SKAT: Sichere Kommunikationsnetze (VPN) in der Automatisierungstechnik
In Produkten der industriellen Automatisierungstechnik (AT) werden zunehmend standardisierte IT-Techniken zu Kommunikationszwecken eingesetzt. Insbesondere sind hier Anwendungen zu nennen, die die Protokolle TCP/IP und UDP/IP über Ethernet nutzen. Hierdurch wird eine einfache Vernetzung mit dem Firmennetz (Intranet) ermöglicht, welche beispielsweise eine komfortable Überwachung, Steuerung und Konfiguration von AT-Komponenten von einem beliebigen Firmenstandort und durch eine Internetanbindung praktisch von jedem beliebigen Ort erlaubt. Neben dieser Bedeutung zur Bereitstellung von vertikalen Kommunikationsstrukturen spielen Ethernet und zukünftig sicherlich vermehrt auch Wireless-Standards wie WLAN (IEEE 802.11), Bluetooth und ZigBee eine wichtige Rolle bei der Vernetzung von AT-Komponenten untereinander.
Neben den Vorteilen, die der Einsatz standardisierter offener Protokolle und Techniken mit sich bringt, sind entsprechende Netzwerke jedoch wesentlich stärker der Gefahr unberechtigter Zugriffe durch Dritte ausgesetzt. Für TCP/IP-Netzwerke sind diverse Angriffsmöglichkeiten bekannt, und entsprechende Hackertools sind im Internet frei verfügbar. Diese Gefahren für die IT-Sicherheit sind daher gesondert zu berücksichtigen und ihnen ist durch Einsatz geeigneter Techniken zu begegnen, wie sie im Prinzip bereits zur Absicherung von üblichen Netzwerken (LANs) zur Verfügung stehen. Insbesondere ist in diesem Zusammenhang an die Verwendung von Firewall- und VPN-Lösungen zu denken. Problematisch ist jedoch, dass sowohl Firewall- als auch VPN-Lösungen einen recht hohen administrativen Aufwand bei der Konfiguration und der Integration in ein bestehendes Netzwerk erfordern.
Im Rahmen des Forschungsvorhabens sollen VPN-Lösungen entworfen und evaluiert werden, die insbesondere für die besonderen Anforderungen im AT-Umfeld geeignet sind:
- Die Konfiguration sicherer Verbindungen muss mit minimalem Aufwand realisierbar sein.
- Im Zusammenhang mit letztem Punkt ist eine einfache einheitliche Sicherheitsstruktur für unterschiedliche Netzanbindungen von Komponenten(auch über Wireless-Netze wie WLAN oder Bluetooth) zu definieren.
Ziele des Vorhabens sind:
- Eine Integration der benötigten kryptographischen Mechanismen muss auf kleinen Embedded Plattformen möglich sein.
- Definition einer ausreichenden Teilmenge der durch die IPsec-Protokollsuite definierten Algorithmen, Protokolle und Mechanismen, die einerseits auf kleinen Prozessorplattformen mit vertretbarem Aufwand und hinreichender Performanz realisierbar sind, andererseits bekannte Schwachstellen von IPsec-Anwendungen vermeiden.
- Bereitstellung von Konzepten für eine benutzerfreundliche und weitestgehend automatisierte Erstellung von Schlüsselstrukturen (PKI, Public Key Infrastructure),wie sie zum Betrieb einer VPN-Anwendung benötigt werden.
Exemplarische Implementierungen von Demonstratoren:
- IPsec-Implementierungen für einfache IO-Devices
- IPsec-Gateway
- PKI-Konfigurationsanwendungen