© Provadis

Sicherheit bei Industrie 4.0 – Industrial Internet „Blick in den Maschinenraum“

Prof. Dr. Erwin Hoffmann

Provadis Hochschule

Frankfurt/Main (Höchst)

IT-Sicherheit erklärt!

© Provadis

●  Unser Umfeld bei der Provadis ●  Herausforderung Industrie 4.0

●  Sicherheitsanforderungen

●  Bestehende Kommunikationslösungen

●  Neue Wege sicherer Kommunikation beim ‚Industrial Internet‘

●  Bundesamt für Sicherheit im Informationswesen (BSI) und die OPC UA Sicherheitsanalyse

●  Zusammenfassung

Agenda

© Provadis

●  Die Provadis Hochschule ist Teil der Provadis Gruppe als privatem Bildungsanbieter am Industriepark Höchst

●  Anerkannt durch das hessische Wissenschaftsministerium und durch den Wissenschaftsrat Köln

●  studieren mehr als 1000 Studenten berufsbegleitend in den

●  Fachbereichen Chemical Engineering, Business Administrations und Wirtschaftsinformatik

●  Am Fachbereich Wirtschaftsinformatik bieten wir Business Information Management BIM (Bachelor) und den interdisziplinären Masterstudiengang Technologie und Management MTM an

Provadis Hochschule

staatlich anerkannte Fachhochschule

Institutionell akkreditiert durch den Wissenschaftsrat

© Provadis

Methodenmix und Praxisbezug im Studium

in unterschiedlicher Zusammensetzung in den

einzelnen Modulen

Vorlesungen mit Praxisbeispielen

Master Thesis mit Verteidigung

Übungen mit Anwendung des Stoffs auf Neues

Praxisprojektemit Präsentation und Diskussion

Praktiker-Vorträge mit Diskussion

Fallstudien mit Präsentation

Zahlreiche Partnerunternehmen aus der Industrie

© Provadis

●  Prof. Dr. rer. nat. Erwin Hoffmann (Physiker) – Jahrgang 1958

●  Aufbau des ersten Internet-Anwählknoten in Frankfurt 1992

●  Berater mit Schwerpunkt Vernetzung, IP-Netze, Sicherheit, Buchautor

●  Entwicklung eigener Software; speziell IPv6 und Email (FEHCom)

●  Professor für Informatik an der FH Frankfurt/Main (Fachbereich 2); nun

●  Professor für Wirtschaftsinformatik an der Provadis Hochschule

●  Wohnhaft im Westerwald

Zur Person

Westerwald, 26. April 2016

Campus und Eingang zur Provadis Hochschule

© Provadis

Wirtschaftsinformatik und Industrie 4.0

Wirtschaftsinformatik

'Kybernetik'

Regelung/Steuerung

'Datenverarbeitung'

Informations-Management

'IT-Systeme'

IT-ServicesIT-Security

'Internet-Ökonomie'

B2C: E-CommerceB2B: SOA, EAI

Prozess-Management Business Intelligence

IT-Governance Internet of Things

© Provadis

●  Entwicklung und Integration innovativer Informations- und Kommunikationstechnologien im industriellen Anwendungsbereich

●  Vernetzung von (Teil-)Produkten im Herstellungsprozess ●  Informationsübertragung zwischen den Prozessen entlang der

Wertschöpfungskette ●  Ziele: ●  Effizientere Prozesse im Rahmen der

Leistungserstellung ●  Höherer Kundennutzen durch

innovative Produkte und Dienstleistungen

●  Schwerpunkte im Vortrag:

Industrie 4.0 - Definition

Machine-2-Machine Kommunikation über Industrial Internet

© Provadis

Industrie 4.0 – Smart Factory

Quelle: A.-W. Scheer (2014): „Industrie 4.0 oder wie transportiert man einen Elefanten?“

SOAP ?

© Provadis

●  Cyber Physical Systems (CPS) beinhalten ●  Intelligenz (CPU, Programmierung, Datenspeicher) ●  Sensorik ●  Kommunikation (kabellose Vernetzung)

●  und können im Rahmen ihrer Programmierung autonom handeln ... sofern die Daten stimmen!

●  Im Gegensatz zum aktuellen Roboter-Einsatz ●  inter-agiert ein CPS adaptiv auf Umwelteinflüsse und ●  den Informationen seiner Kommunikationspartner.

Das CPS stellt somit einen Informationsverbund dar; die einzelnen Komponenten sind aufeinander gegenseitig angewiesen.

Industrielle Vernetzung: Wo liegt das Problem?

© Provadis

●  Das CPS ist ein kritischer Produktionsfaktor ●  im Hinblick auf das Produkt selbst

●  im Hinblick auf die Informationen, die es liefert (oder bekommt)

IT-Sicherheit und das CPS

© Provadis

●  Verfügbarkeit (Availablitity): Das System muss einsatzbereit sein ●  Unversehrtheit (Integrity): Die Daten, die das System liefert und

bekommt müssen technisch korrekt sein

●  Vertraulichkeit (Confidentiality): Die austauschten Daten sind nur für berechtigte Systeme bestimmt; andere haben keine Zugriff

Klassische Ziele der IT-Sicherheit

•  Schutz vor Spionage •  Schutz vor Manipulation •  Schutz vor Sabotage

© Provadis

●  Der Locky-Virus macht aktuell die Runde:

●  Krankenhäuser und öffentliche Einrichtungen sind betroffen

●  Beim Lucaskrankenhaus in Neuss wurden Patientenakten 'verschlüsselt' und damit unleserlich gemacht:

●  Der Betrieb musste teilweise eingestellt werden

●  Freigabe der Dateien gegen eine Erpressersumme

Beispiel: Virus im Krankenhaus

12

© Provadis

●  USB Ports an Maschinen werden vom Personal benutzt, ihr Handy aufzuladen.

●  Von verseuchten Android Handys springt dann das Virus auf die Maschine über.

●  Glück hat, wenn das Betriebssystem der Maschine davon unbeeindruckt bleibt.

●  Mikko Hypponen (F-Secure):

Beispiel: Virus im Flugzeug

As an example, Hypponen said he had recently spoken to a European aircraft maker that said it cleans the cockpits of its planes every week of malware designed for Android phones. The malware spread to the planes only because factory employees were charging their phones with the USB port in the cockpit. Because the plane runs a different operating system, nothing would befall it. But it would pass the virus on to other devices that plugged into the charger.

http://www.reuters.com/article/us-nuclearpower-cyber-germany-idUSKCN0XN2OS

© Provadis

●  Nachrichten müssen vertraulich übermittelt werden

●  Der Unveränderlichkeit des Nachrichteninhalts muss garantiert werden

●  Nachrichtenquelle und -senke müssen berechtigt sein

●  Der Ausfall einer Komponente darf nicht das ganze System gefährden/blockieren

Anforderungen an die sichere Kommunikation bei Industrie 4.0

© Provadis

Wir wollen uns im folgenden die Kommunikationsprotokolle ●  Message Queue Telemetry Transport (MQTT) ●  MTConnect sowie ●  Open Platform Comunication Unified Architecture (OPC UA)

im Hinblick auf ihre Sicherheits-Architektur anschauen und hierbei speziell auf die aktuelle OPC UA Studie des BSI eingehen. Das ganze wird abgerundet durch Überlegungen eines sicheren Kommunikationsprotokolls, das an der Provadis Hochschule am Entstehen ist.

Bestehende Industrie 4.0 Kommunikationsprotokolle

© Provadis

●  MQTT ist ein (fast 20 Jahres altes) Nachrichtenprotokoll für die Maschine-zu-Maschine (M2M) Kommunikation (IoT)

●  Es ist allgemein gehalten und lässt sich sowohl auf TCP/IP-Netzen, als auch auf IEEE 802.2 Netzen und für Sensor-Netze unter Einsatz des ZigBee Protokolls einsetzen (MQTT-S)

●  MQTT wurde von der IBM und Eurotech entwickelt (SCADA-Protokoll)

●  Seit 2013 findet die Standardisierung unter der Regie der OASIS (Organisation for the Advancement of Structured Information Standards) statt

●  Das aktuelle MQTT Framework lässt auch die Verwendung von Web-Sockets zu, was die Verwendung von JavaScript stark vereinfacht

Message Queue Telemetry Transport (MQTT)

© Provadis

Sender Broker(zentral) Empfänger

Publlshdata

(Topic)

Publlshdata

(Topic)

Subscribeto data

Receivedata

Clients:

MQTT.js

Clients:

MQTT.js

Server

Mosca

Quality of Service

• QoS 0: fire and forget (Verbindungslos)• QoS 1: Nachricht ist angekommen (Ack)• QoS 2: Nachricht ist genau einmal angekommen (Handshake)

●  MQTT stellt Publish/Subscriber Protokoll dar (ähnlich MQ Series) ●  Hierzu wird ein Broker benötigt, der sowohl die Clients verwaltet, als

auch die Nachrichten weiter leitet

●  Implementierung liegt im wesentlichen in Node.js vor

MQTT Systemarchitektur

© Provadis

●  MQTT verlässt sich komplett auf die Sicherheit des ‚Transportprotokolls‘, wie z.B. DTLS bei UDP/IP oder TLS bei TCP/IP

●  Authentisierung der Clients erfolgt mittels Topics und Passwörtern

●  Zur Authentisierung der Clients kann oAuth genutzt werden

MQTT Sicherheit

Quelle: https://auth0.com/docs/scenarios/mqtt

© Provadis

●  MTConnect ist hervorgegangen aus der Association For Manufacturing Technology (AMT), wo im Jahr 2008 Forscher von Sun Microsystems und der University of California in Berkeley (UCB) einen

●  Entwurf zur Verbindung von Maschinen- und Anlagenbau für ‚die Produktion des 21. Jahrhunderts‘ vorstellten

●  MTConnect wir u.a. von den Firmen Boeing, General Electric, Bosch Rexroth Corporation, Lockhead Martin, Cisco und Foxconn unterstützt

●  Der aktuelle Standards MTConnect 1.3.1 umfasst vier Teile: ●  Teil 1: ‚Overview and Protocol‘ ●  Teil 2: ‚Compontens and Data Items‘ – Aktoren, Sensoren, Material ●  Teil 3: ‚Streams, Events, Samples, and Condition‘ sowie ‚Interfaces‘ ●  Teil 4: ‚Assets‘ und ‚Cutting Tools‘

MTConnect

© Provadis

MTConnect besitzt folgende Elemente: ●  Devices und ihre Rollen werden beschrieben (Geräte, Controller,

Aktoren, Sensoren, Schnittstellen) und systematisch erfasst ●  Die Informations-Container werden definiert und die serialisierte

Abarbeitung vorgegeben ●  Der Kommunikationsablauf basiert auf HTTP mittels ReSTful

Nachrichten, die lediglich zur Abfrage dienen: ●  probe – Auflisten der Komponenten eines Devices ●  current – Aktueller Wert eines Data-Items der Komponente ●  sample – hole Werte, Ereignisse und Bedingungen für ein Intervall ●  asset – Abfrage des mit dem Device verbundenen Assets

MTConnect sieht keine Steuerung bzw. Regelung vor!

MTConnect Elemente

© Provadis

MTCDevice

Devices

Devicename=„CNC“

Controllername=„CNTL“

Axesname=„Axes“

Pathname=„path“

Linearname=„C“

Linearname=„X“

Linearname=„Y“

Linearname=„Z“

DataItemAvailability

DataItemEXECUTION

DataItemBLOCK

DataItemPATH_FEEDRATE

OVERRIDE

DataItemSPINDLE_SPEED

ACTUAL

DataItemPOSITIONACTUAL

DataItemPOSITIONCOMMAND

DataItemPOSITIONACTUAL

DataItemPOSITIONCOMMAND

DataItemPOSITIONACTUAL

DataItemPOSITIONCOMMAND

●  MTConnect beinhaltet eine hierarchische Beschreibung eines Devices und seiner Komponenten

●  Einer Komponente werden DataItems zugesprochen, die abgerufen werden können

●  Ergänzend werden Interfaces beschrieben, die zur logischen und physikalischen Kommuni- kation zwischen den Devices dienen

MTConnect – Devicemodell

Quelle: MTC_part_3.1_interfaces_v1.3.pdf

© Provadis

●  Ein MTConnect Device kann als Agent eines Geräts verstanden werden, mittels dessen Informationen für einzelne Komponenten (DataItems) über das Interface abgerufen werden können: ●  Samples (Ablesewerte) ●  Events (Ereignisse) ●  Conditions (Zustände) ●  UNAVAILABLE

●  NORMAL

●  WARING

●  FAULT

MTConnect – Agenten und Informationsmodell

Dies erfolgt über eine HTTP Nachricht!

Quelle: MTC_part_1_overview_v1.3.pdf

HTTP Request (URI)

HTTP Response (Nachricht)

© Provadis

●  Bei MTTConnect greift der Agent auf die Komponenten eines Devices zu:

●  Die Komponenten und ihre DataItem sind formal beschrieben

●  Die Kommunikation mit der Aussenwelt findet über ein Interface statt, das HTTP versteht; also ein Webserver

●  Die Informationen werden in einem Datenpuffer gehalten, der nach dem FIFO-Prinzip aufgebaut ist

MTConnect: Device Agent WebServer

category=opcategory=op

DataItemDataItem

Component

MTConnectAgent

RequestResponse

•  Informationen über Werkzeugteile, den Assets, werden persistiert (Key Value Store)

© Provadis

●  MTConnect ist eine klassische Client/Server-Architektur ●  MTConnect sieht kein Sicherheitskonzept vor

●  ‚Sicherheit‘ muss auf Seiten der Transportdienste (Web-Services) vorgehen werden

●  Es wird vorausgesetzt, dass alle Akteure im Produktionsnetz per se qualifiziert und autorisiert sind

Dies mag bei den bisherigen industriellen Kommunikationsprotokollen, wie Profinet oder Modbus TCP der Fall sein; sicherlich aber nicht bei Industrial Internet

MTConnect Sicherheit?

© Provadis

●  OPC UA ist entstanden aus dem Microsoft-Umfeld in den 90er Jahre, wo es noch OLE for Process Control hiess und auf das proprietäre DCOM Modell aufbaute

●  Heute ist OPC UA eine Plattform zur Zusammenführung unterschiedlicher Herstellerstandards unter dem Stichwort SCADA (Supervisory Control and Data Acquisition)

●  Der aktuelle OPC UA Standard, der auf XML Web-Services aufbaut, wird seit 2006 weiter entwickelt

OPC UA versteht sich nicht nur für die Machine-2-Machine Kommunikation, sondern auch für den für die Machine-2-Enterprise Einsatz

OPC Unified Architecture

© Provadis

OPCUA

Client

OPC UA

Client

OPC UA

Client

OPC UA Server

●  OPC UA ist eine typische Client/Server-Architektur; hier Masters und Servants genannt, die miteinander kommunizieren:

●  Jedes System kann eine Vielzahl von Masters als auch Servants enthalten

●  Der OPC Master besitzt im Vergleich zum

●  OPC Servant eher einen geringen Funktionsumfang

OPC UA Systemarchitektur

© Provadis

Binary Format XML Format

UA SecureConversation

UA TCP

WS SecureConversation

SOAP

HTTPHTTPS

TCP/IPv4 oder TCP/IPv6

Port 4840 Port 443 Port 443 Port 80

●  Das Nachrichtenformat ist ●  entweder eine übliche

XML Datei, die einen SOAP (1.2) Request/Response enthält, oder

●  eine UA Binärdatei, die über den Port 4840 über- tragen wird

OPC UA Kommunikationsinfrastruktur

© Provadis

OPC UA besitzt zwei Sicherheitskomponenten: ●  Auf der Transportschicht werden die Nachrichten mittels HTTPS

verschlüsselt und gesichert übertragen

●  Die Binär- bzw. SOAP-Nachrichten können aber auch mittels UA Secure und WS Secure Conversation selbst verschlüsselt werden

Die Authentisierung der Master/Servants basiert

●  auf dem Austausch von X.509 Zertifikaten

●  unter Nutzung einer PKI (Public Key Infrastructure)

OPC UA Sicherheitsarchitektur

© Provadis

Das BSI hat in einer Sicherheitsanalyse vom 24.4.2016 OPC UA folgendes bescheinigt:

OPC UA BSI Analyse

•  OPC Unified Architecture (OPC UA) ist der zentrale Standard in der Umsetzung der Zukunftsstrategie Industrie 4.0 und wird bereits jetzt bei der Vernetzung vorhandener Industrieanlagen immer häufiger eingesetzt.

•  Sicherheit war von Anfang an eines der Kernziele von OPC UA als Protokoll der Zukunft: Es bietet die Möglichkeit, herstellerübergreifend Netze über verschiedene Einsatzebenen von der Steuerungs- bis hin zur Unternehmensebene zu verbinden.

•  Außerdem bringt OPC UA, im Gegensatz zu vielen anderen Industrieprotokollen, integrierte Sicherheitsfunktionalität zur Absicherung der Kommunikation mit.

Die durchgeführte Spezifikationsanalyse hat gezeigt, dass OPC UA, im Gegensatz zu den meisten anderen Industrieprotokollen, ein hohes Maß an Sicherheit bietet.

© Provadis

25 mm

●  Was sind unsere ‚Cyber Physical Devices‘? ●  Raspberry Pi (Zero) – 5 $ (Rasbian Linux)

●  TI CC1320 / Cortex A3 (mit Funkmodul: Reichweite 20 km) – 2,80 $

●  Android/BSD Unix

●  Anforderungen:

●  Stromversorgung

●  Netzwerk-Anbindung

●  Sensoren-Integration

Webserver mit HTTPS und SOAP?

Wo liegt das Problem?

Raspi 0 TI

© Provadis

●  Zur Sicherstellung der Vertraulichkeit und Integrität der Nachrichten (Sonsor-Mitteilungen, Konfigurations-Befehle) kann auf

●  Transport-Verschlüsselung (TLS/HTTPS) oder

●  Nachrichten-Verschlüsselung

zurück gegriffen werden.

Verlass auf Transport-Verschlüsselung?

Dark FiberBitübertragung PHYPHY

MAC MAC

IP IP

TCP TCP

TLSTLS

Dark Fiber

TLS Tunnel

Routerfunktion

HTTPS HTTPS

WSC WSCgeschützte TLS Ende-zu-Ende-Übermittlung

geschützte Nachrichten-Übermittlung

IPsec-Pakete

TLS-Records

Nachrichten Benutzer (Authentisiert)

Applikation

Instanz(zustands-orientiert)

Instanz(zustandslos)

Instanz (Authentisiert)

Security Association nach IPsec

WAP2/EAP

© Provadis

●  Zum Betrieb eines Industrie 4.0 Netzes auf Basis von Industrial Ethernet ist eine hierarchisches Teilnehmerkonzept notwendig, dass ●  Berechtigungen und ●  Rollen (Befehlsvergabe und –ausführung, Informationsweitergabe)

vorsieht. ●  Ein PKI-basiertes System, das X.509 Zertifikate nutzt, muss ●  Stamm-Zertifikate und ●  Client-Zertifikate (+ Private Keys) sowie ●  Certificate Revocation Lists (CRL)

an die betroffenen Teilnehmer ausrollen.

Sicherheit wird kompliziert und aufwändig!

Authentizität und Berechtigung der Teilnehmer

© Provadis

●  Paradigma 1: Auf Transport-Verschlüsselung ist kein Verlass ●  Paradigma 2: Unsere Netze sind offen (WLAN etc)

●  Lösung A: Die Nachrichten müssen verschlüsselt werden! ●  Lösung B: Das Berechtigungskonzept muss über die Namen

(genauer: den Netzwerk Name-Space) der Komponenten geregelt werden.

Das Projekt ‚Marbel‘ an der Provadis ist gestartet worden, diese Anforderungen technisch umzusetzen: ●  Definition eines Nachrichtencontainers und ●  Kommunikationsprotokolls für diese Anforderungen ●  Marbel ist neutral gegenüber der zu übertragenen Nachricht

Alternativen + Vorschlag

© Provadis

●  Vielen Dank für Ihre Aufmerksamkeit!

●  Fragen??

●  Kommentare??

●  Bemerkungen??

Mailto: erwin.hoffmann@provadis-hochschule.de

Feedback

34

© Provadis

Backup Folien

© Provadis

●  Seit Mitte des letzten Jahres (2015) gibt es das ●  Gesetzes zur Erhöhung der

Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) -- KRITIS

●  Weder Krankenhäuser noch der Deutsche Bundestag (Parlakom) fallen hierunter.

Bundesregierung: KRITIS

36

KRITIS sieht weder Redundanzen noch den Verzicht auf

fehleranfällige Komponenten vor.

© Provadis

Allgemein ●  https://www.oasis-open.org

●  iX 8/2015: Industrielle Vernetzung

●  http://www.heise.de/ct/ausgabe/2015-27-News-Embedded-3035821.html

MQTT ●  http://mqtt.org

●  https://de.wikipedia.org/wiki/MQ_Telemetry_Transport

●  https://www.oasis-open.org/news/announcements/mqtt-version-3-1-1-becomes-an-oasis-standard

●  http://www.heise.de/developer/artikel/MQTT-Protokoll-fuer-das-Internet-der-Dinge-2168152.html

●  https://auth0.com/docs/scenarios/mqtt

MTConnect ●  http://www.mtconnect.org

UPC UA ●  https://opcfoundation.org/about/opc-technologies/opc-ua/

●  http://www.heise.de/newsticker/meldung/Industrie-4-0-BSI-gibt-gruenes-Licht-3186603.html

●  https://www.bsi.bund.de/DE/Publikationen/Studien/OPCUA/OPCUA_node.html

●  https://www.iosb.fraunhofer.de/servlet/is/21752/OPC-UA-Wegbereiter-der-I40.pdf?command=downloadContent&filename=OPC-UA-Wegbereiter-der-I40.pdf

Quellen

37