Keine Chance für manipulierte Software

In unserer stark vernetzten Welt ist Authentizität eine große Herausforderung. Wer steckt wirklich hinter dieser E-Mail? Kann ich diesen Treiber bedenkenlos installieren? Ist der smarte Stromzähler in meiner Wohnung sicher vor Angriffen? Digitale Signaturen bieten Schutz. Sie stellen sicher, dass Software, Firmware von Geräten oder Lizenzdateien nicht manipuliert werden können und weisen nach, dass sie authentisch von Siemens stammen.

Trotzdem gibt es Sicherheitspannen. „Das kann passieren, wenn die Schlüssel, die zur digitalen Signatur notwendig sind, nicht sicher aufbewahrt werden“, erklärt Hendrik Brockhaus, der die PKI-Forschungsgruppe in der globalen Siemens-Forschung Corporate Technology (CT) leitet. Damit Entwickler ihre Software vor der Auslieferung signieren können, liegt Schlüsselmaterial beispielsweise auf Rechnern, die im Vergleich zu den Servern im Trust Center einfacher ausgespäht werden können, oder sie werden in der Cloud abgelegt, wo sie für alle Entwickler zugänglich sind, aber auch gehackt werden können.

Das Certification Authority Browser Forum (CAB), in der große Internetunternehmen und Softwarehersteller vertreten sind, hat deshalb verfügt, dass Schlüsselmaterial nur noch auf Hardware, beispielsweise einer Smartcard, ausgegeben werden darf. Mit einem Signaturschlüssel auf einer Smartcard kann ein einzelner Entwickler einfachere Software-Lösungen z.B. für den Office-Bereich auf seinem Rechner signieren. Doch wie sieht es mit großen Build-Farmen aus, die industrielle Software erstellen?

„Der Aufbau eines Hochsicherheits-Signatur-Dienstes, mit der industrielle Software, Firmware, Dienste und Produkte digital signiert werden können, ist sehr aufwändig“, erklärt Brockhaus. „Jetzt kommt noch hinzu, dass Software in der Regel von weltweit verteilten, untereinander vernetzten Teams entwickelt wird. Da nützt es nichts, wenn eine Person eine Smartcard besitzt, mit der sie das Programm digital signieren kann.“ Siemens CT hat daher einen digitalen Signaturdienst eingerichtet, der mit mehr als zehn Pilotkunden für Produkte und Lösungen von Siemens gestartet ist und über die IT-Serviceabteilung im Siemens Trust-Center unternehmensweit betrieben wird.

So kann jetzt nachgewiesen werden, dass signierte Programme tatsächlich nur von Siemens stammen und nicht von Dritten verändert wurden. „Wenn jemand versucht, eine Firmware oder ein Programm zu ändern, zerstört dies die Gültigkeit der digitalen Signatur“, erklärt Stefan Seltzsam, Leiter der Security Architecture Forschungsgruppe. Kernstück des neuen Dienstes ist ein unternehmenseigenes Hochsicherheitszentrum, in dem die Signaturschlüssel so sicher verwahrt werden wie einst die US-Goldreserven in Fort Knox. Der neue Dienst nimmt den Entwicklern eine große Verantwortung ab: „Bisher mussten sie zusätzlich zu ihren Aufgaben die Signaturschlüssel sicher verwahren und verwalten, also beispielsweise Ablaufdaten und Verlängerungen managen“, erklärt Christopher Schmid aus dem Forscherteam. 

Das Hochsicherheitszentrum hat Siemens bereits vor 20 Jahren die PKI der personenbezogenen Zertifikate auf dem Siemens Mitarbeiterausweis eingerichtet. Als die Forscher den ersten Dienst der Produkt PKI (PPKI), den Zertifikatsmanagement-Dienst, in den Regelbetrieb übergeben haben, wurde die vorhandene Infrastruktur genutzt. Hier werden alle Sicherheitszertifikate erzeugt und verwaltet, die für eine sichere Online-Authentifizierung und dem Nachweis der Urheberschaft für Programme notwendig sind. Mit Hilfe der PPKI werden auch „Geburtszertifikate“ auf neuen Geräten wie Controllern erzeugt, die sich damit im Internet der Dinge jederzeit und zweifelsfrei authentifizieren können. Fabriken wie das Siemens Elektronikwerk Amberg (EWA) installieren dieses „Geburtszertifikat“ bereits während der Produktion auf ihren Baugruppen. Analoges findet bei der Herstellung von GP-Produkten wie Sensformer statt. So können Baugruppen und Produkte bei vernetzten Anwendungen mit anderen Geräten im Internet der Dinge zweifelsfrei identifiziert und authentifiziert werden.

Jetzt kommt der digitale Signatur-Dienst hinzu. Dabei wird nun Schlüsselmaterial benutzt, um Produkte und Software zu signieren, um den Nutzern garantieren zu können, dass sie keine manipulierte Software erhalten.  

„Smartcards sind bereits relativ sicher, aber können nicht für cloud-basierte Build-Farmen verwendet werden. Wird Schlüsselmaterial in Dateien gespeichert, können diese in die Hände von Hackern gelangen und die darin gespeicherten Schlüssel missbraucht werden“, erklärt Seltzsam. Im so genannten Dark Web werden solche gestohlenen Zertifikate zu hohen Preisen gehandelt. Damit dies für von Siemens digital signierte Produkte und Lösungen nicht passieren kann, sind alle Zertifikatsschlüssel zentral in Hardware-Security-Modulen abgelegt. Das sind spezielle Speicher- und Recheneinheiten, die im Hochsicherheitszentrum betrieben werden. Zutritt haben nur wenige Personen, die im Vier-Augen-Prinzip arbeiten. Die Entwickler erhalten Zugriff über eine sichere Netzwerkverbindung und können mit einem Signierprogramm ihre Softwarelösungen ohne Aufwand signieren.

Digitale Signaturen können auch genutzt werden, um die Sicherheit von Lizenzen zu schützen: Wenn das Gerät bootet, beispielsweise eine Steuerung, überprüft es die digitale Signatur der Lizenzdatei. Diese Datei enthält Informationen, welche Module der Software bezahlt wurden. Nur diese werden dann freigeschaltet.

Bisher werden die PPKI-Dienste nur im Unternehmen selbst verwendet. In Zukunft ist es aber auch denkbar, Anlagen von Dritten mit Siemens-Diensten zu schützen. „Technologisch an der Spitze sind natürlich die großen Internetunternehmen wie Google, aber im industriellen Bereich hat Siemens einen großen Vorsprung“, erklärt Uwe Blöcher von CT. Im Rahmen des CCT Cybersecurity treiben die Siemens-Forscher gemeinsam mit den Geschäftseinheiten neue Technologien zur Abwehr von Hackerattacken voran. „Die PPKI-Dienste werden einen immensen Wachstumsboom erleben“, sagt Blöcher voraus. Denn der Kampf gegen Cyberkriminalität könne nur mit Technologien auf höchstem Niveau geführt werden. 

10.16.2019