BSI bescheinigt IoT-Standard OPC UA “keine größeren Sicherheitslücken”

Im Rahmen der Hannover Messe hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine von ihm durchgeführte Untersuchung zur Sicherheit des OPC-UA-Protokolls vorgelegt. Der Kommunikationsstandard dient der herstellerübergreifenden Vernetzung industrieller Anlagen und wird als einer der grundlegenden Komponenten für Industrie 4.0 gesehen. Denn OPC UA ermöglicht es, Maschinendaten zu erfassen, zu transportieren, zu modellieren und semantisch zu beschreiben. OPC läuft auf jedem Betriebssystem, soll sich leicht in bestehende Systeme integrieren lassen und leicht zu konfigurieren und zu warten sein.

Die Sicherheitsanalyse, die im Auftrag des BSI durch im unter Federführung von TÜV SÜD Rail mit Unterstützung durch Ascolab und Signon durchgeführt wurde, umfasst eine Bewertung der spezifizierten und realisierten Sicherheitsfunktionen von OPC UA (OPC Unified Architecture), das dem Amt zufolge die “für eine sichere Fabrik notwendigen kryptographische Mechanismen bereitstellt.” Bei der Entwicklung des Kommunikationsprotokolls seien Sicherheitsaspekte ein zentrales Element gewesen. In seiner Untersuchung hat das BSI keine systematischen Sicherheitslücken gefunden. Der OPC Foundation übermittelte Verbesserungsvorschläge seien ausführlich diskutiert und bereits umgesetzt worden.

“OPC UA ist einer der wichtigsten modernen Standards zur sicheren, herstellerübergreifenden Vernetzung für industrielle Anlagen. Industrie 4.0 bietet für den Industriestandort Deutschland enorme Chancen. Wirklich erfolgreich können wir hier aber nur sein, wenn wir die Digitalisierung und Vernetzung industrieller Prozesse von Anfang an auch sicher gestalten”, so Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), in einer Pressemitteilung.

Das BSI hat parallel zur Sicherheitsanalyse im Labor auch eine ausgewählte Referenzimplementierung der OPC Foundation im Hinblick auf die Umsetzung von Sicherheitsfunktionen geprüft. Während die Spezifikation selbst keine systematischen Fehler enthielt wies die Referenzimplementierung Schwachstellen auf. Eine davon konnte bei ausgeschalteten Sicherheitsfunktionen ausgenutzt werden. Die OPC Foundation hat bereits angekündigt, diese Schwachstelle mit dem nächsten Update zu schließen. Die Ergebnisse der BSI-Studie stehen Interessenten kostenlos zum Download https://www.bsi.bund.de/DE/Publikationen/Studien/OPCUA/OPCUA_node.html bereit.

Ebenfalls auf der Hannover Messe hat Microsoft angekündigt, enger mit der OPC Foundation zusammenarbeiten zu wollen. Ziel sei es, „Millionen von Anwendungen und Industrieanlagen, die zum OPC-UA-Standard kompatibel sind, Cloud-fähig zu machen und damit effizienter sowie flexibler zentral steuern zu können.” Bewerkstelligt werden soll das mit dem Cloud-Angebot Microsoft Azure IoT. Darüber sollen sich künftig Industriemaschinen über die Cloud miteinander verbinden und dann über eine verschlüsselte Verbindung zentral steuern lassen.

Außerdem werde man sich darum kümmern, dass sich Maschinen ohne Umrüstung an ERP- und CRM-Systeme anbinden lassen. Gleichzeitig hat Microsoft eine zu Windows 10 kompatible Version der OPC-UA-Referenzimplementierung als Open Source auf GitHub bereitgestellt. Damit sollen sich Windows-10-Geräte über OPC UA mit IoT-Geräten verbinden lassen.

“Microsofts Unterstützung von OPC UA mit Azure IoT und Windows IoT wird Unternehmen den Einstieg in Industrie-4.0-Szenarien massiv erleichtern”, verspricht Sam George, Direktor Azure IoT, in einer Pressemitteilung. Bereits Anfang April 2016 war Matt Vasey, Microsoft Director IoT Business Development, in den Vorstand der OPC Foundation gewählt worden. Der Konzern streicht das als weiteren Beleg für sein Engagement in dem Bereich heraus: Microsoft und OPC Foundation würden dadurch künftig enger zusammenarbeiten, zugleich sei die Entsendung des Managers ein deutliches Zeichen für die hohe Relevanz, die Microsoft Standards in der Industrieautomatisierung beimisst.