 2); nun
● Professor für Wirtschaftsinformatik
an der Provadis Hochschule
● Wohnhaft im Westerwald
Zur Person
Westerwald, 26. April 2016
Campus und Eingang zur Provadis Hochschule
6. © Provadis
Wirtschaftsinformatik und Industrie 4.0
Wirtschaftsinformatik
'Kybernetik'
Regelung/
Steuerung
'Datenverarbeitung'
Informations-
Management
'IT-Systeme'
IT-Services
IT-Security
'Internet-Ökonomie'
B2C: E-Commerce
B2B: SOA, EAI
Prozess-Management Business Intelligence
IT-Governance Internet of Things
7. © Provadis
● Entwicklung und Integration innovativer Informations- und
Kommunikationstechnologien im industriellen Anwendungsbereich
● Vernetzung von (Teil-)Produkten im Herstellungsprozess
● Informationsübertragung zwischen den Prozessen entlang der
Wertschöpfungskette
● Ziele:
● Effizientere Prozesse im Rahmen der
Leistungserstellung
● Höherer Kundennutzen durch
innovative Produkte und Dienstleistungen
● Schwerpunkte im Vortrag:
Industrie 4.0 - Definition
Machine-2-Machine Kommunikation
über Industrial Internet
8. © Provadis
Industrie 4.0 – Smart Factory
Quelle: A.-W. Scheer (2014): „Industrie 4.0 oder wie transportiert man einen Elefanten?“
SOAP ?
9. © Provadis
● Cyber Physical Systems (CPS) beinhalten
● Intelligenz (CPU, Programmierung, Datenspeicher)
● Sensorik
● Kommunikation (kabellose Vernetzung)
● und können im Rahmen ihrer Programmierung autonom handeln ...
sofern die Daten stimmen!
● Im Gegensatz zum aktuellen Roboter-Einsatz
● inter-agiert ein CPS adaptiv auf Umwelteinflüsse und
● den Informationen seiner Kommunikationspartner.
Das CPS stellt somit einen Informationsverbund dar; die
einzelnen Komponenten sind aufeinander gegenseitig angewiesen.
Industrielle Vernetzung: Wo liegt das Problem?
10. © Provadis
● Das CPS ist ein kritischer Produktionsfaktor
● im Hinblick auf das Produkt selbst
● im Hinblick auf die Informationen, die es liefert (oder bekommt)
IT-Sicherheit und das CPS
11. © Provadis
● Verfügbarkeit (Availablitity): Das System muss einsatzbereit sein
● Unversehrtheit (Integrity): Die Daten, die das System liefert und
bekommt müssen technisch korrekt sein
● Vertraulichkeit (Confidentiality): Die austauschten Daten sind nur für
berechtigte Systeme bestimmt; andere haben keine Zugriff
Klassische Ziele der IT-Sicherheit
• Schutz vor Spionage
• Schutz vor Manipulation
• Schutz vor Sabotage
12. © Provadis
● Der Locky-Virus macht aktuell
die Runde:
● Krankenhäuser und öffentliche
Einrichtungen sind betroffen
● Beim Lucaskrankenhaus
in Neuss wurden Patientenakten
'verschlüsselt' und damit
unleserlich gemacht:
● Der Betrieb musste
teilweise eingestellt
werden
● Freigabe der Dateien gegen
eine Erpressersumme
Beispiel: Virus im Krankenhaus
12
13. © Provadis
● USB Ports an Maschinen
werden vom Personal benutzt,
ihr Handy aufzuladen.
● Von verseuchten Android
Handys springt dann das Virus
auf die Maschine über.
● Glück hat, wenn das
Betriebssystem der Maschine
davon unbeeindruckt bleibt.
● Mikko Hypponen (F-Secure):
Beispiel: Virus im Flugzeug
As an example, Hypponen said he had
recently spoken to a European aircraft
maker that said it cleans the cockpits of
its planes every week of malware
designed for Android phones. The
malware spread to the planes only
because factory employees were
charging their phones with the USB port
in the cockpit.
Because the plane runs a different
operating system, nothing would befall
it. But it would pass the virus on to other
devices that plugged into the charger.
http://www.reuters.com/article/us-nuclearpower-cyber-germany-idUSKCN0XN2OS
14. © Provadis
● Nachrichten müssen vertraulich übermittelt werden
● Der Unveränderlichkeit des Nachrichteninhalts muss garantiert werden
● Nachrichtenquelle und -senke müssen berechtigt sein
● Der Ausfall einer Komponente darf nicht das ganze System
gefährden/blockieren
Anforderungen an die sichere Kommunikation bei
Industrie 4.0
15. © Provadis
Wir wollen uns im folgenden die Kommunikationsprotokolle
● Message Queue Telemetry Transport (MQTT)
● MTConnect sowie
● Open Platform Comunication Unified Architecture (OPC UA)
im Hinblick auf ihre Sicherheits-Architektur anschauen und hierbei
speziell auf die aktuelle OPC UA Studie des BSI eingehen.
Das ganze wird abgerundet durch Überlegungen eines sicheren
Kommunikationsprotokolls, das an der Provadis Hochschule am
Entstehen ist.
Bestehende Industrie 4.0 Kommunikationsprotokolle
16. © Provadis
● MQTT ist ein (fast 20 Jahres altes)
Nachrichtenprotokoll für die
Maschine-zu-Maschine (M2M) Kommunikation (IoT)
● Es ist allgemein gehalten und lässt sich sowohl auf TCP/IP-Netzen, als
auch auf IEEE 802.2 Netzen und für Sensor-Netze unter Einsatz des
ZigBee Protokolls einsetzen (MQTT-S)
● MQTT wurde von der IBM und Eurotech entwickelt (SCADA-Protokoll)
● Seit 2013 findet die Standardisierung unter der Regie der OASIS
(Organisation for the Advancement of Structured Information
Standards) statt
● Das aktuelle MQTT Framework lässt auch die Verwendung von Web-
Sockets zu, was die Verwendung von JavaScript stark vereinfacht
Message Queue Telemetry Transport (MQTT)
18. © Provadis
● MQTT verlässt sich komplett auf die Sicherheit des
‚Transportprotokolls‘, wie z.B. DTLS bei UDP/IP oder TLS bei TCP/IP
● Authentisierung der Clients erfolgt mittels Topics und Passwörtern
● Zur Authentisierung der Clients kann oAuth genutzt werden
MQTT Sicherheit
Quelle: https://auth0.com/docs/scenarios/mqtt
19. © Provadis
● MTConnect ist hervorgegangen aus der
Association For Manufacturing Technology (AMT),
wo im Jahr 2008 Forscher von Sun Microsystems
und der University of California in Berkeley (UCB) einen
● Entwurf zur Verbindung von Maschinen- und Anlagenbau für ‚die
Produktion des 21. Jahrhunderts‘ vorstellten
● MTConnect wir u.a. von den Firmen Boeing, General Electric, Bosch
Rexroth Corporation, Lockhead Martin, Cisco und Foxconn unterstützt
● Der aktuelle Standards MTConnect 1.3.1 umfasst vier Teile:
● Teil 1: ‚Overview and Protocol‘
● Teil 2: ‚Compontens and Data Items‘ – Aktoren, Sensoren, Material
● Teil 3: ‚Streams, Events, Samples, and Condition‘ sowie ‚Interfaces‘
● Teil 4: ‚Assets‘ und ‚Cutting Tools‘
MTConnect
20. © Provadis
MTConnect besitzt folgende Elemente:
● Devices und ihre Rollen werden beschrieben (Geräte, Controller,
Aktoren, Sensoren, Schnittstellen) und systematisch erfasst
● Die Informations-Container werden definiert und die serialisierte
Abarbeitung vorgegeben
● Der Kommunikationsablauf basiert auf HTTP mittels ReSTful
Nachrichten, die lediglich zur Abfrage dienen:
● probe – Auflisten der Komponenten eines Devices
● current – Aktueller Wert eines Data-Items der Komponente
● sample – hole Werte, Ereignisse und Bedingungen für ein Intervall
● asset – Abfrage des mit dem Device verbundenen Assets
MTConnect sieht keine Steuerung bzw. Regelung vor!
MTConnect Elemente
22. © Provadis
● Ein MTConnect Device kann als
Agent eines Geräts verstanden
werden, mittels dessen
Informationen für einzelne
Komponenten (DataItems) über
das Interface abgerufen werden
können:
● Samples (Ablesewerte)
● Events (Ereignisse)
● Conditions (Zustände)
● UNAVAILABLE
● NORMAL
● WARING
● FAULT
MTConnect – Agenten und Informationsmodell
Dies erfolgt über eine HTTP Nachricht!
Quelle: MTC_part_1_overview_v1.3.pdf
HTTP Request (URI)
HTTP Response (Nachricht)
23. © Provadis
● Bei MTTConnect greift der Agent auf die Komponenten eines
Devices zu:
● Die Komponenten und ihre DataItem sind formal beschrieben
● Die Kommunikation mit der Aussenwelt findet über ein Interface
statt, das HTTP versteht; also ein Webserver
● Die Informationen werden in einem Datenpuffer gehalten, der
nach dem FIFO-Prinzip aufgebaut ist
MTConnect: Device Agent WebServer
category=op
category=op
DataItem
DataItem
Component
MTConnect
Agent
Request
Response
• Informationen über
Werkzeugteile, den
Assets, werden
persistiert
(Key Value Store)
24. © Provadis
● MTConnect ist eine klassische Client/Server-Architektur
● MTConnect sieht kein Sicherheitskonzept vor
● ‚Sicherheit‘ muss auf Seiten der Transportdienste
(Web-Services) vorgehen werden
● Es wird vorausgesetzt, dass alle Akteure im
Produktionsnetz per se qualifiziert und autorisiert sind
Dies mag bei den bisherigen industriellen
Kommunikationsprotokollen, wie Profinet oder
Modbus TCP der Fall sein; sicherlich aber nicht
bei Industrial Internet
MTConnect Sicherheit?
25. © Provadis
● OPC UA ist entstanden aus dem Microsoft-Umfeld
in den 90er Jahre, wo es noch
OLE for Process Control hiess und auf das
proprietäre DCOM Modell aufbaute
● Heute ist OPC UA eine Plattform zur Zusammenführung
unterschiedlicher Herstellerstandards unter dem Stichwort SCADA
(Supervisory Control and Data Acquisition)
● Der aktuelle OPC UA Standard, der auf XML Web-Services aufbaut,
wird seit 2006 weiter entwickelt
OPC UA versteht sich nicht nur für die Machine-2-Machine
Kommunikation, sondern auch für den für die Machine-2-Enterprise
Einsatz
OPC Unified Architecture
26. © Provadis
OPC
UA
Client
OPC
UA
Client
OPC
UA
Client
OPC UA
Server
● OPC UA ist eine typische Client/Server-Architektur; hier Masters
und Servants genannt, die miteinander kommunizieren:
● Jedes System kann eine
Vielzahl von Masters als
auch Servants enthalten
● Der OPC Master
besitzt im Vergleich
zum
● OPC Servant eher
einen geringen Funktionsumfang
OPC UA Systemarchitektur
27. © Provadis
Binary Format XML Format
UA Secure
Conversation
UA TCP
WS Secure
Conversation
SOAP
HTTPHTTPS
TCP/IPv4 oder TCP/IPv6
Port 4840 Port 443 Port 443 Port 80
● Das Nachrichtenformat ist
● entweder eine übliche
XML Datei, die einen
SOAP (1.2) Request/Response
enthält, oder
● eine UA Binärdatei, die
über den Port 4840 über-
tragen wird
OPC UA Kommunikationsinfrastruktur
28. © Provadis
OPC UA besitzt zwei Sicherheitskomponenten:
● Auf der Transportschicht werden die Nachrichten mittels HTTPS
verschlüsselt und gesichert übertragen
● Die Binär- bzw. SOAP-Nachrichten können aber auch mittels UA
Secure und WS Secure Conversation selbst verschlüsselt werden
Die Authentisierung der Master/Servants basiert
● auf dem Austausch von X.509 Zertifikaten
● unter Nutzung einer PKI (Public Key Infrastructure)
OPC UA Sicherheitsarchitektur
29. © Provadis
Das BSI hat in einer Sicherheitsanalyse vom 24.4.2016 OPC UA
folgendes bescheinigt:
OPC UA BSI Analyse
• OPC Unified Architecture (OPC UA) ist der zentrale Standard in der
Umsetzung der Zukunftsstrategie Industrie 4.0 und wird bereits jetzt bei der
Vernetzung vorhandener Industrieanlagen immer häufiger eingesetzt.
• Sicherheit war von Anfang an eines der Kernziele von OPC UA als Protokoll
der Zukunft: Es bietet die Möglichkeit, herstellerübergreifend Netze über
verschiedene Einsatzebenen von der Steuerungs- bis hin zur
Unternehmensebene zu verbinden.
• Außerdem bringt OPC UA, im Gegensatz zu vielen anderen
Industrieprotokollen, integrierte Sicherheitsfunktionalität zur Absicherung
der Kommunikation mit.
Die durchgeführte Spezifikationsanalyse hat gezeigt, dass OPC UA, im
Gegensatz zu den meisten anderen Industrieprotokollen, ein hohes Maß an
Sicherheit bietet.
30. © Provadis
25 mm
● Was sind unsere ‚Cyber Physical Devices‘?
● Raspberry Pi (Zero) – 5 $ (Rasbian Linux)
● TI CC1320 / Cortex A3 (mit Funkmodul: Reichweite 20 km) – 2,80 $
● Android/BSD Unix
● Anforderungen:
● Stromversorgung
● Netzwerk-Anbindung
● Sensoren-Integration
Webserver mit HTTPS und SOAP?
Wo liegt das Problem?
Raspi 0TI
31. © Provadis
● Zur Sicherstellung der Vertraulichkeit und Integrität der Nachrichten
(Sonsor-Mitteilungen, Konfigurations-Befehle) kann auf
● Transport-Verschlüsselung (TLS/HTTPS) oder
● Nachrichten-Verschlüsselung
zurück gegriffen werden.
Verlass auf Transport-Verschlüsselung?
Dark Fiber
Bitübertragung PHYPHY
MAC MAC
IP IP
TCP TCP
TLSTLS
Dark Fiber
TLS Tunnel
Routerfunktion
HTTPS HTTPS
WSC WSC
geschützte TLS Ende-zu-Ende-Übermittlung
geschützte Nachrichten-Übermittlung
IPsec-Pakete
TLS-
Records
Nachrichten Benutzer (Authentisiert)
Applikation
Instanz
(zustands-
orientiert)
Instanz
(zustandslos)
Instanz
(Authentisiert)
Security Association nach IPsec
WAP2/EAP
32. © Provadis
● Zum Betrieb eines Industrie 4.0 Netzes auf Basis von Industrial
Ethernet ist eine hierarchisches Teilnehmerkonzept notwendig, dass
● Berechtigungen und
● Rollen (Befehlsvergabe und –ausführung, Informationsweitergabe)
vorsieht.
● Ein PKI-basiertes System, das X.509 Zertifikate nutzt, muss
● Stamm-Zertifikate und
● Client-Zertifikate (+ Private Keys) sowie
● Certificate Revocation Lists (CRL)
an die betroffenen Teilnehmer ausrollen.
Sicherheit wird kompliziert und aufwändig!
Authentizität und Berechtigung der Teilnehmer
33. © Provadis
● Paradigma 1: Auf Transport-Verschlüsselung ist kein Verlass
● Paradigma 2: Unsere Netze sind offen (WLAN etc)
● Lösung A: Die Nachrichten müssen verschlüsselt werden!
● Lösung B: Das Berechtigungskonzept muss über die Namen
(genauer: den Netzwerk Name-Space) der Komponenten geregelt
werden.
Das Projekt ‚Marbel‘ an der Provadis ist gestartet worden, diese
Anforderungen technisch umzusetzen:
● Definition eines Nachrichtencontainers und
● Kommunikationsprotokolls für diese Anforderungen
● Marbel ist neutral gegenüber der zu übertragenen Nachricht
Alternativen + Vorschlag
34. © Provadis
● Vielen Dank für Ihre Aufmerksamkeit!
● Fragen??
● Kommentare??
● Bemerkungen??
Mailto: erwin.hoffmann@provadis-hochschule.de
Feedback
34
36. © Provadis
● Seit Mitte des letzten Jahres (2015)
gibt es das
● Gesetzes zur Erhöhung der
Sicherheit
informationstechnischer Systeme
(IT-Sicherheitsgesetz) -- KRITIS
● Weder Krankenhäuser
noch der Deutsche
Bundestag (Parlakom)
fallen hierunter.
Bundesregierung: KRITIS
36
KRITIS sieht weder Redundanzen
noch den Verzicht auf
fehleranfällige Komponenten vor.
37. © Provadis
Allgemein
● https://www.oasis-open.org
● iX 8/2015: Industrielle Vernetzung
● http://www.heise.de/ct/ausgabe/2015-27-News-Embedded-3035821.html
MQTT
● http://mqtt.org
● https://de.wikipedia.org/wiki/MQ_Telemetry_Transport
● https://www.oasis-open.org/news/announcements/mqtt-version-3-1-1-becomes-an-oasis-standard
● http://www.heise.de/developer/artikel/MQTT-Protokoll-fuer-das-Internet-der-Dinge-2168152.html
● https://auth0.com/docs/scenarios/mqtt
MTConnect
● http://www.mtconnect.org
UPC UA
● https://opcfoundation.org/about/opc-technologies/opc-ua/
● http://www.heise.de/newsticker/meldung/Industrie-4-0-BSI-gibt-gruenes-Licht-3186603.html
● https://www.bsi.bund.de/DE/Publikationen/Studien/OPCUA/OPCUA_node.html
● https://www.iosb.fraunhofer.de/servlet/is/21752/OPC-UA-Wegbereiter-der-I40.pdf?
command=downloadContent&filename=OPC-UA-Wegbereiter-der-I40.pdf
Quellen
37