Sichere Softwaregrundlagen: Angriffe abwehren

Sichere Softwaregrundlagen für Industrie 4.0

Angriffe abwehren

Das Industrial Internet Consortium (IIC) und die Working Group for Industry 4.0 haben mit der Industrial Internet Reference Architecture (IIRA), beziehungsweise dem Reference Architectural Model for Industrie 4.0 (RAMI 4.0), Richtlinien und Empfehlungen gegen Cyber-Attacken erarbeitet. Einen Schutz vor Cyber-Angriffen bietet die Separation-Kernel-Technologie. Sie ermöglicht es, anfällige Schnittstellen streng zu kontrollieren, um Angriffe schon im frühen Stadium zu unterbinden.

Referenzarchitekturmodell f?r Industry 4.0 (RAMI 4.0) (Bild: Embedded Office GmbH & Co. KG)

Referenzarchitekturmodell für Industry 4.0 (RAMI 4.0) (Bild: Lynx Software Technologies)

Das RAMI 4.0-Modell (Abb.1) ist eine dreidimensionale Matrix aus Schichten, einem Life Cycle & Value Stream und Hierarchieebenen. Dies ähnelt auffällig den ‘Functional Domains’ und ‘Viewpoints’ des IIC IIRA Modells (Abb. 2). Angesichts der zentralen Rolle der Angriffssicherheit (Security) für alle Architekturen im industriellen Internet, hat das Industrial Internet Consortium (IIC) das Industrial Internet Security Framework (IISF) veröffentlicht. IISF ist ein Schutzkonzept, mit dem sich gleich mehrere Gefahrenquellen des IIoT abwehren lassen.

Das Industrial Internet  Security Framework (IISF)

Das IISF deckt fünf Merkmale ab, die die Vertrauenswürdigkeit in der Informationstechnologie (IT) und bei operativen Prozessen (OT) ausmachen: Schutz, Datenschutz, Belastbarkeit, Verfügbarkeit und Sicherheit. Mit den Risikoanalysen, Gefahren- und Leistungsindikatoren des IISF können Manager und IT-Verantwortliche ihre Unternehmen schützen. Man sollte sich vergegenwärtigen, dass beide Abstrahierungen zwei bislang meist getrennte Welten einander annähern: die Informations- (IT) und die Operationstechnologie (OT). Die Aussichten und die Versprechen des IoT lassen sich nur realisieren, wenn diese heterogenen Systeme miteinander verbunden werden, was die OT jedoch neuen Sicherheitsbedrohungen aussetzt, denen zu begegnen sie aber nie ausgelegt war. Das geeignete Paradigma für ein IT-OT-Szenario ist, die Domänen voneinander zu isolieren, gleichzeitig aber einen kontrollierten Informationsfluss zwischen diesen beiden Domänen aufrechtzuhalten. Eine Industrie 4.0-sichere zugrundeliegende Software-Basis muss einerseits dafür sorgen, dass die OT ihr bestehendes Niveau hinsichtlich Betriebssicherheit, Belastbarkeit und Zuverlässigkeit beibehält, andererseits aber auch den Grad an Datenschutz und Datensicherheit erhöht, um die IT-Komponente zu schützen. Umgekehrt wird die IT-Seite – zusätzlich zu ihrer vorbildlichen Leistung in Sachen Datenschutz, Datensicherheit und Zuverlässigkeit – für eine bessere Belastbarkeit und Betriebssicherheit sorgen müssen. Idealerweise würden diese miteinander verbundenen IT-OT-Systeme von Anfang an in Hinblick auf Konnektivität konzipiert. Eine empfohlene Technik der IISF ist der Einsatz eines Separation Kernels, um das erforderlichen Isolierungsniveau zwischen unterschiedlichen Domänen zu bewahren und dennoch einen kontrollierten Informationsfluss zu erlauben. Eine passende Umsetzung, um diesen Grad an Isolierung zu erreichen, erfordert eine sichere, nicht umgehbare Basis, sollen die übergeordneten Schichten mit der notwendigen Zuverlässigkeit und Sicherheit operieren.

Darstellung der IIC Functional Domains und Viewpoints (Bild: Lynx Software Technologies)

Prinzipien eines Separation Kernels

Auch wenn der Separation Kernel auf Prinzipien beruht, die dem industriellen Sektor vielleicht neu sein mögen – andernorts werden sie längst erfolgreich eingesetzt, um sensible Daten zu schützen. Das Konzept eines Separation Kernels wurde erstmals 1981 von John Rushby diskutiert, der eine Kombination aus Hardware und Software vorschlug, welche die Ausführung mehrerer Funktionen auf einer gemeinsamen physischen Plattform erlaubt, ohne sich gegenseitig zu behindern. Ebenfalls führten Saltzer und Schroeder aus, dass „jedes Programm und jeder Benutzer nur die Rechte erhält, die zur Erfüllung der jeweiligen Aufgaben absolut erforderlich sind.“ Dieser simple Ansatz der geringstmöglichen Privilegien oder Rechte wird dringend notwendig, wenn Anwendungen unterschiedlicher Kritikalität in unmittelbarer Nähe zueinander ausgeführt werden. Die Konzepte von Separation Kernel und Least Privilege konzentrieren sich beide auf die Vorzüge der Modularisierung, wobei ersterer auf die Ressourcen und letzterer auf die Systemfunktionen gerichtet ist. Abbildung 4 zeigt die ‘Subjects’ (aktive, ausführbare Einheiten) mit den wenigsten/ geringsten Rechten und ‘Ressources’, die über die Separation Kernel Blocks gelegt sind. Wo der Separation Kernel die Granularität der Flusskontrolle je Subjekt und je Ressource unterstützt, werden weit weniger unerwünschte Kontrollflüsse zugelassen, als wenn die Flusskontrolle jeweils per Block verwaltet würde. Infolgedessen ermöglichen die oben genannten Schlüsselelemente einen isolierten und kontrollierten Informationsfluß zwischen mehreren Domänen unterschiedlicher Kritikalität, was direkt der Forderung nach einer IT-OT-Isolierung nachkommt, um IIoT-Designs mit einem hohen Niveau an Sicherheit, Schutz und Zuverlässigkeit zu schaffen.

Bedrohungen und Verwundbarkeiten von IoT-Endpunkten gemäß IISF (Bild: Lynx Software Technologies)

Separation Kernel-Blöcke durch Least Privilege-Prinzipien ergibt eine feinere Granularität pro Subjekt durch die Steuerung des Ressourcenflusses. (Bild: Lynx Software Technologies)

Vereinfachtes Schema einer praktischen Separation Kernel- Anwendung (Bild: Lynx Software Technologies)

Praxistauglich

Ein praktisches Beispiel wäre etwa eine Drehmaschine, die Produktionsdaten generiert (Abb. 5). Diese Daten sollen aber über die Cloud geteilt werden, etwa auf Abruf durch einen Betriebsingenieur. Die der Cloud zugewandte Komponente in diesem Beispiel könnte ein Allzweckbetriebssystem wie Windows oder Linux sein, das anfällig für einen Angriff durch ist. Wichtig ist, dass böswillige Hacker nicht auf die Komponente zugreifen kann, die der Fabrik zugewandt ist, selbst wenn das in Richtung Cloud gerichtete Subjekt beeinträchtigt wird. Ein Separation Kernel, im Einklang mit Least Privilege-Prinzipien implementiert, wird folgende Schlüsseleigenschaften aufweisen, die für ein solches Szenario optimal sind:

• Sicher: Statische Konfiguration sorgt dafür, dass der Separation Kernel, einmal entwickelt und implementiert, unveränderlich ist und über eine kleinstmögliche Angriffsoberfläche verfügt.

• Schnell: Um fast native Performance zu erreichen, darf der Separation Kernel so wenig Overhead wie möglich mit sich bringen und sollte so effizient wie möglich auf die hardwareunterstützten Virtualisierungsfunktionen zurückgreifen.

• Klein: Wenn Betriebssystemfunktionen wie Treiber, Ein-/Ausgänge sowie Prozessverwaltung durch die Subjekte gehandhabt werden, wird der Separation Kernel selbst sehr viel kleiner ausfallen und dadurch weniger Angriffsfläche bieten.

• Praktisch: Der Separation Kernel unterstützt die Wiederverwendung bestehender Software, indem er ein ‚virtuelles Motherboard‘ präsentiert, auf dem sich die einzelnen Subjects installieren und ausführen lassen, als befänden sie sich in einer nativen Installation.

Autor: Arun Subbarao,
Lynx Software Technologies
www.lynx.com

Ausgabe:
Embedded Office GmbH & Co. KG
www.lynx.com

Das könnte Sie auch Interessieren