Integrität von Daten, Systemen und Prozessen als Kernelement der Digitalisierung - DISKUSSIONSPAPIER - DE.DIGITAL
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DISKUSSIONSPAPIER
In Zusammenarbeit mit
Integrität von Daten, Systemen
und Prozessen als Kernelement
entstanden.
der Digitalisierung
Impressum
Herausgeber
Bundesministerium für Wirtschaft
und Energie (BMWi)
Öffentlichkeitsarbeit
11019 Berlin
www.bmwi.de
Redaktionelle Verantwortung
Plattform Industrie 4.0
Bertolt-Brecht-Platz 3
10117 Berlin
Gestaltung und Produktion
PRpetuum GmbH, München
Stand
April 2018
Druck
MKL Druck GmbH & Co. KG, Ostbevern
Bildnachweis
monsitj – Fotolia (Titel), peshkov – Fotolia (S. 4),
sdecoret – Fotolia (S. 16), kiri – Fotolia (S. 21)
Diese und weitere Broschüren erhalten Sie bei:
Bundesministerium für Wirtschaft und Energie
Diese Broschüre ist Teil der Öffentlichkeitsarbeit des Referat Öffentlichkeitsarbeit
Bundesministeriums für Wirtschaft und Energie. E-Mail: publikationen@bundesregierung.de
Sie wird kostenlos abgegeben und ist nicht zum www.bmwi.de
Verkauf bestimmt. Nicht zulässig ist die Verteilung
auf Wahlveranstaltungen und an Informationsständen Zentraler Bestellservice:
der Parteien sowie das Einlegen, Aufdrucken oder Telefon: 030 182722721
Aufkleben von Informationen oder Werbemitteln. Bestellfax: 030 18102722721
2
Inhalt
1. Zielsetzung und Adressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
2. Worum geht es bei Integrität? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
2.1 Relevanz: Digitalisierung und Vernetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 Nutzen der Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.1 Bedeutung der Integrität im Wechselspiel mit anderen Schutzzielen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.3 Bestimmung: Daten- und Systemintegrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.4 Betrachtung der Gesamtintegrität eines Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.4.1 Parameter und Zusammenhänge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.4.2 Betrachtung der Integrität am Beispiel eines SPS-Szenarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.5 Technische Maßnahmen zur Prüfung und Gewährleistung von Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5.1 Einsatz von Protokollen mit Prüfsummen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5.2 Einsatz von Protokollen mit Signaturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5.3 Einsatz von Prüfsummen zur Erkennung von Fehlern/Veränderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.5.4 Einsatz von signierter Firmware, Software und Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.5.5 Möglichkeiten zur Überwachung der Systemintegrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.5.6 Möglichkeiten zur Signatur von Steuerungsprogrammen und KonfigurationsparamEtern . . . . . . . . . . . . . . . . . . . . 12
2.5.7 Möglichkeiten zur Authentisierung und Autorisierung vor dem Einspielen von
Steuerungsprogrammen und KonfigurationsparamEtern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.5.8 Möglichkeiten zur Validierung von Konfigurationsparametern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.5.9 RollOut von Identitäten auf Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.5.10 Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.5.11 Überwachen der Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.5.12 Verwaltung der Identitäten auf den Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.5.13 Signierung und Prüfung der Herkunft von Firmware-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.5.14 Signierung und Prüfung von Steuerungsprogrammen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.6 Umgang mit Störung der Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.7 Ausblick: Integritätsschutz als Grundlage der Vertrauenswürdigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3. Vertrauenswürdigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.1 Was ist Vertrauenswürdigkeit? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.2 Integrität als wesentliche Voraussetzung der Vertrauenswürdigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.3 Vertrauenswürdigkeit als übergreifender Ansatz für Liefer- und Wertschöpfungsnetzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4. Anforderungen an die Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
5. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3
1. Zielsetzung und Adressat
Dieses Dokument bündelt die technischen Diskussionen Das Dokument geht auf die Fragestellung ein, inwiefern
der SG Sicherheit des ZVEI hinsichtlich Anforderungen, zum Beispiel Korrektheit, Unveränderbarkeit und Vollstän-
Validierung und Umsetzung der Integrität von Daten, digkeit (= Integrität) von Daten, Systemen und Prozessen
Systemen und Prozessen. bereitgestellt und überprüft werden können und wie dies-
bezüglichen Störungen zu begegnen ist. Im Fokus stehen
Zielsetzung des Dokuments ist, ein gemeinsames Verständ- technische Daten; personenbezogene Daten, und damit die
nis zum Thema Integrität im Kontext internationaler Aspekte des Datenschutzes, werden nicht betrachtet, um
unternehmensübergreifender Kooperationen sowie der einen angemessenen Umfang zu wahren.
zunehmenden Digitalisierung von Produkten und Systemen
(Stichwort Industrie 4.0) zu entwickeln. Das Papier dient Die Ausführungen richten sich insbesondere an Komponen-
als Diskussionsgrundlage, Wissensvertiefung und Orientie- tenhersteller sowie an Integratoren und Betreiber. Die
rungshilfe für andere Arbeitsgruppen im Bereich Industrial Fragestellungen im Kontext von internationalen Zulieferer-
Security und Industrie 4.0. beziehungen und unternehmensübergreifenden Koopera
tionen sind über die Security-Community hinaus relevant.
Das Whitepaper adressiert auch Verantwortliche für das
Produktmanagement und den Einkauf.4 2. Worum geht es bei Integrität?
2 . W O R U M G E H T E S B E I I N T E G R I TÄT ? 5
2.1 Relevanz: Digitalisierung und Vernetzung jedoch entweder durch eine Konfigurationsänderung oder
durch ein Einspielen neuer Software verändern. Für den
Digitalisierung und Vernetzung erfordern zwingend ein Betreiber ist daher nicht immer klar, ob Funktionen oder
Vertrauen in die Korrektheit von eigenen und zunehmend Funktionsaspekte nach einer Software- oder Konfigurations
von externen Daten und die einwandfreie Funktion von änderung noch identisch sind oder ob gar neue Funktionen
Systemen und Prozessen. Dies ist fundamental für alle Ge oder Verhaltensweisen hinzugekommen sind. Besonders
schäftsprozesse innerhalb und außerhalb des Unternehmens. kritisch wird diese Betrachtung, wenn man die Möglichkeit
Integrität wird häufig nur als technischer Aspekt betrachtet, in Betracht zieht, dass ein Angreifer Konfigurationen oder
hat aber direkte Auswirkungen auf die Wirtschaftlichkeit, Softwarebestandteile verändern oder ersetzen kann. Durch
die Reputation oder regulatorische Verantwortung. Schwachstellen wie zum Beispiel Buffer-Overflows oder
durch unsichere Software-Uploads können Angreifer gege-
benenfalls die Software eines Gerätes manipulieren, sodass
Digitalisierung die Funktion verändert bzw. eingeschränkt wird oder neue
(unerwünschte) Funktionen hinzukommen.
Die Verknüpfung physischer Dinge (Things) schreitet in zahl
reichen Bereichen des täglichen Lebens voran. Zwei wesent-
liche Voraussetzungen zur Umsetzung dieser Verknüpfungen Vernetzung
im Internet of Things (IoT), inklusive des Industrial Internet
of Things (IIoT) und des Internet of Everything (IoE), sind Die Vernetzung erfolgt durch eine Kommunikation auf allen
die Digitalisierung von Informationen sowie die Vernetzung; Ebenen sowie über Unternehmens- und Sektorengrenzen
sie legen somit einen wesentlichen Grundstein für eine hinweg. Dies umfasst beispielsweise die Kommunikation
Economy of Things and Services. Verknüpft werden beispiels auf der Ebene der Operational Technology (OT) in der Pro-
weise Dinge im Bereich der Energienetze, in Städten, im duktion sowie die Kommunikation zwischen Produktions-
Haushalt und natürlich auch in der Produktion. Man spricht OT und Office-IT. Dies schließt auch die Kommunikation
von Smart Grids, Smart Cities, Smart Home und Smart zwischen einem Hersteller, seinen Lieferanten, Kunden und
Manufacturing (= Industrie 4.0). Derzeitige Schätzungen sonstigen Partnern ein.
gehen davon aus, dass bis 2020 etwa 50 Milliarden Dinge im
Internet of Things (IoT) miteinander verknüpft sind. Dabei
bleibt es aber nicht bei der reinen Verbindung von Dingen, INTERNET DER DINGE
Wird assoziiert mit ...
es erfolgt zukünftig immer stärker eine Verknüpfung zwi-
schen Menschen, Prozessen, Daten und Dingen, die allge-
DIGITALISIERUNG VERNETZUNG
mein als das Internet of Everything (IoE) bezeichnet wird.
Bedeutet: Bedeutet:
Bereitstellung, Speicherung Dinge werden miteinander
Während in der Vergangenheit Abläufe primär mechanisch und Verarbeitung von verbunden (digital und analog),
oder elektronisch durch festgelegte Schaltkreise erfolgten, Daten im Rahmen von die vorher nicht miteinander
Wertschöpfungsprozessen. verbunden waren.
fand in den letzten Jahrzehnten ein Wandel hin zu flexible-
ren Produkten mit höheren Software-Anteilen statt. Zwar
wird Software bereits seit Jahrzehnten in Produktionsum-
gebungen eingesetzt, jedoch finden sich heute in einer deut Bedeutet für die Security:
lich breiteren Palette an Geräten CPUs mit der Fähigkeit, •
• Angriffe können Zonen und Sektoren leicht überspringen.
einen beliebigen Code auszuführen. Insbesondere im Inter- • Auch isolierte Bereiche können angegriffen werden.
net of Things (IoT) und im industriellen Pendant, dem
Industrial Internet of Things (IIoT), werden Objekte, die Bedeutet für die Vertrauenswürdigkeit:
bisher nicht über Rechen- und Kommunikationseinheiten •
(automatisiert) in das eigene Netz integriert werden.
verfügen, mit Hardware, Software (inklusive Firmware)1 • Fragen: Was steckt in dem Ding drin und tut es nur das, was es soll?
und Kommunikationsschnittstellen ausgestattet. Im Gegen-
satz zu mechanischen und festgelegten elektronischen Quelle: ZVEI
Lösungen lässt sich die Funktion von Geräten mit Software
1 In dem Whitepaper wird Software als Sammelbegriff von Software UND Firmware verwendet.6 2. W O R U M G E H T E S B E I I N T E G R I TÄT ?
Generell gelten für IT und OT die gemeinsamen Schutz-
ziele Vertraulichkeit, Verfügbarkeit und Integrität. Sie sind Konsequenz: Digitalisierung und Vernetzung verändern
jedoch in den einzelnen Bereichen unterschiedlich priori- etablierte Ansätze in den Industrieunternehmen:
siert. Verfügbarkeit und ihre Kontrolle waren früher garan-
tiert durch die Kenntnisse des Betreibers über alle beteilig- • Security-Konzepte müssen sich von der unterneh-
ten Betriebsmittel. Mit der zunehmenden Digitalisierung mensinternen hin zur unternehmensübergreifenden
und Vernetzung befinden sich jedoch Betriebsmittel nur Absicherung ausdehnen.
noch zum Teil in dem direkten Einflussbereich eines
Betreibers. Damit wächst die Abhängigkeit von externen • Die Grenze zwischen Produktions-OT und
Kommunikationspartnern und ihrem Verhalten. Office-IT verschwindet mit der Zeit.
2.2 Nutzen der Integrität Die Integrität innerhalb einer industriellen Anlage ist also
sowohl für die hergestellten Produkte und die Sicherheit
Gerade im industriellen Umfeld hat die Integrität einen des Herstellungsprozesses als auch für die Einhaltung regu-
direkten Einfluss zum Beispiel auf die Qualität der erzeug- latorischer Anforderungen von größter Bedeutung. Werden
ten Produkte und den Betrieb einer Anlage. Der Einfluss mehrere industrielle Anlagen zusammengeschaltet, gilt
auf die Qualität der Produkte wird offensichtlich, wenn die dies auch für die Produktionszelle.
Folgen von fehlender Integrität im Herstellungsprozess
näher beleuchtet werden. Werden nicht integre Daten von
Sensoren geliefert, kann das Produkt gegebenenfalls nicht 2.2.1 Bedeutung der Integrität im Wechselspiel
richtig oder nicht mit ausreichender Genauigkeit gefertigt mit anderen Schutzzielen
werden. Teile werden aufgrund der nicht integren Daten
fehlerhaft erzeugt oder Fehler werden nicht im Qualitätssi- Die Integrität von Daten und Systemen ist eine Vorausset-
cherungsprozess bemerkt. Dies kann soweit führen, dass zung für die Erreichung der anderen Schutzziele: Verfüg-
nicht spezifikationsgerechte Produkte an Kunden geliefert barkeit und Vertraulichkeit.
werden und zum Beispiel Reputationsverluste oder Pro-
dukthaftungsfälle auslösen. Sind Daten oder Systeme nicht integer, können die darauf
basierenden Prozesse nicht mehr fehlerfrei ablaufen. Ohne
Eine nicht integer funktionierende Anlage kann sowohl Maßnahmen zur Erkennung einer Integritätsverletzung
Einfluss auf die Produktqualität nehmen als auch die Ver- entstehen Folgefehler, die sich in Form von Produktmängeln
fügbarkeit der Anlage selbst reduzieren. Auch wenn die oder fehlerhaften Daten bemerkbar machen. Diese Folge-
Sensorinformationen korrekt an die Anlage übertragen fehler sind nicht mehr als Integritätsfehler erkennbar, da
wurden, ist diese bei fehlender Integrität gegebenenfalls eventuell Schutzmaßnahmen wieder neu angewendet wer-
nicht in der Lage, die Daten korrekt auszuwerten oder den und keine zusätzliche Überprüfung der Ausgangsdaten
Folgeaktionen richtig auszuführen. Dies gilt auch für elekt- stattfindet. Insofern sind überwachende Maßnahmen zum
ronische Steuereinheiten in einer industriellen Anlage. Integritätsschutz mit entsprechender anwendungsabhängi-
Daraus folgt, dass bei einer nicht integren Anlage keine ger Bewertung der Auswirkungen, siehe Abschnitt 2.6, zu
Aussage über die Qualität eines gefertigten Produkts ge empfehlen.
troffen werden kann.
Entsprechend wirken sich Integritätsfehler direkt auf die
Einen ähnlich drastischen Einfluss kann die fehlende Inte- Verfügbarkeit oder durch unvermeidbare Notabschaltungen
grität auf kritische Prozesse der Funktionalen Sicherheit aus. Werden Daten durch (kryptografische) Prüfsummen
haben. Wenn nicht integre, also fehlerhafte oder gefälschte geschützt, werden inkorrekte Daten typischerweise direkt
Daten durch sicherheitskritische Anwendungen verarbeitet verworfen. In Abhängigkeit der Anwendung kann eine
werden, kann es zu schwerwiegenden Fehlentscheidungen Erhöhung der Verfügbarkeit dennoch erreicht werden, wenn
durch die Anwendungen kommen. Dies ist relevant insbe- die Daten beispielsweise mittels Redundanz oder Neuüber-
sondere vor dem Hintergrund regulatorischer Vorgaben tragung trotz einer eventuellen Verzögerung nachgeliefert
und Verantwortung. werden. Wird ein Prozess durch verworfene, fehlerhafte
Daten gestört, hat dies zwar sichtbare Auswirkungen auf2 . W O R U M G E H T E S B E I I N T E G R I TÄT ? 7
die Verfügbarkeit, die dann aber mit den Folgewirkungen Bei der Betrachtung der Integrität sind jedoch dynamische
fehlerhafter Daten in Relation gesetzt werden müssen. Aspekte zu berücksichtigen, die durch eine berechtigte Ver-
änderung von Komponenten, Systemen oder Daten verur-
Für die Vertraulichkeit ist insbesondere die Systemintegrität sacht werden. Werden beispielsweise Daten von Sensoren
von Bedeutung. Ist ein System kompromittiert, kann ein einer Produktionsstraße zu einem Human Machine Inter-
Angreifer möglicherweise vertrauliche Daten auslesen oder face (HMI) übertragen und vor ihrer Anzeige entsprechend
am Endpunkt verschlüsselter Kommunikationsverbindungen aufbereitet, so handelt es sich dabei um eine gewollte Ver-
mitlesen. Es ist deswegen in verschiedenen Standards und änderung der Daten. Ebenso können berechtigte Änderun-
Empfehlungen vorgeschrieben, die Systemintegrität von gen an Systemfunktionen aufgrund eines notwendigen
kryptografischen Systemen beim Start und/oder während Hardwaretauschs oder durch geplante Software-Upgrades
des Betriebs zu überprüfen. Die meisten Protokolle zur Spei- erfolgen. Diese berechtigten, dynamischen Veränderungen
cherung oder Übertragung von Daten kombinieren Mecha- dürfen zu keinem Integritätsverlust führen; somit müssen
nismen der Verschlüsselung mit kryptografischem Integri- Funktionen für einen „Integritätsschutz“ entsprechend
tätsschutz. ausgelegt sein bzw. flexibel angepasst werden.
Bei der Betrachtung der Integrität sind folgende Fragen-
Konsequenz:
stellungen zu berücksichtigen:
• Der Schutz der Integrität von Daten, Systemen und
Unverfälschtheit von Daten:
Prozessen wird wichtiger und ist eine wesentliche
Bei der Betrachtung muss unterschieden werden zwischen
Grundlage für die anderen Schutzziele: Verfügbarkeit
Daten, die übertragen werden, und Daten, die auf einem
und Vertraulichkeit.
System gespeichert sind.
Für die Übertragung ist relevant:
2.3 Bestimmung: Daten- und Systemintegrität
• Integrität: Wie kann zuverlässig erkannt werden, ob es
Die Integrität einer Komponente oder eines Systems be bei einer Übertragung von Daten zwischen verschiedenen
schreibt die Unverfälschtheit der Funktionalität, das heißt, Komponenten zu einer Verfälschung gekommen ist?
ein Gerät oder System ist integer, wenn es sich funktional Beziehungsweise: Wie kann sichergestellt werden, dass
wie gewünscht und beschrieben verhält. übertragene Daten korrekt angekommen sind, es also
bei der Übertragung weder zu einer zufälligen noch zu
Der Begriff bildet sich dann auf jeder Komponente und einer gezielten Veränderung gekommen ist?
Implementierungsebene eines Geräts ab: auf Hardware
(HW), Betriebssystem (BS), Treiber, Applikationen, Konfigu- • Authentizität: Wie kann zuverlässig erkannt werden, dass
rationsparameter (HW, BS, Applikationen) und auch auf übertragene Daten von einer bestimmten Komponente
den Schutz der Integrität dieser Komponenten (z. B. Tam- gesendet wurden? Wie kann die Authentizität der über-
per-Schutz). Die Integrität jeder Teilkomponente eines tragenen Daten geprüft werden? Das heißt, es muss die
Geräts geht in die Bewertung der (Gesamt-)Integrität des Möglichkeit bestehen zu prüfen, ob Daten von einer
Geräts ein. Mit Integrität von Daten wird deren Unver- bestimmten Komponente gesendet und nicht durch
fälschtheit bezeichnet. einen Angreifer erstellt oder während der Übertragung
eingespielt oder verändert wurden.
Mit „Integritätsschutz“ bezeichnet man Mechanismen/
Funktionen, die eine nicht autorisierte Veränderung (und Bei Daten, die auf einer Komponente gespeichert sind:
damit eine Verfälschung) nicht manipulierbar anzeigen oder
verhindern. Ein solcher Mechanismus für Daten kann zum • Integrität: Wie kann sicherstellt werden, dass Daten seit
Beispiel ein Message-Authentication-Code (MAC) sein. Ein der letzten Prüfung nicht unbefugt oder zufällig verändert
klassischer Cyclic-Redundancy-Check (CRC) schützt nur wurden? Dies kann zum Beispiel bei Konfigurationsdaten
gegen zufällige Veränderungen von Daten. Jedoch kann ein relevant sein, um gezielte und zufällige Veränderungen
Angreifer ihn fälschen. Daher ist ein CRC in diesem Sinne zu erkennen.
kein Mechanismus zum Integritätsschutz.8 2. W O R U M G E H T E S B E I I N T E G R I TÄT ?
• Authentizität: Wie kann zuverlässig erkannt werden, Einfluss auf die Produktion und das Produkt. Um die Folgen
wer die Daten abgelegt hat, von wem die Daten stammen einer Verletzung der Integrität einer Einzelkomponente
oder wer die letzte Veränderung vorgenommen hat? beurteilen zu können, ist eine Detailbetrachtung der Aus-
wirkung auf das Gesamtsystem nötig. Die Auswirkungen
Für die Aufgabenerfüllung der Komponenten/Systeme ist können dabei von vernachlässigbaren Effekten bis hin zur
es essenziell, dass Daten (z. B. Befehle) unverändert ausge- Gefährdung für Leib, Leben und Umwelt reichen. Für das
tauscht und abgespeichert werden. Ohne integre, also ge Gesamtsystem sollte daher eine Abschätzung des Versagens
sicherte und korrekte Daten lässt sich kein korrekter und der Teilsysteme erstellt werden.
sicherer Betrieb einer Komponente, Maschine oder Anlage
erreichen. Es darf einem Angreifer nicht möglich sein, dass
Befehle einer Steuerung (z. B. die korrekte Motordrehzahl 2.4.1 Parameter und Zusammenhänge
oder ein Signal zur Notabschaltung eines Motors) manipu-
liert werden. Während eine quantitative Betrachtung der Integrität
(z. B. „das System ist zu 78 % integer“) nicht zielführend bzw.
Unverfälschtheit der Systeme: nicht machbar ist, ermöglicht eine qualitative Betrachtung
• Wie kann man sicherstellen, dass an der Kommunikation der Integrität und ihres Verlusts die Gestaltung von kom-
beteiligte Dinge auch wirklich das – und nur genau das – pensierenden Maßnahmen. Bei dieser Betrachtung sollten
tun, was ihrer vorgesehenen Funktion im jeweiligen die verschiedenen Gründe für ein Fehlen der Integrität be
Kontext entspricht? rücksichtigt werden. Diese können sein:
Ebenso ist es möglich, dass ein anderer Teil der Steuerungs • Veränderungen des Systems über die Zeit: Komplexe
software Fehler aufweist, durch deren Ausnutzung ein industrielle Systeme sind oftmals über lange Zeiträume
Angreifer das Verhalten der Steuerung so beeinflussen im Einsatz. Dies bedingt, dass die Systeme an unterschied
kann, dass eine Notabschaltung überhaupt nicht mehr liche Anforderungen angepasst werden. Diese Anpassun-
ausgeführt wird. gen können schleichend zu negativen Effekten in Bezug
auf die Wiederstandsfähigkeit gegen Angriffe führen.
Ein System, das graduell unsicherer geworden ist, kann
2.4 Betrachtung der Gesamtintegrität eines gegebenenfalls von einem Angreifer verändert werden,
Systems sodass entweder die System- oder die Datenintegrität
nicht mehr gegeben ist. Vorausschauende Maßnahmen
In der Regel besteht eine industrielle Anlage nicht nur aus können durch zusätzliche Prüfung oder durch Abschot-
einem einzigen System, sondern aus einer Vielzahl mitein- tung des Systems eine steigende Verwundbarkeit aus-
ander kommunizierender Teilsysteme. Jedes dieser Einzel- gleichen. Neue kompensierende Maßnahmen sollten bei
systeme kann, für sich genommen, integer oder nicht integer jeder Veränderung des Systems geprüft werden.
sein. Die Integrität des Gesamtsystems ergibt sich daher aus
der Integrität der Teilsysteme. Zusätzlich ist bei der Integri- Beispiel: Eine Firewall wird für eine Anwendung para-
tätsbetrachtung auch die Integrität der Daten, die zwischen metriert. Diese Anwendung wird später durch eine andere
diesen Teilsystemen ausgetauscht werden, zu berücksichtigen. Anwendung ersetzt, die Firewall-Regeln werden aber nicht
Das Gesamtsystem kann als integer betrachtet werden, nachgepflegt. So können durch Änderungen in der Para-
wenn alle Teilsysteme sowie die Kommunikation zwischen metrierung und der Software ungewünschte Wechsel-
den Teilsystemen integer sind. Im Umkehrschluss beeinflusst wirkungen entstehen, indem zum Beispiel für eine be
jedoch auch eine fehlende Integrität eines Teilsystems oder stimmte Anwendung die Firewall angepasst wird.
einer Kommunikation die Integrität des Gesamtsystems.
• Alterung von Krypto-Algorithmen durch neue wissen-
Der Einfluss von fehlender Integrität einer Komponente lässt schaftliche Erkenntnisse und höhere Rechenkapazität:
sich nicht pauschal beurteilen, sondern hängt von der Rolle Der technische Fortschritt und neue wissenschaftliche
der Komponente im Gesamtsystem ab. Fehlende Integrität Erkenntnisse lassen bestehende kryptografische Algo-
in einer zentralen Steuerungskomponente wiegt dabei in rithmen altern, indem zunehmende Rechenleistung und
der Regel schwerer als die fehlende Integrität einer nicht innovative Rechenwege Angriffe auf vormals sicher be
sicherheitskritischen Komponente ohne maßgeblichen wertete Algorithmen ermöglichen. In der Vergangenheit2 . W O R U M G E H T E S B E I I N T E G R I TÄT ? 9
mussten mehrmals kryptografische Mechanismen bereits Auch bei der Betrachtung eines Einzelsystems lassen sich
nach wenigen Jahren ausgetauscht werden, da sie keinen Teilbestandteile identifizieren, die einen Einfluss auf das
ausreichenden Schutz mehr boten. Zwei der zentralen Teilsystem haben. Wichtige Teilkomponenten sind:
Elemente der Datenintegrität sind kryptografische Prüf-
summen und digitale Signaturen. Auch diese Mechanis- a. die Hardware des Systems, einschließlich der
men unterliegen der beschriebenen Alterung. Beim Ent- IT-typischen Komponenten wie Speicher, CPU und
wurf von Systemen ist daher auf eine Austauschbarkeit Peripherie, aber auch Sensoren und Steuerungen.
der kryptografischen Algorithmen und Schlüssel zu ach-
ten. Während des Betriebs ist regelmäßig zu prüfen, ob b. die Software des Systems, einschließlich Bibliotheken
die eingesetzten Algorithmen noch sicher sind. Ansons- und Schnittstellen.
ten ist eine unbemerkte Veränderung von Daten und
Systemen nicht ausgeschlossen. c. die Kommunikationsprotokolle, über die ein System
Daten austauscht.
• Technischer Fortschritt in der offensiven Sicherheit:
Sicherheitsforscher und Angreifer entwickeln stets neue d. die Gesamtsystemarchitektur und die sich ergebende
Angriffsmethoden gegen bestehende Systeme. Die Ent- Konfiguration der Einzelsysteme.
deckung eines neuen Angriffs führt oftmals schlagartig
zum Verlust der angenommenen Integrität eines Systems. Der Einfluss all dieser Einzelkomponenten ist bei einer
In diesem Falle müssen entweder unsichere Software qualitativen Untersuchung der Gesamtintegrität eines
komponenten aktualisiert oder zusätzliche kompensie- Systems zu berücksichtigen.
rende Maßnahmen (z. B. Erkennungs- und Isolations-
maßnahmen) eingesetzt werden, um die Integrität der
Systeme weiterhin zu gewährleisten. 2.4.2 Betrachtung der Integrität am Beispiel eines
SPS-Szenarios
• Menschliches Versagen und Fehlbedienung: Bei der
Bedienung oder Konfiguration kann es zu Fehleingaben Für die weitere Betrachtung und Konzeptualisierung der
oder einer Änderung an der falschen Komponente kom- Integrität wird ein Anschauungsbeispiel gewählt/herange-
men. Hier ist eine automatische Überprüfung der Daten- zogen. Angesichts ihrer Verbreitung und Relevanz für die
bereiche vorzusehen. Industrie wird eine speicherprogrammierbare Steuerung
(SPS) gewählt. Eine SPS übernimmt zentrale Monitoring-,
• Technisches Versagen und Umwelteinflüsse: Bei Fehlern Steuerungs- und Automationsaufgaben zwischen der
in der Hardware von Komponenten oder durch störende Ebene des Manufacturing-Execution-Systems (MES) und
Umwelteinflüsse (wie z. B. elektromagnetische Strahlung) der Feldebene. Aus Security-Sicht übernimmt sie damit
kann es zu zufälligen Veränderungen an Daten bei der eine interessante „Schnittstellen- und Gateway-Funktion“
Übertragung oder gespeicherten Daten kommen. Solche innerhalb der Produktion und in anderen Automations
Fehler müssen erkannt und es muss entsprechend darauf anwendungen (z. B. Smart Home und Smart Building).
regiert werden. So können Mechanismen zur redundanten
Speicherung, zur Fehlerkorrektur oder einer erneuten Für das weitere Verständnis wird folgende generische
Übertragung genutzt werden, um nicht mehr integre Prozess- und Handlungskette angenommen:
Daten wiederherzustellen oder korrekt zu übertragen.
Abbildung 1: SPS-Szenario
Sensor
Sensor Kommunikation SPS Kommunikation AKTOR
Sensor10 2. W O R U M G E H T E S B E I I N T E G R I TÄT ?
Von den Sensoren werden Messdaten (z. B. Temperatur, Wenn die Integrität einer Komponente oder ihre Kommu-
Druck oder Füllzustand) erfasst und an die SPS übertragen. nikation verletzt werden, müssen die Folgen für das gesamte
Die SPS empfängt die Daten, verarbeitet sie und sendet System betrachtet werden. Um den Schutz der Integrität zu
Steuerbefehle an einen Aktor. Der Aktor (z. B. ein Motor erreichen, sind daher präventive und reaktive Maßnahmen
oder eine Pumpe) setzt die Befehle um. zu ergreifen. Diese ermöglichen zum einen das Erkennen
von Veränderungen an Daten und Systemen und verhindern
Bei der Übertragung der Messdaten von den Sensoren zum anderen Veränderungen bzw. ermöglichen eine Re
oder an den Aktor sind folgende Gefährdungen der Daten- konstruktion oder beschreiben das Verhalten, wie auf eine
integrität möglich (Auswahl): solche Verletzung reagiert werden soll.
• Zufälliger Übertragungsfehler zum Beispiel durch
elektromagnetische Strahlung 2.5 Technische Maßnahmen zur Prüfung und
Gewährleistung von Integrität
• Veränderung der Messdaten
Anhand des zuvor beschriebenen Beispiels werden exemp-
• Einspielen von falschen Messdaten larische Maßnahmen zur Erkennung des Integritätsverlusts
beschrieben. Es wird dabei unterschieden, wer für die Um
Die Konsequenz in all diesen Fällen ist, dass die SPS mit setzung der Maßnahmen verantwortlich ist. Die Tabelle 1 gibt
falschen oder fehlerhaften Daten arbeitet; aus ihrer Logik einen Überblick über die verschiedenen Maßnahmen. Eine
heraus können so falsche Entscheidungen getroffen werden ausführliche Beschreibung erfolgt unterhalb der Tabelle.
und der Aktor kann in der Folge falsch agieren.
Folgende Probleme der Systemintegrität beeinflussen die 2.5.1 Einsatz von Protokollen mit Prüfsummen
korrekte Arbeit der SPS (Auswahl):
Zur Erkennung von zufälligen Fehlern, die zum Beispiel
• Veränderungen des Betriebssystems, des Steuerungspro- durch elektromagnetische Strahlung entstehen können, ist
gramms oder der Konfiguration durch zufällige Fehler es bereits heute üblich, Prüfsummen zu nutzen; dies wird
bei vielen Übertragungsprotokollen berücksichtigt. Eine be
• Gezielte Manipulation des Betriebssystems/der Software, kannte Variante sind CRC-Prüfsummen. Diese ermöglichen
des Steuerungsprgramms oder der Konfiguration durch die Erkennung von Veränderungen und in begrenzten Maßen
einen Angreifer sogar die Rekonstruktion von Originaldaten. Entsprechende
Protokolle müssen durch den Hersteller in Komponenten
• Versehentliche/falsche Änderung des Steuerprogramms implementiert und unterstützt werden.
oder der Konfiguration durch einen Bediener
Die Verhaltensweise ist nicht mehr im normalen Bereich. 2.5.2 Einsatz von Protokollen mit Signaturen
Die Steuerung des Aktors und die Auswertung der Sensor-
daten erfolgen nicht mehr korrekt. Einfache Prüfsummen bieten keinen Schutz vor absicht
lichen Veränderungen durch einen Angreifer, denn der
Die Beispiele zeigen, dass sowohl die einzelnen Komponen- Angreifer ist in der Lage, bei der Veränderung auch die
ten als auch das Gesamtsystem im Zusammenspiel betrachtet Prüfsumme anzupassen. Gegen diese Veränderungen bieten
werden müssen. So muss die Übertragung der Daten zwischen Signaturen oder schlüsselbasierte kryptografische Hash-
den Komponenten untersucht und sichergestellt werden, funktionen ausreichend Schutz. Beispiele hierfür sind Mes-
da falsche oder fehlerhafte Daten als Entscheidungsgrund- sage-Authentication-Code (MAC) oder Signaturen auf Basis
lage vorliegen und so falsche Aktionen ausgelöst werden von asymmetrischer Krpytografie. Die Funktionen werden
können. Gleichzeitig müssen aber auch alle Systeme ord- durch kryptografische Bibliotheken bereitgestellt, wie sie
nungsgemäß arbeiten. Wenn das nicht der Fall ist, führen zum Beispiel in OPC UA2 oder TLS3 genutzt werden. Diese
auch die korrekt übertragenen Daten nicht zu dem ge Protokolle müssen durch den Hersteller in Komponenten
wünschten Ergebnis. implementiert und unterstützt werden.2 . W O R U M G E H T E S B E I I N T E G R I TÄT ? 11
Tabelle 1: Übersicht Maßnahmen für Integritätsschutz
Gefährdung Hersteller Integrator Betreiber
Zufälliger Übertragungsfehler z. B. Einsatz von Protokollen mit Nutzung von Protokollen mit Überwachung der Protokolle
durch elektromagnetische Strahlung Prüfsummen Prüfsummen
Veränderung von Messdaten durch Einsatz von Protokollen mit Nutzung von Protokollen mit Überwachung der Prokollierung
einen Angreifer Signaturen Signaturen Verwaltung der Identitäten auf
Protokollierung Rollout von Identitäten auf den Komponenten
Komponenten
Protokollierung
Einspielen von falschen Messdaten Einsatz von Protokollen mit Nutzung von Protokollen mit Überwachung der Prokollierung
durch einen Angreifer Signaturen Signaturen Verwaltung der Identitäten auf
Protokollierung Rollout von Identitäten auf den Komponenten
Komponenten
Protokollierung
Veränderungen des Betriebssystems, Einsatz von Prüfsummen zur Erken- Einsatz von Prüfsummen und Einsatz von Prüfsummen und
des Steuerungsprogramms oder der nung von Fehlern/Veränderungen Bestätigung Bestätigung
Konfiguration durch zufällige Fehler
Gezielte Manipulation des Betriebs- Einsatz von signierten Prüfung der Herkunft von Prüfung der Herkunft von
systems/der Firmware/Schlüssel- Firmware-Updates Firmware-Updates Firmware-Updates
speicher durch einen Angreifer Secure-Boot
Sicherer Speicherbereich
Gezielte Manipulation des Möglichkeiten zur Signatur von Signierung von Steuerungs Überwachung der Protokollierung
Steuerungsprogramms durch Steuerungsprogrammen programmen Verwaltung der Identitäten auf
einen Angreifer Möglichkeiten zur Authentisierung Rollout von Identitäten zur Prüfung den Komponenten
vor dem Einspielen von Steuerungs- auf die Komponenten
programmen Protokollierung
Protokollierung
Gezielte Manipulation der Konfigu- Möglichkeiten zur Signatur von Signierung von Steuerungs Überwachung der Protokollierung
ration durch einen Angreifer Konfigurationsparamtern programmen Verwaltung der Identitäten auf
Protokollierung Rollout von Identitäten zur den Komponenten
Prüfung auf den Komponenten
Protokollierung
Versehentliche/falsche Änderung Möglichkeiten zur sicheren Identifi- Authentisierung5 und Autorisierung Überwachung der Protokollierung
des Steuerungsprogramms oder der kation und Authentifizierung4 von vor Änderungen Verwaltung der Identitäten auf
Konfiguration durch einen Bediener Nutzer und Komponente Vorgabe von Werteparametern und den Komponenten
Möglichkeiten zur Valididierung von Validieren der Werte
Konfigurationsparametern Protokollierung
Protokollierung
Zu beachten ist, dass Sender und Empfänger jeweils in der Seiten mit einer Identität ausgestattet sind, die durch den
Lage sein müssen, die Authentizität der Nachrichten zu jeweils anderen geprüft werden kann.
prüfen (Authentifizierung). Dies kann erfordern, dass beide
2 Open-Plattform-Communications – Unified Architecture
3 Transport-Layer-Security
4 Authentifizierung ist die Prüfung der behaupteten Authentisierung.
5 Authentisierung ist der Nachweis einer Komponente oder Person, dass sie diejenige ist, die sie vorgibt zu sein.12 2. W O R U M G E H T E S B E I I N T E G R I TÄT ?
2.5.3 Einsatz von Prüfsummen zur Erkennung von oder falsches Steuerungsprogramm fehlerhafte Aktionen aus
Fehlern/Veränderungen geführt oder falsche Entscheidungen getroffen werden, die
sich in Form fehlerhafter Produkte oder eines Schadens an
Ähnlich wie bei der Erkennung von Fehlern bei der Über- einer Maschine auswirken. Gleiches gilt für Konfigurationen.
tragung sollten Mechanismen umgesetzt werden, die zu
fällig auftretende Fehler auf den Komponenten erkennen. Daher sollte die Möglichkeit bestehen, die Daten, die auf
Ursachen können auch hier elektromagnetische Stahlung eine Steuerung aufgebracht werden, auf Veränderungen zu
oder Hardwaredefekte sein. prüfen und bei Abweichungen nicht einzuspielen.
2.5.4 Einsatz von signierter Firmware, Software und 2.5.7 Möglichkeiten zur Authentisierung und Autori
Updates sierung vor dem Einspielen von Steuerungs
programmen und Konfigurationsparametern
Die Auslieferung und Installation von Firmware bzw. Soft-
ware allgemein ist ein kritischer Vorgang. Es muss verhindert Bevor eine Veränderung an einer Komponente durchge-
werden, dass manipulierte Varianten installiert werden. führt wird, sollte sich ein Nutzer gegenüber einer Kompo-
Ein Angreifer könnte beispielsweise eine Schadfunktion, die nente authentisieren, das heißt, er sollte einen Nachweis
ihm später einen Angriff ermöglicht, oder Backdoor-Funk- erbringen, dass er die behauptete Identität besitzt (z. B. mit-
tionalitäten integrieren, um an Daten zu gelangen, ohne tels eines Passworts oder eines digitalen Zertifikats). Dies
den Dateninhalt zu verändern. steht in einem engen Zusammenhang mit Abschnitt 2.5.9
Rollout von Identitäten auf Komponenten. Außerdem muss
Daher sollte für solche Installationspakete eine Möglichkeit die Komponente auf dieser Basis entscheiden, ob der Nutzer
bestehen, die Integrität und Authentizität zu validieren. berechtigt ist, die Veränderungen vorzunehmen. Dieser
Hersteller sollten entsprechende Informationen wie bei- Vorgang wird Autorisierung genannt.
spielsweise Prüfsummen auf einem unabhängigen Kanal
zur Verfügung stellen. Alternativ kann auf einer Kompo- Um die vorgenommenen Änderungen nachvollziehen zu
nente, beispielsweise vor einem Update, eine an der Firm- können, sollten diese protokolliert werden.
ware angebrachte Signatur geprüft werden. Die Installation
findet nur statt, wenn diese erfolgreich geprüft werden kann.
2.5.8 Möglichkeiten zur Validierung von Konfigurations-
parametern
2.5.5 Möglichkeiten zur Überwachung der System
integrität Um Fehleingaben von Anwendern zu erkennen und ver-
meiden zu können, sollte es möglich sein, für Eingabe
Hersteller sollten Maßnahmen zur Überprüfung und parameter einen Wertebereich vorzugeben. Dies kann ein
Überwachung der Integrität von Komponenten vorsehen. Zahlenbereich oder eine festgelegte Länge von Zeichen
Mit diesen soll erkannt werden können, dass eine Verände- und der Zeichen selbst sein. Dabei wird vor dem Verarbei-
rung an der Firm- oder Software stattgefunden hat. ten der Werte geprüft, ob vom festgelegten Wertebereich
abgewichen wird. Diese Prüfung sollte grundsätzlich bei
Eine Möglichkeit, dies zu realisieren, ist Secure-Boot. allen Schnittstellen erfolgen.
Dabei wird das Starten auf bestimmte signierte Firmware
beschränkt. Als Alternative können die Abhängigkeiten zwischen Para-
metern überprüft werden. Beispiel: Parameter A muss FALSE
sein, wenn zuvor Parameter B auf „2“ gesetzt wurde. Die
2.5.6 Möglichkeiten zur Signatur von Steuerungs Beziehungen kann man zum Beispiel mittels Featurebäume
programmen und Konfigurationsparametern modellieren und später im Code überpüfen.
Eine Veränderung von Steuerungsprogrammen oder Konfi-
gurationsdaten auf einer Komponente kann erhebliche
Auswirkungen haben. So können durch ein manipuliertes2 . W O R U M G E H T E S B E I I N T E G R I TÄT ? 13
2.5.9 RollOut von Identitäten auf Komponenten 2.5.13 Signierung und Prüfung der Herkunft
von Firmware-Updates
Damit einige der zuvor genannten Maßnahmen genutzt
werden können, muss es einfache und sichere Methoden Updates spielen eine wichtige Rolle insbesondere zur Besei-
geben, um Identitäten auf Komponenten einrichten zu tigung von sicherheitsrelevanten Schwachstellen in Kom-
können. Diese werden für die Authentisierung benötigt. ponenten. Um einen Missbrauch zu verhindern, ist es not-
Obwohl diese Maßnahmen nicht direkt dem Schutz der wendig, dass Updates vor dem Einspielen auf ihre Integrität
Integrität dienen, ist ein Fehlen problematisch, da dies eine und Authentizität geprüft werden. Damit wird sicherge-
Hürde für Einrichtung und Betrieb darstellt. In der Folge stellt, dass ein Update nicht verändert wurde (etwa keine
wird bisher auf die Nutzung von Schutzmaßnahmen ver- durch einen Angreifer hinzugefügte Funktion enthält) und
zichtet oder der Aufwand im Einsatz deutlich erhöht. Wei- vom Hersteller stammt (d. h. nicht von einem Dritten/
tere Informationen zum Thema sichere Identitäten finden Angreifer). Falls die Integrität verletzt ist, darf das Update
sich im „Technischen Überblick: Sichere Idenitäten“ der nicht eingespielt werden.
Plattform Industrie 4.06.
2.5.14 Signierung und Prüfung von Steuerungs
2.5.10 Protokollierung programmen
Veränderungen an Daten, Systemen und Prozessen sollten Ähnlich wie bei den Updates sollte auch bei den Steuerungs
protokolliert werden, um eine Integritätsverletzung fest- programmen für eine SPS vorgegangen werden. Damit
stellen zu können. Registrierte Integritätsverletzungen an soll verhindert werden, dass ein manipuliertes Steuerungs-
Daten, Systemen und Prozessen sind ebenfalls zu doku- programm eingespielt wird.
mentieren. Die Protokolle selbst sind außerdem vor Verän-
derungen zu schützen.
2.6 Umgang mit Störung der Integrität
2.5.11 Überwachen der Protokollierung Die Störung der Integrität kann in einer Anlage zu verschie-
densten Gefährdungen führen. Wichtig dabei ist, dass je
Für die Protokollierungsdaten ist festzulegen, wie diese in nach Komponente die fehlende Integrität verschiedenste
Bezug auf neue Ereignisse überwacht werden. Es ist in die- Auswirkungen haben kann und dass daher auch verschie-
sem Zusammenhang festzulegen und zu dokumentieren, denste Reaktionen angemessen sind. Das Spektrum der
wie mit festgestellten Integritätsverletzungen umgegangen angemessenen Verhaltensweisen bei Feststellung der ver-
wird. letzten Integrität reicht von einem kontrollierten Weiterbe-
trieb bis hin zu einer sofortigen Abschaltung oder Notfall-
behandlung. Die folgenden zwei Beispiele verdeutlichen dies:
2.5.12 Verwaltung der Identitäten auf den Komponenten
Ein Beispiel für einen Fall, in dem trotz des Verlusts der
Nach dem Rollout von Identitäten gilt es, sie dauerhaft zu Integrität einer Komponente keine schwerwiegenden Prob-
verwalten. Dazu gehört neben dem regelmäßigen Austausch leme auftreten, wäre beispielsweise eine Maschine, deren
der Authentisierungsdaten auch die Pflege der jeweils gül- Sensoren den Schmiermittelstand zur automatischen
tigen Nutzer. Hierfür müssen auf den Komponenten ent- Schmierung falsch anzeigen. Die Anlage kann trotz eines
sprechende Funktionalitäten bereitgestellt und auf der gegebenenfalls zu niedrigen Schmiermittelstands weiter
anderen Seite Prozesse etabliert werden, welche die not- betrieben werden, wenn ein zusätzlicher Mechanismus
wendigen Aktivitäten anstoßen. zum Schutz der Maschine vorhanden ist. Eine unmittelbare
Notabschaltung der Maschine beim Erkennen der Integri-
tätsverletzung ist folglich nicht nötig, da der Verlust der
Integrität keine unmittelbaren schwerwiegenden Auswir-
kungen hat.
6 https://www.plattform-i40.de/I40/Redaktion/DE/Downloads/Publikation/sichere-identitaeten.html14 2. W O R U M G E H T E S B E I I N T E G R I TÄT ?
Ein Beispiel, das eine sofortige Abschaltung rechtfertigt, ist
die Störung der Integrität einer sicherheitskritischen Ein- Unabhängig davon, wo und auf dem welchem Weg die
heit, zum Beispiel die Anzeige falscher Temperaturen durch Integrität der Daten gestört wurde, kann das einen
die Sensorik von überwachten Leistungsbauteilen in der finanziellen Schaden für den Maschinenbetreiber zur
Stromversorgung einer Maschine. Dies kann zur Zerstörung Folge haben:
der Stromquelle oder sogar zur Gefährdung der Arbeiter
führen. In einem solchen Fall muss umgehend eingegriffen a. Leicht: Finanzieller Schaden durch zu häufige
werden. Ein sicherer Weiterbetrieb ist nicht möglich. Wartungen aufgrund fehlerhafter Sensordaten
(Wartungsfall zu früh erkannt).
Beide Beispiele zeigen, dass eine fehlende Integrität sehr
unterschiedliche Auswirkungen haben kann und dass die b. Schwer: Finanzieller Schaden durch Produktions-
Reaktionen auf Integritätsverletzungen sehr verschieden ausfall aufgrund fehlerhafter Sensordaten (War-
ausfallen können. Daher ist eine Einzelbetrachtung nötig. tungsfall zu spät erkannt). Die Integritätsstörung
Leitfragen können sein: Welche Komponenten sind kritisch geht in diesem Fall einher mit einem Verlust der
für den Betrieb und welche Daten oder Schwellwerte werden Verfügbarkeit.
als Basis für weiterführende folgenschwere Entscheidungen
verwendet? Fallbeispiel 2: „Verbrauchsmaterialbestellung“:
Zur weiteren Erläuterung zum Umgang und den Folgen Eine Maschine (3D-Drucker) ordert notwendiges
werden zwei Fallbeispiele für Integritätsstörungen dar Rohmaterial für den Produktionsprozess beim internen
gestellt: (externen) Lieferanten.
Unter anderem können folgende Integritätsstörungen
Fallbeispiel 1: „Condition-Monitoring“: auftreten:
Eine Maschine ist mit Sensoren ausgestattet, um recht- • Rohmaterial wird zu früh bestellt.
zeitig – vor Stillstand – eine Wartung der Maschine ver-
anlassen zu können. Über eine cloudbasierte Plattform • Rohmaterial wird falsch bestellt.
werden die erhobenen Sensordaten der Maschine dem
Service-Dienstleister zu Verfügung gestellt. • Rohmaterial wird zu spät bestellt.
In dieser Informationskette können, ausgehend vom Auch hier kann unabhängig davon, wo und auf welchem
Sensor an der Maschine bis zum Service-Dienstleister, Weg die Integrität der Daten gestört wurde, ein finanzi-
unter anderem folgende Integritätsstörungen auftreten: eller Schaden für den Maschinenbetreiber entstehen:
• Sensor erhebt die Daten fehlerhaft. a. Leicht: Finanzieller Schaden durch zu frühe Liefe-
rung (höhere Lagerhaltungskosten).
• Auf dem Übertragungsweg zur cloudbasierten Platt-
form werden die Daten verfälscht. b. Schwer: Finanzieller Schaden durch zu späte bzw.
falsche Bestellung (neben der Störung der Integrität
• Auf der cloudbasierten Plattform werden die Daten kommt noch ein Verfügbarkeitsproblem dazu).
verfälscht.
• Auf dem Übertragungsweg von der cloudbasierten
Plattform zum Servicedienstleister werden die Daten
verfälscht.2 . W O R U M G E H T E S B E I I N T E G R I TÄT ? 15
2.7 Ausblick: Integritätsschutz als Grundlage onspartnern so weit vertrauen kann, dass er sich mit ihnen
der Vertrauenswürdigkeit sicher vernetzen und Informationen austauschen kann.
Insbesondere die Gestaltung einer unternehmens- und Die Integrität wirkt sich im Zusammenhang mit Industrie-
grenzenübergreifenden Kommunikation stellt eine Heraus- anlagen auch auf die physische Welt und die Sicherheit
forderung für die Security dar. Um eine sichere (unterneh- von Personen und Umwelt aus. Um die Digitalisierung von
mensübergreifende) Kommunikation überhaupt realisieren Industrieanlagen vorantreiben zu können, müssen die
zu können, muss zuerst ein Vertrauensverhältnis zwischen Kommunikationspartner möglichst vertrauenswürdig
den beteiligten Kommunikationspartnern etabliert werden. (= trustworthy) sein. Das setzt wiederum voraus, dass sich
Die Kommunikationspartner können dabei sowohl schon der Betreiber und der Benutzer auf die korrekte Funktions-
länger miteinander bekannt sein oder das erste Mal über- erfüllung der Systeme verlassen können. Dies bedingt, dass
haupt miteinander in Kontakt treten. Für den betroffenen sowohl die Integrität der Kommunikation der Systeme als
Wirtschaftsakteur stellt sich somit verstärkt die Frage, auch die Integrität des Zustands der Systeme (nach dem
inwiefern er diesen bekannten und neuen Kommunikati- aktuellen Stand der Technik) sichergestellt ist.16 3. Vertrauenswürdigkeit
3 . V E RT R AU E N S W Ü R D I G K E I T 17
3.1 Was ist Vertrauenswürdigkeit? weiteren Einfluss auf die Vertrauenswürdigkeit hat. Aus die-
ser Beobachtung lässt sich schließen, dass die Vertrauens-
Vertrauenswürdigkeit (= Trustworthiness; siehe Abbildung 2) würdigkeit eine Eigenschaft zwischen verschiedenen Syste-
beschreibt den Grad des Vertrauens7, den das Produkt8 in men, Firmen und Individuen ist, während die Integrität ein
Bezug auf alle wichtigen Systemmerkmale im Hinblick auf Merkmal innerhalb eines Systems, einer Komponente oder
Umweltstörungen, menschliche Fehler, Systemfehler und einer Firma darstellt. Das Konzept gilt für die Information-
Schutz vor Angriffen erfüllt. Der Begriff dient dazu, die Technology (IT) und für die Operational Technology (OT)
Qualität der bestehenden und der zukünftigen Beziehungen gleichermaßen, wenn auch kontextabhängig mit unterschied-
zwischen Firmen, Menschen, Systemen und Komponenten licher Gewichtung der Kategorien.
zu beschreiben. Bei einem vertrauenswürdigen System gibt
es positive Anhaltspunkte, dass sich eine betrachtete Einheit Die charakteristischen Kategorien für die Vertrauenswürdig-
in einer zu erwartenden Art verhalten wird. Die Integrität keit sind demnach:
einer Einheit stellt einen wichtigen Baustein der Vertrauens-
würdigkeit dar, da ohne System- und Datenintegrität keine • Security
Aussagen über das angenommene Verhalten einer Einheit
gemacht werden können. Die Vertrauenswürdigkeit geht • Safety
jedoch noch weiter als die Integrität: Beispielsweise kann
ein durch den Besitzer bewusst schädlich konfiguriertes • Privacy
System durchaus integer (unverändert und korrekt operie-
rend) und trotzdem für die Interaktionspartner, die mit • Zuverlässigkeit (Reliability)
diesem System kommunizieren, nicht vertrauenswürdig
sein. Wie dieses Beispiel zeigt, ist die Integrität zwar eine • Resilienz (Resilience)
notwendige Grundkomponente der Vertrauenswürdigkeit,
sie ist jedoch nicht allein hinreichend für Vertrauenswür- Auch das eventuelle Fehlen einer oder mehrerer Kategorien
digkeit, da die Intention eines Besitzers bzw. Betreibers eines (z. B. Safety in der IT oder Privacy in der OT) ändert grund-
Systems, einer Komponente oder gar einer Firma einen sätzlich nichts an dem Konzept.
Abbildung 2: Kategorien der Vertrauenswürdigkeit
Dis s
rup ck
En t ta
viro ions At
me
nt ors
Err an
Faults m
Pri va Hu
System y
cy
t
Sa fe
Resilien
r i ty
ce
cu
Se
Rel
ia bi lit y
Trus
tworthiness
Quelle: Industrial Internet Consortium
7 Vertrauen besteht aus den Punkten 1) Parameter, 2) Validierung und 3) menschliche Entscheidung. Das Thema Integrität adressiert nur die
Punkte 1 und 2. Vertrauen wird auch als „gefühlte Sicherheit“ bezeichnet.
8 Der Produktbegriff wird hier generisch verwendet und steht für jede Art von Dienstleistung, Hardware oder Software. Ein Produkt ist eine
Komposition von Komponenten. Eine Komponente kann Bestandteil sein von einem oder mehreren Produkten (z. B. Softwarekomponen-
ten). Ein Produkt kann wiederum als Komponente von einem anderen Produkt betrachtet werden.Sie können auch lesen
