Forschung & Entwicklung

Projektlaufzeit: 1.4.2017 bis 31.8.2019 (Abgeschlossen) Forschungsbereich: Industrielle Kommunikation : IT-Sicherheit Projektleiter: Prof. Dr. rer. nat. Stefan Heiss

Mit dem zunehmenden Einsatz standardisierter Ethernet-basierter Kommunikationsprotokolle, wie z.B. PROFINET oder Ethernet IP, und einer weiter zunehmenden vertikalen und horizontalen Vernetzung von Automatisierungssystemen sind Bedrohungen hinsichtlich der IT-Sicherheit auch für automatisierte technische Prozesse relevant. Um die IT-Sicherheit in heutigen Anlagen zu gewährleisten, werden organisatorische Maßnahmen und auch technische Maßnahmen auf Netzwerk- und Geräteebene empfohlen.

Zukünftige Anlagenstrukturen werden stärker vermascht und dezentral organisiert sein, oder sogar weltweit mit anderen technischen Systemen über das Internet miteinander kommunizieren (Industrie 4.0, Cyber-Physical Systems (CPS) und Internet of Things (IoT). Hierfür werden meist serviceorientierte Middleware-Systeme (wie z.B. OPC-UA, Webservices, openIOT) verwendet.

Durch die Anwendung dieser Konzepte spielt die integrierte IT-Sicherheit aller beteiligten Komponenten eine immer größer werdende Rolle. Die fortschreitende Öffnung der Netzwerke zeigt, dass die bisher verfolgte Strategie der Abschottung von Automatisierungsanlagen durch weitere Maßnahmen ergänzt werden müssen.Es ist ein umfassendes IT-Sicherheitskonzept erforderlich, welches insbesondere folgende Anforderungen adressiert:

• Absicherung der Kommunikation (sichere Middleware)
• Authentifizierung und Autorisierung der Kommunikationspartner; auch bei ad-hoc Verbindungen.
• Einfache Administration der zusätzlichen Sicherheitsmaßnahmen.
• In diesem Projekt soll deshalb ein entsprechendes IT-Sicherheitskonzept erstellt und am Beispiel eines Demonstrators erprobt werden.

Gefördert durch: BMWi Förderkennzeichen: 19117 N/2 Förderlinie: Förderung der industriellen Gemeinschaftsforschung (IGF)

Projektlaufzeit: 1.9.2014 bis 31.5.2015 (Abgeschlossen) Forschungsbereich: Industrielle Kommunikation : IT-Sicherheit Projektleiter: Prof. Dr. rer. nat. Stefan Heiss

In intelligent vernetzten Systemen spielt die Sicherheit eine große Rolle. Beispielsweise sollen zukünftige technische Systeme mit anderen technischen Systemen weltweit im Cyberspace kommunizieren. Ohne eine gegenseitige Authentifizierung und eine sichere Datenübertragung zwischen diesen Systemen sind Angriffe wie das Kopieren von Know-How leicht möglich. Als Basis für eine sichere Vernetzung von technischen Systemen können Geräteidentitäten auf Basis von TPM-Chips dienen. Geräteidentitäten bieten unter anderen folgenden Einsatzmöglichkeiten:

• Plagiats- und Manipulationsschutz
• Vermeidung von Unfällen durch Verwechslung von Geräten
• Aufbau eines geschützten Kommunikationskanals für Fernwartungen
• Schutz der Konfiguration und Programmierung vor Manipulation
• Binden von Nutzungslizenzen an Geräte

Weitere Protokolle und Softwareschichten bspw. für eine intelligente Vernetzung, wie sie im QP "Intelligente Vernetzung" entworfen werden, können auf diese Geräteidentität aufbauen, um eine sichere Kommunikation zu ermöglichen.

Im Projekt itsowl-TT-TPM wurde der benötigte Initialisierungsprozess für eine Geräteidentität auf Basis von Trusted Platform Modulen (TPM) entworfen und in den Produktionsprozess vom Transfergeber integriert, sowie beispielhaft für einen Demonstrator implementiert. Für den Demonstrator wurde außerdem die Firmware zwei bestehender Geräte mit integrierten TPM modifiziert, um die privaten Schlüssel der Geräteidentitäten sicher zu speichern. Zur Etablierung der benötigten Zertifikatsinfrastruktur zur Ausstellung der Geräteidentitäten wurde ein Konzept zum Betrieb einer Certificate Authority (CA) erarbeitet, welches speziell die Anforderungen des Transfernehmers berücksichtigt.

Gefördert durch: BMBF (PTKA PFT) Förderkennzeichen: 02PQ3062 Förderlinie: Spitzencluster it's OWL

Projektlaufzeit: 1.7.2011 bis 30.6.2014 (Abgeschlossen) Forschungsbereich: Industrielle Kommunikation : IT-Sicherheit Projektleiter: Prof. Dr. rer. nat. Stefan Heiss, Prof. Dr.-Ing. Jürgen Jasperneite

Im Rahmen des Vorhabens SEC_PRO sollen wichtige Beiträge zur Verbesserung der IT-Sicherheit von Ethernet-basierten Kommunikationsnetzen der Automatisierungstechnik erarbeitet und zusammen mit den Kooperationspartnern realisiert und erprobt werden.

Neben der Spezifikation und Umsetzung einer Erweiterung eines echtzeitfähigen Industrial Ethernetprotokolls, welche grundlegende IT-Sicherheitsfunktionalitäten adressiert, beruht der innovative Lösungsansatz auf einer konsequenten Nutzung von Hardware-basierten Security-Token zur Absicherung von Kommunikationsbeziehungen auf Protokoll- und Anwendungsebene. Hierbei sollen insbesondere Prinzipien des Trusted Computing Berücksichtigung finden. Darüber hinaus sollen Möglichkeiten für die gleichzeitige Nutzung von Security-Token zum Schutz gegen einen unautorisierten Nachbau von Komponenten durch Dritte (Produktpiraterie) erforscht und prototypisch realisiert werden.

Themenschwerpunkte des Projekts sind:

• Einsatz von Hardware-unterstützten Schutzmaßnahmen (Smartcard, TPM) im Bereich der Automatisierungstechnik

• Untersuchung von Maßnahmen zum verbesserten Schutz der Automatisierungsanlagen durch die Sicherstellung der Authentizität der (Echtzeit-)Datenübertragung

• Analyse des Echtzeitverhaltens derartig geschützter Netzwerke unter realen Bedingungen

• Analyse der Handhabbarkeit und Akzeptanz

• Nutzung der Hardware Security-Token zum Schutz gegen Produktpiraterie

• Untersuchungen zur Wahl der Topologie von Automatisierungsnetzwerken zur Erhöhung der Verfügbarkeit unter besonderer Berücksichtigung der IT-Sicherheit

Forschungsstellen:

• inIT, Lemgo
• Fachhochschule Hannover, Hannover

Projektpartner:

• ABB Automation GmbH
• ABB Forschungszentrum (Corporate Research)
• Innominate GmbH
• KW-Software GmbH
• Phoenix Contact GmbH
• Ruhr-Universität Bochum

Gefördert durch: BMBF Förderkennzeichen: 17060B10 Förderlinie: FHProfUnt

Projektlaufzeit: 1.10.2009 bis 31.12.2012 (Abgeschlossen) Forschungsbereich: Industrielle Kommunikation : IT-Sicherheit Projektleiter: Prof. Dr. rer. nat. Stefan Heiss

Motivation

Durch einen zunehmenden Einsatz standardisierter IT-Technologien in der Welt der Automatisierungstechnik wird der Einsatz TCP-IP-basierter Protokolle und Anwendungen ermöglicht, die seit Jahren erfolgreich in Office-Umgebungen genutzt werden. Ein großer Vorteil ergibt sich  hierbei durch eine einheitliche Vernetzung von Komponenten der AT auch über die Grenzen der Feldebene hinweg (vertikale Integration), welche eine praktisch ortsunabhängige Steuerung, Kontrolle und Wartung dieser Komponenten erlaubt.

Durch den Einsatz von Standardtechnologien und der weitergehenden Vernetzung ergeben sich allerdings auch zusätzliche Gefährdungen durch Schadsoftware (Malware wie Viren oder Würmer) für einen störungsfreien Betrieb entsprechend vernetzter automatisierungstechnischer Anlagen. Da Schadsoftware jedoch ihre destruktive Wirkung nur auf Grundlage vorhandener Protokoll- oder Implementierungsschwachstellen (Vulnerabilities) entfalten kann, ist der Einsatz schwachstellenfreier Komponenten für einen störungsfreien und sicheren Betrieb von Anlagen von großer Bedeutung.

Projektziele

Vorrangiges Projektziel ist die Entwicklung eines Frameworks zur Analyse und Erfassung von Schwachstellen verschiedener Komponenten der Automatisierungstechnik, welche Ethernet-basierte Kommunikationsprotokolle nutzen. Hinsichtlich einer möglichen Nutzung dieses Frameworks ist insbesondere auch an einen entwicklungsbegleitenden Einsatz durch Entwickler und Tester gedacht, die nicht zwingend über vertiefte IT-Sicherheitskenntnisse verfügen. Letztendlich soll im Rahmen von VuTAT daher eine PC-basierte Testumgebung entstehen, die eine weitgehend automatisierte Nutzung des Frameworks erlaubt.

„Das IGF-Vorhaben 16231 BG/2 der Forschungsvereinigung DFAM wurde über die AiF im Rahmen des Programms zur Förderung der Industriellen Gemeinschaftsforschung und –entwicklung (IGF) vom Bundesministerium für Wirtschaft und Technologie aufgrund eines Beschlusses des Deutschen Bundestages gefördert.“

Der Abschlussbericht kann bezogen werden über http://www.dfam.de/projekte/abschlussberichte.html

Foschungsstellen:

• inIT, Lemgo
• Ifak e.v., Magdeburg

 Gewerbliche Partner:

• Phoenix Contact GmbH
• Bosch Rexroth AG, Lohr
• WAGO Kontakttechnik GmbH & Co. KG, Minden
• Pilz GmbH, Ostfildern
• Hirschmann Automation and Control, Neckartenzlingen
• Add-yet GmbH, Leichlingen

Förderkennzeichen: FKM-Nr. 610332 

Projektlaufzeit: 1.6.2008 bis 31.12.2011 (Abgeschlossen) Forschungsbereich: Industrielle Kommunikation : IT-Sicherheit Projektleiter: Prof. Dr. rer. nat. Stefan Heiss

In Produkten der industriellen Automatisierungstechnik (AT) werden zunehmend standardisierte IT-Techniken zu Kommunikationszwecken eingesetzt. Insbesondere sind hier Anwendungen zu nennen, die die Protokolle TCP/IP und UDP/IP über Ethernet nutzen. Hierdurch wird eine einfache Vernetzung mit dem Firmennetz (Intranet) ermöglicht, welche beispielsweise eine komfortable Überwachung, Steuerung und Konfiguration von AT-Komponenten von einem beliebigen Firmenstandort und durch eine Internetanbindung praktisch von jedem beliebigen Ort erlaubt. Neben dieser Bedeutung zur Bereitstellung von vertikalen Kommunikationsstrukturen spielen Ethernet und zukünftig sicherlich vermehrt auch Wireless-Standards wie WLAN (IEEE 802.11), Bluetooth und ZigBee eine wichtige Rolle bei der Vernetzung von AT-Komponenten untereinander.

Neben den Vorteilen, die der Einsatz standardisierter offener Protokolle und Techniken mit sich bringt, sind entsprechende Netzwerke jedoch wesentlich stärker der Gefahr unberechtigter Zugriffe durch Dritte ausgesetzt. Für TCP/IP-Netzwerke sind diverse Angriffsmöglichkeiten bekannt, und entsprechende Hackertools sind im Internet frei verfügbar. Diese Gefahren für die IT-Sicherheit sind daher gesondert zu berücksichtigen und ihnen ist durch Einsatz geeigneter Techniken zu begegnen, wie sie im Prinzip bereits zur Absicherung von üblichen Netzwerken (LANs) zur Verfügung stehen. Insbesondere ist in diesem Zusammenhang an die Verwendung von Firewall- und VPN-Lösungen zu denken. Problematisch ist jedoch, dass sowohl Firewall- als auch VPN-Lösungen einen recht hohen administrativen Aufwand bei der Konfiguration und der Integration in ein bestehendes Netzwerk erfordern.

Im Rahmen des Forschungsvorhabens sollen VPN-Lösungen entworfen und evaluiert werden, die insbesondere für die besonderen Anforderungen im AT-Umfeld geeignet sind:

Die Konfiguration sicherer Verbindungen muss mit minimalem Aufwand realisierbar sein.
Im Zusammenhang mit letztem Punkt ist eine einfache einheitliche Sicherheitsstruktur für unterschiedliche Netzanbindungen von Komponenten(auch über Wireless-Netze wie WLAN oder Bluetooth) zu definieren.
Ziele des Vorhabens sind:

Eine Integration der benötigten kryptographischen Mechanismen muss auf kleinen Embedded Plattformen möglich sein.
Definition einer ausreichenden Teilmenge der durch die IPsec-Protokollsuite definierten Algorithmen, Protokolle und Mechanismen, die einerseits auf kleinen Prozessorplattformen mit vertretbarem Aufwand und hinreichender Performanz realisierbar sind, andererseits bekannte Schwachstellen von IPsec-Anwendungen vermeiden.
Bereitstellung von Konzepten für eine benutzerfreundliche und weitestgehend automatisierte Erstellung von Schlüsselstrukturen (PKI, Public Key Infrastructure),wie sie zum Betrieb einer VPN-Anwendung benötigt werden.

Exemplarische Implementierungen von Demonstratoren:

• IPsec-Implementierungen für einfache IO-Devices
• IPsec-Gateway
• PKI-Konfigurationsanwendungen

Kooperationspartner

Gewerblich

• Ifak system GmbH, Magdeburg
• rt-solutions.de, Köln
• Phoenix Contact Electronics GmbH, Bad Pyrmont
• WINCOR NIXDORF International GmbH, Paderborn

Wissenschaftlich

• Ruhr-Universität Bochum, Lehrstuhl für Kommunikationssicherheit

Projektlaufzeit: 1.3.2007 bis 30.6.2010 (Abgeschlossen) Forschungsbereich: Industrielle Kommunikation : IT-Sicherheit Projektleiter: Prof. Dr. rer. nat. Stefan Heiss

Seit gut 5 Jahren ist ein stetiges überproportionales Wachstum von kabellosen Technologien in der Automatisierungstechnik (AT) zu beobachten. Es zeigt sich jedoch, dass gerade für die AT konventionelle Technologien der Büroautomation ungeeignet bzw. nicht handhabbar sind. Im Rahmen des Projekts sollen Technologien und Lösungen für eine automatisierungstaugliche Bereitstellung von mobilen kabellosen Diensten, unter den Gesichtspunkten Echtzeittauglichkeit, IT-Sicherheit und Serviceorientierung erarbeitet werden.

Schwerpunkte der Arbeit finden sich in:

• Kontrolle und Verifikation der prognostizierten Echtzeitparameter
• Definition und Untersuchung von Echtzeiterhalten unter Roaming- oder Scanning Bedingungen bei drahtlosen Systemen
• Definition und Implementierung von IT-Sicherheitslayern für die verschlüsselte und integritätsgesicherte Übertragung von sensiblen Automatisierungsdaten.
• Untersuchung und Entwicklung eines Wireless Convergence-Layers für verschiedene Funktechnologien.
• Zentrales Bereitstellen von Servicedienstleistungen für ein einfach zu handhabendes zentrales, backupfähiges Management von kombinierten wired/ wireless Netzwerken.
• Untersuchung der Integrierbarkeit in ein Profinet Echtzeit-Ethernet Netzwerk.

Forschungsstellen:

• inIT, Lemgo
• Hochschule Bochum (Prof. Dr. J. Wollert)

Gewerbliche Partner:

• nanotron Technologies GmbH, Berlin
• Phoenix Contact GmbH, Blomberg
• rt-solutions.de GmbH, Köln

Wissenschaftliche Begleitung:

• OvG Universität, Magdeburg (Prof. Dr. E. Nett)
• Ruhr Universität, Bochum (Prof. Dr. C. Paar)
• ifak e.V., Magdeburg