DECOIT® GmbH nahm am Abschluss des SecureField-Projektes teil

Das SecureField-Projekt ist im Produktionsnetzumfeld angesiedelt und hat sich zwei wesentlichen Aufgaben verschrieben: die sichere Kommunikation innerhalb von Feldbussen und eine PKI-basierte Sicherheitsarchitektur in diesem OT-Bereich. Beides Ziele, die nicht einfach umzusetzen sind, da die OT-Umgebung noch weit hinter den Sicherheitsstandards von IT-Infrastrukturen hinterherhinkt. Das Projekt SecureField, welches ursprünglich nur auf zwei Jahre angelegt war, ist daher auch bis zum Ende dieses Jahres verlängert worden. Bei der Forschung wurden auch assoziierte Partner mit einbezogen, weshalb auch die DECOIT® GmbH aufgrund ihrer F&E- und Protokollerfahrung mit eingeladen war. Am 25. November fand nun das Abschlusstreffen bei der Deutschen Forschungsgesellschaft für Automatisierung und Mikroelektronik e.V. (DFAM) in Frankfurt statt, um die Ergebnisse mit allen Teilnehmern noch einmal zu diskutieren.

Dabei stand die durchgängige Integration von PKI-basierten Sicherheitsarchitekturen in die Feldebene von Industrie4.0-Anwendungen im Vordergrund. Die Vision des SecureField-Projektes war von Anfang an (D)TLS-over-Anything, wodurch zwei Anforderungen mitberücksichtigt werden mussten: Die Kommunikationsebene mit einem Mapping von DTLS in die Feldbusebene und das Credential Management, welches die Verschlüsselung zur Endpunkt-Authentifizierung verwalten sollte. Ein Großteil des Projektaufwands war dabei der Diskussion im Profinet-Arbeitskreis geschuldet. Zertifikate einzubeziehen ist zusätzlich nicht trivial, da Managementprozesse (Zertifikatsverteilung, Updates von Zertifikaten etc.) auf den Geräten einbezogen werden müssen.

Das Projekt verfolgte dabei einen neuen Ansatz, indem Site Credentials (Schlüsselmaterial) im Feldbus beim Anwender genutzt werden sollte, die nicht vom Hersteller kommen. Da man nicht direkt über Feldbusmitteln mit der Site Credential sprechen konnte, wurde ein sog. Deployment Agent als logische Einheit (Proxy) eingeführt. Dieser Agent muss dabei keine zusätzliche Hardware-Appliance bedeuten, sondern könnte auch in bestehende Komponenten verbaut werden. Er stellt die Kommunikation zwischen der Site Credential Authority und dem Field Device her. Unterschiedliche Szenarien (Push/Pull und External/Internal Triggered) sind dabei denkbar, die ausgiebig diskutiert wurden. Ziel war es, dass neue Geräte sich für eine Infrastruktur in jedem Fall authentifizieren müssen, um sicherstellen zu können, dass das richtige Gerät verbaut wurde. Hersteller-Zertifikate wären hierfür wünschenswert, um diese als Basissicherheit nehmen zu können. Das Update eines Zertifikats müsste dabei vollständig automatisiert werden können, wenn die vorher ausgestellten Zertifikate gültig sind. Dies ist notwendig, um keine Ausfallzeiten zu erhalten.

Im Anschluss an das Zertifikatsthema wurde das IETF-Protokoll Enrolment over Secure Transport (EST) vorgestellt, welches in der RFC-7030 spezifiziert ist. Das Protokoll transportiert Nachrichten über HTTP und benutzt dabei TLS als sicheres Transportprotokoll. Allerdings haben kleinere Geräte nicht genug Ressourcen, um größere Pakete zu empfangen. Dafür ist als Lösung der Internet-Draft EST-over-secure-CoAP im Projekt vorgesehen worden. Für den Betrieb mit eingeschränkten Knoten und eingeschränkten, d.h. stromsparenden, verlustbehafteten Netzwerken erscheint CoAP optimal, zumal es dafür entwickelt wurde. Allerdings gibt es noch keine Open-Source-Implementierungen von EST-over-secure-CoAP, weshalb noch keine CoAP-Bibliothek im Projekt integriert werden konnte. Zusätzlich ist noch völlig offen, ob CoAP sich überhaupt bei den Herstellern durchsetzen wird.

Abschließend stellte das Projekt SecureField fest, dass es noch einige offene Baustellen zu bearbeiten gilt. Das PKI-Management für OT-Geräte stellt keine triviale Aufgabe dar und ist im Grunde auch im IT-Infrastrukturumfeld ganzheitlich gescheitert bzw. wird dort nur vereinzeln eingesetzt. Das Zertifikatsmanagement ist eine Grundbaustelle, die neue logische Rollen (z.B. Zero-Touch) notwendig macht. Zudem sind OT-Umgebung zu heterogen, wodurch keine einheitlichen Bibliotheken verwendet werden können. Trotzdem ist man mit den Projektergebnissen zufrieden, da auf der Kommunikationsebene am Beispiel von CANopen ein Demonstrator auf der Embedded World dieses Jahr vorgestellt werden konnte. Abschließend wurden etwaige Nachfolgeprojekte diskutiert, die die offenen Punkte weiterführen sollen, denn die PKI-bezogenen Projektziele konnten nicht erreicht werden. Dass sich jedes Gerät vor dem Einbau in eine Netzumgebung sicher authentifizieren muss ist nun mal keine einfache Lösung, weshalb dieser Ansatz in IT-Infrastrukturen auch bislang gescheitert ist. Hier wird eher nachträglich nach Geräten gesucht und diese in eine Inventory-Datenbank übernommen. Eine Vorgehensweise, die man in Produktionsumgebungen eher nicht favorsisieren würde.

Zurück