Safety vs. Security
Mit funktionaler Sicherheit (Safety) und Security treffen Welten aufeinander: in der Zeit, die es braucht, funktional sichere Software zu verifizieren und abschließend zu zertifizieren, bekommt Ihr Windowsrechner zu Hause mindestens 20 Securityupdates. Fast täglich werden Schwachstellen in den verbreiteten IT-Systemen (Windows, Android, iOS) bekannt, und es ist nur eine Frage der Zeit, bis ein ähnlicher Effekt auch bei den industriellen Systemen (Feldbus-Stacks, Steuerungen der großen SPS-Hersteller) eintritt. Das heißt, in Zukunft werden die SPS-Hersteller, die Anbieter von Feldbusstacks in immer kürzeren Zyklen Updates ihrer Firmware ihren Kunden anbieten müssen. Dass in gleichem Maße der Aufwand abnimmt, um funktional sichere Software zu verifizieren und zertifizieren, ist nicht anzunehmen. Das kann nur eines bedeuten: in funktional sicheren Geräten müssen Safety und Security konsequent getrennt werden. Es muss möglich sein, die Kommunikationskomponenten monatlich, wenn nicht wöchentlich zu aktualisieren, ohne dabei die funktional sicheren Komponenten zu beeinflussen. Im einfachsten Fall heißt das, dass das funktional sichere Gerät ein separates Kommunikationsmodul enthält, das die Kommunikation über einen sicheren Feldbus oder mit dem Internet kapselt. Falls in dem Gerät einer der immer häufiger eingesetzten Safety-Prozessoren eingesetzt wird (die i.d.R. auch über eine Ethernetschnittstelle verfügen), so muss durch die Softwarearchitektur sichergestellt sein, dass ein Update der Kommunikationsschnittstellen keine Auswirkung auf die funktional sichere Software hat. Dies kann auch als Hinweis an die verschiedenen Feldbusnutzerorganisationen verstanden werden, die wahrscheinlich alle derzeit damit beschäftigt sind, Securityprofile zu spezifizieren (auch wenn davon wenig nach außen dringt): so verführerisch der Gedanke sein mag, eine erforderliche Signatur mit der sowieso schon vorhandenen Checksumme der Safety-Protokolle zu verheiraten: hier sollte eine strikte Trennung erfolgen, da ansonsten ein Teil der Sicherheitsfunktion in die Kommunikationslayer des Feldbusses übertragen wird mit allen Folgen bezüglich Verifikation und Zertifizierung, die damit verbunden sind.
Zusammenfassung
- • An allen Schnittstellen, an denen funktional sicherheitsrelevante Parameter geändert werden können, müssen wirksame Authentifizierungsmechanismen implementiert werden.
- • Sicherheitsrelevante Nachrichten brauchen eine Signatur oder kryptographische Prüfsumme, die sich in endlicher Zeit nicht reproduzieren lässt.
- • Kommunikationskomponenten, die Securityfunktionen beinhalten, und funktional sichere Komponenten müssen strikt getrennt werden, da ihre Updatezyklen völlig unterschiedlich sind und sich in Zukunft eher auseinanderbewegen werden.
6. Referenzen
1. Marco de Filippo: Gefunden, gekapert und ferngesteuert
in: Security Solutions, Sonderbeilage von Heise Medien, 2016
https://cyberpress.de/wp-content/uploads/sites/8/2016/09/Security-Solutions-2016-01.pdf
1. Maik Brüggemann, Ralf Spenneberg: PLC-Blaster – Ein Computerworm für PLCs. https://www.youtube.com/watch?v=9ZvtbsMshnQ (27.12.2015)
