Schutz industrieller Informationen – Die Notwendigkeit sicherer Datenverarbeitung und -übertragung

VonAlan Burgess
Mit SMARTUNIFIER kann Ihr industrieller Betrieb sichere Kommunikation mit Shopfloor-Geräten und im gesamten Unternehmen einfach und kostengünstig umsetzen.

Viele Unternehmen haben begonnen, die Vorteile des Zugangs zum industriellen Internet der Dinge (IIoT) zu erkunden und Industrie 4.0 zu implementieren. Da immer mehr Daten abgerufen und zwischen Systemen ausgetauscht werden, muss auch die Datensicherheit berücksichtigt werden. Leitlinien werden von Organisationen wie dem Open Web ApplicationSecurity Project (OWASP) bereitgestellt. Der folgende Bericht befasst sich mit dem Produkt SMARTUNIFIER von Amorph Systems und den Maßnahmen, die zur Gewährleistung der Zuverlässigkeit und Sicherheit während des Lebenszyklus des Produkts getroffen wurden. Dazu gehören die Einhaltung von Spezifikationen und Maßnahmen, die sicherstellen, dass die Anmeldeinformationen der beteiligten Systeme und die übertragenen Daten auf höchstem Niveau geschützt werden. 

SMARTUNIFIER verfügt über eine vollständig dezentralisierte Architektur, die eine schnelle und einfache Integration von Industrieanlagen, Edge-Geräten und IT-Systemen ermöglicht, ohne dass zentrale Plattformen und Datenbanken eingesetzt werden müssen. Die Kommunikation erfolgt von einer oder mehreren Datenquellen zu einem oder mehreren Datenempfängern in massiv skalierbaren Topologien. SMARTUNIFIER-Kommunikationsinstanzen werden in der Regel direkt vor Ort betrieben (z.B. auf Industrie-PCs, Edge Gateways) oder laufen in containerisierten Umgebungen (z.B. Docker, Cloud), wodurch die von ihnen bereitgestellten Datenaustauschdienste effektiv isoliert werden, um jegliche Interferenzen mit anderen Diensten zu vermeiden. 

Das folgende Diagramm veranschaulicht die Architektur.

Installation of smartunifier possible on the edge, on-premise or in the cloud as swarm
SMARTUNIFIER-Kommunikation

Mehrere dezentrale Kommunikationsinstanzen können überall eingesetzt und über den SMARTUNIFIER Manager verwaltet werden. Dieser bietet Funktionen für Echtzeitüberwachung und Protokollierung der aktiven Instanzen. Die industrielle Konnektivität wird mit beliebigen Geräte- oder Systemkommunikationsprotokollen und Datenformaten realisiert. 

Zuverlässigkeit und Sicherheit im Entwicklungslebenszyklus

Es ist entscheidend, dass Sicherheit und Zuverlässigkeit bereits in der Entwicklungsphase eines Produkts berücksichtigt werden. Zu diesem Zweck nutzt Amorph Systems modernste Softwareentwicklungsplattformen und -werkzeuge. Der Build-, Test- und Deploymentprozessist durch den Einsatz des Jenkins Automation Servers vollständig automatisiert, um eine kontinuierliche Integration und kontinuierliches Delivery zu ermöglichen.
Um die Codequalität sicherzustellen, werden kontinuierliche Tests durchgeführt, beginnend mit Unit-Tests für einzelne Module, Integrationstests, um die Interoperabilität der Komponenten zu gewährleisten, sowie End-to-End-Tests, um die Integrität der Anwendung sicherzustellen. Der gesamte Testprozess ist automatisiert, und tägliche Build-Checks stellen sicher, dass Fehler frühzeitig erkannt und behoben werden.

Zusätzlich zur Einhaltung von Industriestandards und Richtlinien werden spezielle Tools eingesetzt, um die Codequalität zu überprüfen und Sicherheitslücken zu identifizieren.

• Sonarqube wird verwendet, um die Wartbarkeit, Zuverlässigkeit und Sicherheit des Codes sicherzustellen. Durch regelmäßige Scans werden potenzielle Qualitäts- oder Sicherheitsprobleme frühzeitig erkannt und umgehend behoben, um einen hochwertigen und sicheren Code zu gewährleisten. 

• OWASP Dependency-Check wird verwendet, um öffentlich bekannte Sicherheitslücken in den Abhängigkeiten des SMARTUNIFIER-Projekts zu erkennen und das Risiko in der Software-Lieferkette zu reduzieren.
Dependency-Track nutzt die Funktionen einer Software Bill of Materials (SBOM), um eine Kompositionsanalyse durchzuführen, die herkömmliche Software CompositionAnalysis (SCA)-Lösungen nicht leisten können. 

• Alle Softwarekomponenten werden kontinuierlich mit den neuesten Sicherheits-Patches aktualisiert.

• OWASP Zed Attack Proxy (ZAP) wird für Penetrationstests von SMARTUNIFIEReingesetzt, um Schwachstellen gegenüber bösartigen Angriffen zu identifizieren.

Konnektivität, Konfiguration und Bereitstellung

Die Konfiguration, Bereitstellung und Verwaltung von SMARTUNIFIER-Instanzen erfolgt über den SMARTUNIFIER Manager.
Alle Konfigurationsdaten sind vollständig verschlüsselt, im Gegensatz zu einfacheren Lösungen, die Anmeldeinformationen als Klartext in Konfigurationsdateien speichern.
Die individuelle Benutzer-Authentifizierung wird unterstützt, und eine Windows AD / LDAP-Integration ist verfügbar.
Der SMARTUNIFIER Manager ermöglicht eine einfache Bereitstellung von Updates für die Kommunikationsinstanzen in der Produktionsumgebung, sodass Integrität und Sicherheit kontinuierlich gewährleistet bleiben. 

Das folgende Diagramm veranschaulicht die Sicherheitsmaßnahmen, die bei einer SMARTUNIFIER-Bereitstellung implementiert sind.

Sicherheit mit SMARTUNIFIER
Sicherheit mit SMARTUNIFIER

In einigen Fällen wird auf der Shopfloor-Ebene keine Verschlüsselung durch die Protokolle älterer Geräte unterstützt.
SMARTUNIFIER kann gleichzeitig verschlüsselte und unverschlüsselte Kommunikation verarbeiten und ermöglicht die Einführung gesicherter Protokolle für die übergeordnete Kommunikation, wie im nächsten Abschnitt beschrieben. 

Zuverlässiger und sicherer Betrieb

Der sichere Betrieb von Schnittstellen beginnt mit der Implementierung aller oben beschriebenen Identitäts- und Zugriffsverwaltungsfunktionen.
SMARTUNIFIER ermöglicht mehrfache vertikale und horizontale Verbindungen zwischen Systemen, wobei der Zugriff mit verschlüsselten Anmeldedaten, privaten Schlüsseln und Identitätszertifikaten gesichert wird, die von beiden Verbindungspartnern zur Verifizierung verwendet werden.
Die Verschlüsselung und Zertifikatsnutzung wird für alle geeigneten Industrieprotokolle umgesetzt, um gesicherte Verbindungen wie Secured-MQTT, Secured-OPC-UA und andere zu ermöglichen. 

Linux- oder Windows-Recheneinheiten fungieren als Konnektivitätsknoten, auf denen SMARTUNIFIER für On-Premise- oder Edge-Bereitstellungen installiert wird.
Daten können temporär auf diesen Hardware-Geräten als Protokolle oder Puffer (Cache) gespeichert werden. Diese temporären Daten sind durch die Zuweisung geeigneter Zugriffsrechte und Benutzerrollen geschützt. 

SMARTUNIFIER kann auch genutzt werden, um gesicherte Protokolle dort einzuführen, wo ungesicherte Datenströme existieren.
Dazu wird SMARTUNIFIER in der Nähe von Shopfloor-Anlagen oder Geräten eingesetzt und unsichere Geräte- oder System-Schnittstellen in ein gesichertes Protokoll (z. B. OPC-UA, MQTT) umgewandelt.
Auf diese Weise können „ungesicherte Datenströme“ von Shopfloor-Anlagen/Geräten sicher an übergeordnete Systeme übertragen werden, indem die Anlagen/Geräte isoliert werden.
Das gleiche Prinzip kann auch angewendet werden, wenn Steuerparameter (z. B. Parameter für automatische Schraubendreher, NC-Programme, Rezepturen usw.) oder Befehle von einem übergeordneten System an die Anlagen/Geräte gesendet werden. Dies wird im folgenden Diagramm dargestellt. 

SMARTUNIFIER zur Isolierung ungesicherter Produktionsgeräte
SMARTUNIFIER zur Isolierung ungesicherter Produktionsgeräte

Container werden verwendet, um SMARTUNIFIER-Instanzen während der Laufzeit von den Betriebssystemressourcen zu isolieren.
Während des Betriebs wird die Datenintegrität durch Prüfsummen geschützt, um sicherzustellen, dass Daten weder verloren gehen noch verändert werden.
Zusätzlich kann eine End-to-End-Transportverschlüsselung implementiert werden, um die übertragenen Inhalte zu schützen.
All diese Maßnahmen gewährleisten ein hohes Sicherheitsniveau während des Betriebs.

Zur Überwachung der Betriebsprozesse erstellt SMARTUNIFIER detaillierte Protokolle über alle Kommunikations- und sonstigen Aktivitäten.
Eine Integration mit externen Sicherheitsüberwachungs- oder Monitoring-Systemen (z. B. Splunk) ist möglich, ebenso wie die Bereitstellung online abrufbarer Protokolldateien über einen dedizierten Monitoring-Kommunikationskanal.
Dadurch wird die Integrität der Kommunikationsprozesse zusätzlich gesichert und eine frühzeitige Erkennung von Angriffen ermöglicht.

Fazit und Vorteile

Industriedaten existieren in verschiedenen Komponenten und Systemen, in unterschiedlichen Formaten und mit separaten Zugriffsprotokollen.
Um das volle Potenzial dieser Daten auszuschöpfen und von systemweiter Interoperabilität zu profitieren, müssen Shopfloor-Daten effektiv digitalisiert und die Inhalte schnell, zuverlässig und sicher bereitgestellt werden. Wie oben beschrieben, steht Sicherheit im Mittelpunkt von SMARTUNIFIER.
Durch die Einhaltung von Standards sowie die Nutzung von führenden Technologien und Tools während des gesamten Entwicklungszyklus, bei der Konfiguration und Bereitstellung sowie während des Betriebs, werden kontinuierlich Maßnahmen ergriffen, um die Zuverlässigkeit, Integrität und Sicherheit von Daten zu gewährleisten.

Mit SMARTUNIFIER kann Ihr industrieller Betrieb sichere Kommunikation mit Shopfloor-Geräten und im gesamten Unternehmen einfach und kostengünstig umsetzen.