Security in der vernetzten Automatisierung

Wirkungsvoller Zugriffsschutz setzt Spitzel vor die Tür

Seite: 2/2

Anbieter zum Thema

Zwei-Faktor-Authentifizierung ist der bessere Zugriffsschutz

Nur durch Benutzername-Passwort-Kombinationen geschützte Weboberflächen in Automatisierungsbaugruppen sind aus Security-Sicht völlig unsicher und praktisch für jedermann zugänglich.

Ein deutlich besserer Zugriffsschutz für Weboberflächen in Automatisierungsbaugruppen lässt sich mit Hilfe einer Zwei-Faktor-Authentifizierung realisieren. Bei dieser Authentifizierungsmethodik erfolgt der Identitätsnachweis eines Nutzers durch die Kombination zweier voneinander unabhängiger Komponenten (Faktoren). Dabei unterscheidet man zwischen:

  • Etwas, was der Nutzer besitzt (having something), z.B. einem Dongle bzw. Token.
  • Etwas, was der Nutzer weiß (knowing something), z.B. eine Benutzername-Passwort-Kombinationen bzw. eine PIN.
  • Etwas, was als körperliches Charakteristikum untrennbar zum Nutzer gehört (being something), z.B. ein Fingerabdruck.

So funktioniert ein wirkungsvoller Zugriffsschutz

Ein recht wirkungsvoller Zugriffsschutz lässt sich etwa durch einen Security-Dongle mit Challenge-Response-Authentifizierung realisieren, der zunächst einmal mit einer Schnittstelle der Automatisierungsbaugruppe verbunden werden muss. Dadurch wird die Weboberfläche überhaupt erst freigeschaltet, um die Benutzername-Passwort-Kombination einzugeben.

Bildergalerie

Bei der Challenge-Response-Authentifizierung teilen sich beide Seiten – in diesem Fall die Automatisierungsbaugruppe und der Security-Dongle – ein Geheimnis bzw. einen Schlüssel. Dieser ist, in der Regel durch einen Ab-Werk-Setup, in einem speziellen Speicherbereich hinterlegt. Der Schlüssel selbst wird niemals ausgelesen und über einen Übertragungskanal gesendet oder visualisiert.

Abbildung 4 illustriert die Funktionsweise. Nach dem Aufstecken des Dongles auf die Automatisierungs-Baugruppenschnittstelle wird eine einmalige Zufallszahl (Nonce) gebildet und als Challenge an den Dongle übertragen. Dieser ermittelt aus der Zufallszahl und dem hinterlegten Schlüssel über eine geeignete Hashfunktion einen digitalen Fingerabdruck. Der wird als Response vom Dongle an die Automatisierungsbaugruppe zurückgeschickt. Die kennt ebenfalls den Schlüssel und die Hashfunktion des Dongles. Somit kann die Automatisierungsbaugruppe selbst den digitalen Fingerabdruck für die Challenge erzeugen und das Ergebnis mit der vom Dongle erhaltenen Response vergleichen. Sind beide Fingerabdrücke identisch, wird die Challenge-Response Authentifizierung erfolgreich abgeschlossen. Nun kann der Nutzer die Benutzername-Passwort-Kombination eingeben.

SPS IPC Drives: SSV, Halle 10, Stand 301

Der Beitrag erschien zuerst auf dem Portal unserer Schwestermarke elektrotechnik.

* Stefan Klünder, Sales- und Project Manager, SSV Software Systems

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:43055677)