Forschungsprojekt SeReMo: Sichere Fernüberwachung technischer Anlagen
Die Idee hinter SeReMo
Maschinen- und Anlagenbauer sehen sich täglich mit dem gleichen Problem konfrontiert: Da Kunden aufgrund der Sensibilität ihrer Daten Einblicke in ihr System ablehnen, kann auf Probleme in den Kundenanlagen stets nur reagiert werden, anstatt sie aktiv vorherzusehen und zu vermeiden.
Apps zur Fernüberwachung industrieller Anlagen gibt es viele. Doch die angebotenen Lösungen schützen die bereitgestellten Daten nicht ausreichend oder erfordern eine Öffnung des Kundennetzwerkes ins Internet, wodurch die Anlagen angreifbar werden.
Ziel des vom Bundesministerium für Wirtschaft und Energie geförderten Projektes SeReMo war der Aufbau einer sicheren Monitoring-Lösung, die auch in einem sensiblen oder sicherheitskritischen Anwendungsbereich einsetzbar ist.
Die Idee hinter SeReMo entstand aus einer über 35-jährigen Erfahrung im Projektgeschäft des Anlagenbaus. Im engen Austausch mit führenden Anlagenbauern wurde eine zentrale Herausforderung adressiert: Der fehlende Zugriff auf sicherheitskritische Informationen und die begrenzten Überwachungsmöglichkeiten der Betreiber beeinträchtigen die Effizienz und Sicherheit technischer Anlagen.
SeReMo schließt diese Lücke durch eine sichere Fernüberwachungslösung, die gemeinsam mit Experten der Universität Karlsruhe entwickelt wurde
Fernwartung vs. Remote Monitoring
Zunächst gilt es, die Begriffe Fernwartung und Fernüberwachung (Remote Monitoring) auseinanderzuhalten.
Während es beim Remote Monitoring um ein reines Beobachten geht, ermöglicht die Fernwartung ein Eingreifen in die Anlage. Wird ein Fernwirken von außen technisch ermöglicht, besteht aber die Gefahr, dass Angreifer das missbrauchen.
Um dieses Risiko zu vermeiden, ist es in vielen Fällen ratsam, dauerhaft nur eine Monitoring-Lösung zu betreiben. Kommt es zu einer Störung, bei der ein Fernwirken erforderlich ist, kann temporär und streng kontrolliert die Nutzung einer Fernwartungslösung ermöglicht werden.
Aber auch beim reinen Monitoring müssen zahlreiche Fragen hinsichtlich der IT- und Informationssicherheit passend gelöst werden.
Technische Umsetzung: SeReMo-Bridge und Plug-In-System
Im Kooperationsprojekt von SEKAS und dem Karlsruher Institut für Technologie (KIT) wurde eine herstellerunabhängige und offene Lösung aufgebaut, die sich konsequent auf die Sicherheitsbedürfnisse der Anwender ausrichtet. Sie ist somit auch für das Remote Monitoring in sicherheitskritischen Bereichen einsetzbar.
Die SeReMo-Bridge sammelt, verschlüsselt und überträgt Daten von technischen Anlagen. Dank des modularen Plug-In-Systems können verschiedene Anlagentypen unkompliziert angeschlossen werden. So entstand ein universell einsetzbares, herstellerunabhängiges Monitoring-System.
Der Anlagenverantwortliche erhält über eine mobile App wesentliche Statusinformationen seiner Anlagen. Er wird zudem über Störungen aktiv per Push-Benachrichtigung alarmiert. Die App zeigt schnell, wo in der Anlage eine Störung vorliegt. Details zu den vorhandenen Sensoren wie der Verlauf der vergangenen Sensorwerte unterstützen bei der Einschätzung zur Kritikalität und zu möglichen Ursachen. Der Anwender kann somit über die Notwendigkeit und Dringlichkeit eines Eingreifens entscheiden. Das Eingreifen erfolgt außerhalb von SeReMo, entweder vor Ort oder über eine separate Fernwartungslösung.
Rein oder Raus?
Grundlegend gibt es zwei Varianten, ein Remote Monitoring aufzubauen: Entweder ermöglicht man den Zugriff von außen nach innen auf das Anlagennetzwerk oder die Daten werden von innen aus dem geschützten Netzwerk nach außen übertragen.
Für den externen Zugriff gibt es Lösungen, die gesicherte Verbindungen (z.B. via VPN) in ein Netzwerk ermöglichen. Hierfür muss das Netzwerk aber für einen externen Zugriff geöffnet werden, was die schon erwähnten Risiken birgt. Zudem stellt sich die Frage, wie der Zugriff von außen zuverlässig auf das erforderliche Maß eingeschränkt wird.
Bei SeReMo wird dieses Risiko vermieden, indem Daten grundsätzlich nur aus dem Anlagennetzwerk heraus übertragen werden und jeglicher Rückkanal als potentielles Sicherheitsrisiko ausgeschlossen wird. Diese Übertragung von Daten nach außen erfordert entsprechende Konzepte für die oft ungeliebten Themen Cloud und Cloud-Sicherheit.
"Daten sind das neue Gold" - Datenhoheit behalten
Aus der Vernetzung und der Datenflut auf Anlagenebene ergibt sich ein neuer Aspekt. Die gesammelten Daten können die Grundlage für neue und lukrative Geschäftsmodelle sein, die künftig erst entstehen. Nicht umsonst heißt es häufig: „Daten sind das neue Gold“.
Somit gilt es, die Hoheit über seine eigenen Daten zu behalten und diese nicht einem anderen Unternehmen z.B. über dessen Cloud-Dienst zu überlassen. Bei SeReMo entscheidet der Nutzer daher selbst, welche Daten und Statusinformationen seiner Anlage für eine Remoteüberwachung relevant sind und übermittelt werden.
Vertrauen ist gut - "Trust No One" ist besser
Eine Verschlüsselung der zu übertragenden vertraulichen Daten sollte selbstverständlich sein. Dabei werden Daten bevorzugt Ende-zu-Ende verschlüsselt. Das bedeutet, sie werden vor der Übertragung codiert und erst am anderen Ende, z.B. in der entsprechenden App, decodiert. Die wesentliche Frage dabei ist: Wer hat den Zugriff auf die Schlüsselmittel?
Ganz anders beim sogenannten Trust No One Ansatz, den SeReMo verfolgt. Hier haben tatsächlich nur diejenigen Parteien Zugriff auf die Schlüsselmittel, die Daten auch erhalten und entschlüsseln sollen.
Sämtliche Sensordaten werden verschlüsselt übertragen und in der Cloud auch verschlüsselt gespeichert. Die Schlüssel werden beim Anwender erzeugt und bleiben ausschließlich in dessen Hand. Damit bietet die Lösung eine echte Ende-zu-Ende-Verschlüsselung zwischen Anlage und Monitoring-App.
Pseudonymisierung - Daten-Gold für Fremde entwerten
Die Sensordaten und Zustandsinformation werden damit durch Verschlüsselung geschützt. Daneben ist aber auch die Information zum Datenursprung und jegliche Metainformation zum Sensor als vertraulich einzustufen.
Daher definiert der Anwender selbst die Sensoren der Anlagen und erzeugt dabei eine weltweit eindeutige anonyme Kennung (als Pseudonym) für jeden Sensor. Die Möglichkeit, von einem dieser Pseudonyme auf eine Anlage oder einen konkreten Sensor zu schließen, bleibt dem Anwender vorbehalten.
An die Cloud werden ausschließlich das Pseudonym eines Sensors sowie ein verschlüsselter Datenstrom mit Sensordaten übermittelt. Die dort gespeicherten Daten sind somit völlig anonym und enthalten keinen Bezug zu einem konkreten Sensor, zu einer Maschine oder zum Anlagenbetreiber.
Datenverarbeitung trotz Verschlüsselung
Das Forschungsprojekt arbeitete darüber hinaus an innovativen Lösungen für folgendes Dilemma in Bezug auf sicheres Cloud-Computing:
Da auf dem Cloud-Server bei einem Trust No One Konzept keine Entschlüsselung der Daten erfolgen kann, ist deren dortige Verarbeitung zunächst unmöglich. Allerdings ist die serverseitige Verarbeitung die Basis für zahlreiche interessante Funktionen, die anders nicht sinnvoll umsetzbar sind.
Zu diesem Zweck wurden spezielle Kryptoverfahren wie homomorphe oder teil-homomorphe Verschlüsselung erforscht und in die praktische Anwendung überführt. Diese ermöglichen die Ausführung von Rechen- und Vergleichsoperationen auf verschlüsselten Daten. Dank ausreichender Serverkapazitäten können Wertevergleiche und Zustandsanalysen serverseitig erfolgen, ohne dass sensible Daten entschlüsselt werden. Dies erlaubt eine moderne Zustandsüberwachung, Datenfusion und -filterung bei maximalem Schutz der Vertraulichkeit.