Datensicherungs- und Schutzmaßnahmen
Die Schutzmaßnahmen schützen Daten, Informationen und Systeme.
Grundsätzlich wird dies durch Maßnahmen erreicht, die den Schutz der Grundwerte von Daten und Systemen sicherstellen.
Benutzerverwaltung und Zugriffsrechte
Eine Benutzerverwaltung in CODESYS definiert bestimmte Benutzergruppen. Die Benutzergruppen erhalten unterschiedliche Zugriffsrechte, beispielsweise für den Zugriff auf Objekte eines Projekts oder für das Sehen und Ausführen bestimmter Aktionen auf Objekten auf der Steuerung.
CODESYS unterstützt Benutzerverwaltungen für verschiedene Bereiche im Gesamtsystem. Sehen Sie dazu die folgenden individuellen Beschreibungen und Anleitungen:
Verschlüsselung und Signieren
Tipp
Wenn Sie CODESYS Security Agent V1.4.0.0 oder höher verwenden, können Sie beim Löschen eines eigenen Zertifikats den zugehörigen privaten Schlüssel auf Ihrem lokalen Computer speichern und später wieder verwenden. Für weitere Informationen siehe: Registerkarte Geräte des Security-Screens.
Daten verschlüsseln
Verschlüsselung wandelt Daten in eine unlesbare Form um, die nur mit dem passenden Schlüssel wieder entschlüsselt werden kann. Der Schlüssel kann ein Passwort, ein geheimer Schlüssel oder ein Schlüsselpaar (privat/öffentlich) sein. Der öffentliche Schlüssel steckt meist in einem Zertifikat.
Daten werden verschlüsselt, damit nur der berechtigte Empfänger sie lesen kann. Meist kommen dafür symmetrische Verfahren zum Einsatz.
Digital signieren
Um zusätzlich zur Verschlüsselung die Echtheit und Integrität der Daten nachzuweisen, können sie signiert werden. Das geschieht typischerweise mit asymmetrischen Verfahren.
Nichtabstreitbare Urheberschaft (Non‑Repudiation) bedeutet: Eine an einer Kommunikation beteiligte Partei, sei es der Sender oder Empfänger, kann später nicht bestreiten, eine bestimmte Nachricht gesendet oder eine bestimmte Aktion ausgelöst zu haben. Das ist möglich, wenn die Nachricht mit dem privaten Schlüssel des Absenders signiert wurde. Nur der Besitzer dieses privaten Schlüssels konnte die digitale Signatur erzeugen. Daher ist die Urheberschaft nachweisbar (Authentizität).
Integrität bedeutet: Die Daten sind vollständig, korrekt und unverändert. Sie wurden nicht verändert, seit sie der Absender erstellt hat. Das wird geprüft, indem der Empfänger überprüft, ob der Hash-Wert der empfangenen Daten mit dem in der Signatur enthaltenen Hash-Wert übereinstimmt. Stimmen beide überein, ist klar: Der Inhalt ist unverändert.
Damit die Urheberschaft (Authentizität) einer Nachricht zweifelsfrei nachweisbar ist und ihre Integrität geprüft werden kann, wird sie digital signiert. Eine digitale Signatur basiert auf asymmetrischer Verschlüsselung. Der Sender nutzt zum Signieren seinen privaten Schlüssel. Der Empfänger prüft die Signatur mit dem zugehörigen öffentlichen Schlüssel.
Üblicher Ablauf:
Sender ermittelt einen eindeutigen Hash-Wert über die Daten (H).
Sender verschlüsselt diesen Hash-Wert mit privatem Schlüssel (He): digitale Signatur
Empfänger berechnet ebenfalls den Hash-Wert.
Empfänger entschlüsselt die Signatur mit dem öffentlichen Schlüssel des Senders und vergleicht beide Werte.
Dadurch wird bestätigt, dass die Daten unverändert sind und vom Besitzer des privaten Schlüssels stammen (Identitätsprüfung).
Hash-Verfahren erzeugen einen eindeutigen „Fingerabdruck“ der Daten. Sie sind kollisionsarm, das bedeutet es ist äußerst schwierig, zwei unterschiedliche Daten mit demselben Hash-Wert zu erzeugen.
Zertifikate
Zu einem Zertifikat gehört ein öffentlicher Schlüssel. Das ist lediglich eine lange Zahlenfolge ohne Hinweis auf den Zertifikatsinhaber. Durch die Einbettung des Schlüssels in ein Zertifikat wird er eindeutig einer Person, einem Gerät, einem Server oder einem Client zugeordnet.
Allgemeine Informationen
Version des Zertifikatsstandards (z. B. X.509 v3)
Seriennummer
Signaturalgorithmus (z. B. SHA256‑RSA)
Angaben zum Aussteller (Issuer)
Name der Zertifizierungsstelle (CA)
Eindeutige Identifikationsdaten (z. B. DN = Distinguished Name)
Angaben zum Inhaber (Subject)
Name, Organisation oder Domain
Eindeutige Identifikationsdaten (ID)
Optional: alternative Identitäten (Subject Alternative Names)
Öffentlichen Schlüssel
Public Key des Inhabers
Der Inhaber besitzt passend zum Public Key einen Private Key.
Zertifikatsinhaber-Schlüsselinformationen (Subject Public Key)
Algorithmus (z. B. RSA, ECC)
Schlüssellänge
Gültigkeitszeitraum
Not Before
Ab wann gültig
Not After
Bis wann gültig
Digitale Signatur der CA
Eine CA signiert den Zertifikatsinhalt.
Eine CA garantiert Echtheit und Integrität.
Erweiterungen (Extensions)
Beispiel für ein X.509 v3 Zertifikat:
Key Usage (z. B. Signieren, Verschlüsseln)
Extended Key Usage (z. B. TLS Server Auth, TLS Client Auth)
Basic Constraints (z. B. ob es eine CA ist)
Extended Key Usage (z. B. TLS Server Auth, TLS Client Auth)
Subject Alternative Name (SAN)
Wichtig
In zertifikatsbasierten Systemen erhält der Inhaber ein digitales Zertifikat, das wie ein digitaler Ausweis funktioniert. Es handelt sich um ein öffentliches X.509-Zertifikat und kann daher jedem ausgehändigt werden.
Ein solches Zertifikat besteht aus mehreren Dateien und ist üblicherweise als Zertifikatskette organisiert. Diese verketteten Zertifikate enthalten die Identität und den öffentlichen Schlüssel (Public Key) des Inhabers und werden von einer Zertifizierungsstelle beglaubigt. Die Zertifikate bilden eine hierarchische PKI, deren gemeinsamer Vertrauensanker das Wurzelzertifikat (Root Certificate) ist.
Root-Zertifikat
Das Wurzelzertifikat steht zuoberst in der Vertrauenskette.
Intermediate-Zertifikate
Die Zwischenzertifikate werden von der Zertifizierungsstelle (CA) des Root-Zertifikats signiert. Es kann auch nur ein Zwischenzertifikat geben.
End-Entity-Zertifikat (Last-Zertifikat)
Das ist das eigentliche Zertifikat des Inhabers (Server, Client, Gerät, Nutzer). Zu diesem End-Entity-Zertifikat gehört der private Schlüssel, der auch zum öffentlichem Schlüssel passt.
Wichtig
Der private Schlüssel muss geheim gehalten werden.