A A A
| Sitemap | Kontakt | Impressum
ETZ Logo VDE Verlag Logo

Sicherer Datenaustausch mit Hardware-Sicherheitsmodulen

Bild 1. Mit Daten, die ein ungeschütztes Smart Meter bereitstellt, können Unbefugte die Lebensgewohnheiten von Stromverbrauchern ausspähen

Bild 1. Mit Daten, die ein ungeschütztes Smart Meter bereitstellt, können Unbefugte die Lebensgewohnheiten von Stromverbrauchern ausspähen

Bild 2. Hardware-Security-Module (HSM) – der Vertrauensanker im Smart-Meter-Gateway (Quelle: Utimaco)

Bild 2. Hardware-Security-Module (HSM) – der Vertrauensanker im Smart-Meter-Gateway (Quelle: Utimaco)

Smart Meter agieren als eine Art Sensor im Netz. Sie stellen dem Nutzer und den angeschlossenen Endgeräten Informationen bereit und übertragen automatisch Messdaten. Je vernetzter derartige Steueranlagen sind, desto größer werden aber auch die Angriffsflächen für Cyberkriminelle. Daher müssen die Daten laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschlüsselt und signiert sein. Hardware-Sicherheitsmodule sorgen dafür, dass sich so geschützte Daten über Smart-Meter-Gateways sicher übermitteln und entschlüsseln lassen.

Das Interesse der Cyberkriminellen an kritischen Infrastrukturen ist groß. Das zeigt ein Versuch des TÜV Süd: Experten setzten eine Wasserwerkssimulation als Honeynet auf, also den sprichwörtlichen Honigtopf als Lockmittel, und stellten diese acht Monate ins Internet. Die Bilanz war erschreckend: Die Experten registrierten 60 000 Zugriffsversuche aus 150 Ländern, also im Schnitt etwa 250 pro Tag. Fast gleichzeitig mit der Anbindung des ­angeblichen Wasserwerks ans Internet erfolgten bereits die ersten Zugriffe. Dieser Versuch zeigt vor allem eines: Cyberkriminelle finden selbst kleine oder unbekannte Netzwerke und versuchen, diese für ihre Zwecke zu nutzen.
Auch für unzureichend geschützte Smart-Metering-Anlagen sind viele unerwünschte Szenarien denkbar: Stromverbrauch auf Rechnung des Nachbarn, die Manipulation von Verbrauchswerten oder gar eine ganze Stadt zum Stillstand zu bringen (Bild 1, Teletrust ). Dafür müssen sich die Angreifer Zugang zur zentralen Kommunikationseinheit im intelligenten Messsystem, dem Smart-Meter-Gateway (SMGW), verschaffen. Denn dort findet der Datenaustausch zwischen Energieversorger und Verbraucher statt. Eine konsequente Ende-zu-Ende-Verschlüsselung mithilfe von Hardware-Sicherheitsmodulen sorgt dafür, dass diese Informationen und der Zugriff geschützt sind.

Der Schlüssel ist der Schlüssel zum Erfolg
Um die Smart-Metering-Daten und -Transaktionen zu ­sichern, sind also kryptografische Verfahren unverzichtbar. Sie umfassen zwei Bereiche:
• Das Erzeugen, Speichern und Verwalten von Schlüsseln sowie
• die Anwendung dieser kryptografischen Schlüssel auf Daten mit den entsprechenden Algorithmen zwecks Verschlüsselung und Signatur.
Hier kommen Hardware-Sicherheitsmodule (HSM), wie die des Sicherheitsspezialisten Utimaco, ins Spiel: Die dedizierten Geräte befinden sich innerhalb der Infrastruktur des Anwenders, quasi wie ein Tresor im System. Sie übernehmen alle kryptografisch notwendigen Operationen. Dabei schützen sie zum einen das Schlüssel­material und sorgen zum anderen für dessen sichere Trennung. Auch das HSM selbst ist gegen unautorisierten Zugriff geschützt (Bild 2). Es erkennt Manipulations­versuche durch die Versiegelung der Recheneinheit und verhindert so das Auslesen von Daten und Signalen. ­Darüber hinaus verfügt es über eine automatische Löschfunktion im Falle eines Angriffs. Für zusätzliche Sicherheit sorgen ein spezielles, gehärtetes Betriebssystem ­sowie Verfahren, die ausschließlich den Zugriff autorisierter Administratoren erlauben.
All diese Funktionen stellt das HSM über eine definierte Schnittstelle (API) bereit. So kann eine Anwendung die gesamte Schlüsselverwaltung auf ein HSM auslagern. Dies erhöht die Sicherheit und entlastet gleichzeitig den Host-Rechner, auf dem die Anwendung läuft.

Welches Hardware-Sicherheitsmodul ist geeignet?
Eine hardwarebasierte Verschlüsselung bietet sich immer dann an, wenn es gilt, sensible Infrastrukturen und Daten zu schützen. Typische Einsatzgebiete sind neben den Smart-Metering- und Smart-Grid-Infrastrukturen etwa Big-Data-Anwendungen, Industrie 4.0-Umgebungen, elektronische ID-Karten oder Zahlungslösungen. Doch ganz unabhängig vom Einsatzort ist es bei der Wahl eines HSM wichtig, die eigenen Anforderungen genau zu kennen.
Das gilt vor allem im Hinblick auf die Leistung. Es empfiehlt sich, den Bedarf anhand des konkreten Anwendungsfalls zu ermitteln. Denn der Rechenaufwand ist abhängig vom gewählten Schlüsseltyp. Prinzipiell gibt es zwei HSM-Varianten: network attached und embedded. Network attached HSM eignen sich für größere Implementierungen, bei denen eine Vielzahl von Anwendungen, Servern und Clients auf HSM-Services zugreift. Die preisgünstigeren Embedded HSM passen in das Bussystem von Servern. Allerdings erfordert es einen höheren Aufwand, Embedded-Module unterschiedlichen Anwendungen zur Verfügung zu stellen. Bei Embedded-HSM sind die Leistungsdaten am PCI-Bus wichtig, während bei Modulen in Netzwerkumgebungen die Netzwerkkonfiguration zählt.

Auswahlkriterien
Zudem sollte der Anwender prüfen, wie es um die Skalierbarkeit der Appliance bestellt ist. Eine wichtige Rolle dabei spielt die Zahl der Schlüssel, die das System speichern kann und eine Option, die Lösung gegebenenfalls um weitere oder leistungsstärkere Module zu erweitern. Weitere wichtige Auswahlkriterien sind Redundanz und Back-up. Beispielsweise sollte sich ein HSM-System bei einem Ausfall nahtlos und ohne längere Unterbrechung der darauf aufsetzenden Services ersetzen lassen. Wichtig ist auch, wie Datensicherungen angelegt werden und wie sich diese wiedereinspielen lassen. Dabei gilt es, die Auswirkungen auf unternehmensinterne Prozesse zu berücksichtigen.
Auch bei den Management-Funktionen unterscheiden sich die Produkte auf dem Markt. So lassen sich beispielsweise nicht alle Hardware-Verschlüsselungslösungen remote, also aus der Ferne verwalten. Darüber hinaus sollten die Verantwortlichen darauf achten, welche Betriebssysteme die Embedded- und Netzwerk-Versionen eines HSM unterstützen und welche Management-Tools für die Systemsoftware zur Verfügung stehen. Hohe Priorität hat in der Regel auch der Faktor physische Sicherheit. So sollte etwa sichergestellt sein, dass ein Verschlüsselungsmodul aktiv auf physische Einbruchsversuche reagiert – indem es beispielsweise den Systemverwalter informiert und die gespeicherten Schlüssel vernichtet, damit diese nicht in falsche Hände fallen. Hardware, die gemäß FIPS 140-2 Level 4 zertifiziert ist, bietet diese Funktionen. Systeme, welche die Anforderungen von FIPS 140-2 Level 3 erfüllen, dagegen nur eingeschränkt.

Das passende HSM im intelligenten Zähler
Zwei Faktoren sind speziell beim Einsatz einer HSM-­Lösung im Smart-Metering-Umfeld wichtig: Zum einen die Fähigkeit zum Umgang mit Massendaten, also die ­parallele Kommunikation mit einer unbeschränkten Anzahl an Smart-Meter-Gateways. Zum anderen müssen alle Anforderungen an HSM, wie die notwendigen Krypto-Algorithmen und -Formate oder auch Schutzmechanismen aus der Richtlinie TR-03109 des BSI abgedeckt sein. Laut der fordert das Schutzprofil für das Smart-Meter-Gateway den Einsatz eines zertifizierten Sicherheitsmoduls, welches das Gateway vor allem bei der Signaturerstellung und -prüfung sowie bei der Schlüssel- und Zufallszahlengenerierung unterstützt. Zudem dient das Sicherheitsmodul als sicherer Schlüsselspeicher u. a. für das private Schlüsselmaterial und stellt damit einen wichtigen Vertrauensanker im Gateway dar.
Mit zusätzlichen speziellen Cryptocontrollern lassen sich dann die Anforderungen aus der Infrastruktur erfüllen. Sie stellen folgende Funktionen bereit:
• Massendatenkommunikation,
• Authentifizierung externer Marktteilnehmer und
• verschlüsselter Datenaustausch mit dem Gateway-­Administrator.
Bei der Auswahl sollten die Verantwortlichen auf die Kompatibilität mit eingesetzten Technologien, die unterstützte Zertifizierung sowie die Möglichkeit zur individuellen Anpassung achten.
Speziell für Energieversorger in Deutschland spielt ein weiterer Aspekt eine Rolle: In welchem Land ist der Anbieter der HSM-Lösung beheimatet? So unterliegen ­Hersteller mit Hauptsitz in Deutschland ausschließlich den hier oder in der EU geltenden Gesetzen. Der Zugriff auf Kundendaten oder technische Details einer Verschlüsselungslösung durch staatliche Einrichtungen ist im ­Gegensatz zu anderen Ländern somit ausgeschlossen.

Fazit: Smart Energy braucht einen Vertrauensanker
Beim Datenaustausch via Smart-Meter-Gateways gilt es, die sensiblen Informationen zu schützen. Denn die V­erbrauchswerte geben zum einen Einblick in die Lebensgewohnheiten der Verbraucher, etwa wann sie sich zu Hause aufhalten. Zum anderen kann die Manipulation der Zähler bei allen Beteiligten großen Schaden anrichten. Hardware-Sicherheitsmodule bilden den Vertrauensanker, um Missbrauch ausschließen und das Vertrauen des Nutzers in die Technik zu stärken. (no)

Malte Pollmann ist CEO der Utimaco IS GmbH in Aachen. malte.pollmann@utimaco.com

Malte Pollmann ist CEO der Utimaco IS GmbH in Aachen. malte.pollmann@utimaco.com