M2M-Kommunikation

Maschine! Bitte ausweisen!



Dr. Friedrich Tönsing studierte Mathematik an der Technischen Universität Braunschweig und promovierte dort auch. Nach einer vierjährigen Assistenztätigkeit an der TU Braunschweig wechselte er zu T-Mobile und anschließend in das damalige Technologiezentrum der Deutschen Telekom. Dort arbeitete er an der Entwicklung von Sicherheitslösungen und Produkten, insbesondere im Mobilfunk. Heute ist Tönsing Abteilungsleiter bei der T-Systems International GmbH und verantwortet dort die Gebiete Smart Cards, insbesondere das Kartenbetriebssystem TCOS, und Security Engineering.

Wenige Stunden bis zum ersten Angriff

Mit der Zunahme der Machine-to-Machine-Kommunikation bekommt der Diebstahl von digitalen Identitäten also eine neue Qualität. Wenn heute ein Unternehmen eine Anlage mit Automatisierungskomponenten mit dem Internet verbindet, vergehen laut Trend Micro nur wenige Stunden bis zum ersten gezielten Angriff aus dem weltweiten Netz. Dass solche Szenarien keine übertriebene Angstmacherei darstellen, zeigen spektakuläre Fälle wie Stuxnet. Das Schadprogramm stürzte sich gezielt auf ein System zur Überwachung und Steuerung technischer Prozesse. Mit der angegriffenen Software steuern Kraftwerksbetreiber unter anderem Industrieanlagen wie Wasserwerke oder Pipelines - sowie Atommeiler. Angreifer nutzen hier Schwachstellen, wie sie von Betriebssystemen sowie Server- und Webanwendungen bekannt sind. So breiten sich klassische Computerviren auf Produktionsanlagen aus.

Amerikanische Experten des Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), das sich mit sicherheitsrelevanten Vorfällen von industriellen Steuerungssystemen befasst, berichteten schon 2012 von verstärkten Sicherheitsvorfällen. Ein Werkstudent hatte im Internet eine Anleitung veröffentlicht, wie sich über das Internet zugängliche Steuerungen finden lassen. Neugierige probierten diese Anleitung dann an Steuerungen der Wasserversorgung aus.

Grundvoraussetzung für die Industrie 4.0 sind daher Sicherheit mit echter Ende-zu-Ende-Verschlüsselung, einer eindeutigen Authentifizierung und fälschungssicheren digitale Identitäten. Beispielsweise werden im Energiesektor mit der Verbreitung von Smart-Metering-Systemen eine Übermittlung personenbeziehbarer Verbrauchsdaten und Netzkennzahlen sowie eine Steuerung lokaler Energieerzeuger "von außen" über öffentliche Kommunikationsnetze möglich. Durch eine ungeschützte Anbindung an öffentliche Netze würde eine hohe sicherheitstechnische Gefährdung entstehen - mit großem Angriffs- und Ausforschungspotenzial. Es sind sowohl Diebstahl und Manipulation von Verbrauchsdaten als auch "Hackerattacken" denkbar, die das Ziel haben, Komponenten zu stören oder ganz außer Funktion zu setzen.

Zwei-Faktor-Authentifizierung

Konkrete und verbindliche Schutzmaßnahmen für Smart-Metering-Systeme sind daher erforderlich und werden durch Gesetze und Verordnungen verpflichtend vorgeschrieben. Die geforderten Sicherheitsmaßnahmen resultieren in der Einführung einer Public-Key-Infrastruktur für den Bereich des Smart Metering. Die Telekom beispielsweise arbeitet mit dem auf M2M-Datenkommunikation spezialisierten Unternehmen Dr. Neuhaus Telekommunikation und dem Chiphersteller NXP Semiconductors an einer sicheren Kommunikationseinheit für den deutschen Energiemarkt. Das "Smart Meter Gateway" erfüllt die Anforderungen des BSI, das Sicherheitsmodul im Gateway wird nach den Anforderungen eines BSI-Schutzprofils zertifiziert und ist künftig zentraler Bestandteil der A-Series - einer schlüsselfertigen Cyber-Sicherheitslösung von NXP.

Mehr Sicherheit lässt sich - im privaten sowie unternehmerischen Umfeld - nur durch den Einsatz einer Zwei-Faktor-Authentifizierung erreichen. Sie bietet zwar auch keinen 100-prozentigen Schutz gegen Hacker, verringert das Risiko aber deutlich, Opfer eines Cyberkriminellen zu werden. Angreifer müssen nicht nur ein Passwort abfangen, sondern ein zweites, dazu passendes Identifikationsmerkmal stehlen. Das ist ungleich schwerer.

Wie funktioniert das?

Hardwarebasierte Verfahren mit einer Zwei-Faktoren-Authentifizierung können die Sicherheit von digitalen Identitäten deutlich steigern. Sicherheitslösungen mit Chipkarten sind die bisher sicherste Art der Zwei-Faktoren-Authentifizierung. Für die Ausstellung einer digitalen Identität mit einer Karte erzeugt ein zertifiziertes Trustcenter zunächst ein Zertifikat, also eine elektronische Sammlung von Identitätsmerkmalen des Inhabers wie Name, Anschrift oder Geburtsdatum.

Token wie die TCOS-Smartcard (TeleSec Chipcard Operating System) sollen die Sicherheit von Authentifizierungsvorgängen deutlich erhöhen.
Token wie die TCOS-Smartcard (TeleSec Chipcard Operating System) sollen die Sicherheit von Authentifizierungsvorgängen deutlich erhöhen.
Foto: T-Systems / Norbert Ittermann

Für die digitale Identität erzeugt das Trustcenter ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Das Zertifikat enthält dann den öffentlichen Schlüssel zusammen mit den auf Echtheit geprüften Identifikationsmerkmalen des Teilnehmers sowie einer Signatur des Zertifizierers. Diese stellt sicher, dass den Identitätsmerkmalen im Zertifikat vertraut werden kann. Der private Schlüssel muss geheim gehalten werden, damit Dritte die Identität nicht missbräuchlich nutzen können.

Die TCOS-Smartcards werden bei T-Systems in Nepthen bei Siegen gefertigt.
Die TCOS-Smartcards werden bei T-Systems in Nepthen bei Siegen gefertigt.
Foto: T-Systems / Norbert Ittermann

Zur Lösung haben sich Hardware-Sicherheitslösungen etabliert. Diese so genannten Sicherheits-Token gibt es inzwischen in verschiedenen Varianten, zum Beispiel als kleine Schlüsselanhänger. Interessant sind Sicherheits-Token besonders für Unternehmen. Sie können jedem Mitarbeiter einen Schlüssel ausstellen, mit dem er sich dann je nach Aufgabengebiet gegenüber definierten Anwendungen identifizieren kann. So lassen sich Zugangsberechtigungen in einzelne Gebäudeteile festlegen, Mitarbeiter können mit dem Token Dokumente elektronisch signieren, ihren Rechner hochfahren, E-Mails verschlüsseln oder sich gegenüber Maschinen identifizieren. (sh)

Inhalt dieses Artikels