IIoT: Digitale Identitäten in der Produktion implementieren

In Produktionsanlagen und Fabriken wachsen IT und OT (Operational Technology) immer stärker zusammen. Dies mit gutem Grund, sind doch immer mehr aller Komponenten mit Systemen verbunden, die Daten sammeln und auswerten. Schließlich basiert das Industrielle Internet der Dinge (Industrial Internet of Things, IIoT) auf einer weitreichenden Vernetzung.

Diese Vernetzung birgt aber auch immer Risiken, so stellen die vielen neuen vernetzten Geräte auch eine zusätzliche Angriffsfläche dar. Und damit in einer durchgängig vernetzten Produktion nichts schief geht, müssen die einzelnen Komponenten einander kennen und somit auch vertrauen. Das wird unter anderem über digitale Identitäten abgebildet.

Im Gespräch mit ComputerWeekly.de erklärt Andreas Philipp, Business Development Manager bei PrimeKey, die Herausforderungen der Implementierung von digitalen Identitäten in der Produktion.

Welche Rolle spielen digitale Identitäten beziehungsweise Maschinenidentitäten in produzierenden Unternehmen? Gibt es da praktische Beispiele?

Andreas Philipp: Digitale Identitäten ermöglichen es, Geräte, Maschinen, Steuerungen oder Ersatzteile eindeutig zu identifizieren. Das ist eine entscheidende Voraussetzung, um eine sichere Kommunikation zu schaffen und vor Manipulation zu schützen. Nur so lassen sich zum Beispiel komplexe, aber dennoch sichere Prozessketten aufbauen, die mehrere Hersteller, Zulieferer und Kunden einschließen – sogar weltweit verteilt.

Unternehmen können jederzeit feststellen, aus welcher Quelle Materialien stammen und Plagiate sofort erkennen. Außerdem werden neue Geschäftsmodelle möglich. Ein Hersteller von Werkzeugmaschinen kann einen eindeutig identifizierbaren Bohrhammer zum Beispiel als Service anbieten und nutzungsbasiert abrechnen. Die Kosten errechnen sich dann aus der Zahl der gebohrten Löcher. Auch Updates lassen sich per Fernwartung aufspielen, etwa um neue Services freizuschalten.

Werden digitale Identitäten in der Produktion heute schon flächendeckend mit ihrer Rolle für die IT-Sicherheit betrachtet?

Philipp: Das Thema digitale Identität ist auch im Bereich der Fertigung und Automatisierung angekommen. Es ist mittlerweile bekannt und akzeptiert, dass Konzepte wie Industrie 4.0 im Wesentlichen auf Daten und den daraus gewonnen Erkenntnissen beruhen. Denn nur wenn der Absender beziehungsweise der Empfänger der Daten bekannt ist und sich identifizieren lässt, ist es möglich, dem Inhalten der Daten zu vertrauen.

Vor welchen Herausforderungen stehen Unternehmen bei der Absicherung und Verwaltung der digitalen Identitäten in der vernetzten Produktion? Wie wird die Verwaltung üblicherweise gehandhabt?

Philipp: Es gibt drei Wege, ein Gerät mit einer digitalen Identität auszustatten: Erstens über einen Sicherheits-Chip, ein sogenanntes Trusted Platform Module (TPM) oder über ein Secure Element (SE). Erstes enthält die Schlüssel und Zertifikate, die die Identität eines Systems festlegen. Eine weitere Möglichkeit ist, die kryptografischen Schlüssel und Anforderungen von Zertifikaten in der Software abzubilden. Der letzte Fall betrifft Geräte, die nicht über ausreichende Rechenleistung verfügen, um kryptogaphische Operation eigenständig durchzuführen. Hier werden die Kryptoschlüssel-Informationen von außen eingebracht.

Unabhängig, wie letztendlich die Lösung zur Aufbewahrung der digitalen Identität in der Praxis und in der Umsetzung aussieht, selbst ein TPM einzubauen reicht nicht aus, um sicherzustellen, dass die initiale Identität eines Geräts vertrauenswürdig ist. Man muss vielmehr eine Vertrauenskette aufbauen, die auf zwei Komponenten beruht: Zum einen braucht man eine Public-Key-Infrastruktur (PKI) in Verbindung mit Zertifikaten, die individuell für jede Komponente (Identität) ausgestellt werden. Zum anderen muss die Identität des Geräts, das sein gerätespezifisches Zertifikat, sprich seine digitale Identität, anfragt überprüft und bestätigt werden.

Eine Herausforderung ist dabei zum Beispiel, dass die Registration Authority (RA) der PKI direkt an der Produktionslinie angesiedelt sein muss, damit sie die Identitätsvalidierung und Zertifikatsausstellung während der Produktion durchführen kann.

Sie muss sich zudem flexibel an prozessbedingte Abläufe anpassen lassen, denn Produktionsumgebungen ändern sich schnell. Erschwerend kommt hinzu, dass es in Produktionsnetzen teilweise keine standardisierten Schnittstellen gibt, um mit Geräten innerhalb des Fertigungsprozesses zu kommunizieren. Mit dem Identity Authority Manager (IdAM) von PrimeKey steht nun erstmalig ein Gerät zur Verfügung, welches genau diese Aufgabe übernimmt. Der IdAM stellt eine RA bereit, die all diese Herausforderungen meistert.

An welcher Stelle in der Fertigung bekommt eine neue Komponente eine Identität zugewiesen? Wie wird dies gehandhabt und wie ist da das Zusammenspiel zwischen IT und OT?

Philipp: Ein Identitätszertifikat für ein Gerät kann vor, während oder nach dem Produktionsprozess ausgestellt werden. Empfehlenswert ist es, die Zertifikatsausstellung und Identitätsvalidierung direkt in den Fertigungsprozess zu integrieren. Warum? Eine digitale Identität enthält alle Attribute, mit der sich ein Gerät zweifelsfrei beschreiben lässt, zum Beispiel Seriennummern, MAC-Adressen oder Motorkennzahlen.

Häufig stehen auch vor dem Produktionsprozess noch gar nicht alle Daten zur Verfügung. Hat man zum Beispiel schon im Vorfeld einen durch einen Halbleiter-Hersteller vorpersonalisierten TPM-Chip eingebaut, dann lassen sich aktuelle Informationen nicht mehr in das Identitätszertifikat einbringen.

Der IdAM von PrimeKey befindet sich direkt an der Produktionslinie und führt die Identitätsfeststellung während des Fertigungsprozesses durch. Über eine Device-Adapter-Schnittstelle kommuniziert er mit den Geräten, die sich in der Fertigung befinden.

Die Daten werden aus dem Gerät ausgelesen und eine Prozessmodellierungsumgebung zur Verfügung gestellt, wo nun entsprechend dem Validierungsprozess Prüfungen und Abgleiche erfolgen (gegebenenfalls auch mit ERP- und PLM-Systemen die entsprechend angebunden werden können).

Nach erfolgreicher Prüfung der Geräte-Identitätsdaten wird eine entsprechende Zertifikatsbeantragung erzeugt und zu einem Dienst für Zertifikatserstellung (Certificate Authority) weiter geleitet. Diese Beantragung erfolgt über Standardprotokolle wie zum Beispiel CMP (Certificate Management Protocol). Der IdAM verfügt über eine integrierte Prozess-Modellierungsumgebung. Mit deren Hilfe können Prozessverantwortliche den Identitätsfeststellungsprozess nach ihren Anforderungen modellieren.

„Ein digitaler Zwilling ist ein digitales Abbild von physischen Systemen und Prozessketten. Er muss exakt den Gegebenheiten vor Ort in der Fabrik entsprechen – sonst ist er nutzlos oder führt zu falschen Ergebnissen.“

Andreas Philipp, PrimeKey

Eine Schlüsselrolle in der Industrie 4.0 spielen digitale Zwillinge. Wie hängen diese mit digitalen Identitäten zusammen?

Philipp: Ein digitaler Zwilling ist ein digitales Abbild von physischen Systemen und Prozessketten. Er muss exakt den Gegebenheiten vor Ort in der Fabrik entsprechen – sonst ist er nutzlos oder führt zu falschen Ergebnissen.

Um ein solches Modell zu realisieren, ist eine vertrauenswürdige Kommunikation zwischen dem Zwillingspaar essenziell. Dies lässt sich nur mithilfe von digitalen Identitäten erreichen. Hier wird noch einmal klar, dass man Daten und deren Informationen, sowie den abgeleiteten Handlungsoptionen nur vertrauen kann, wenn man den Absender beziehungsweise den Empfänger der Daten kennt und identifizieren kann.

Wie kann eine sichere Kommunikation funktionieren, wenn alle Geräte mit einer digitalen Identität versehen sind?

Philipp: Um sich zu authentifizieren, braucht ein Client seine vertrauenswürdige Identität. Dazu stellt in einer Public-Key-Infrastruktur (PKI) die Certificate Authority (CA) ein digitales Zertifikat aus. Nachdem solche gesicherten Identitäten in die Produktionsnetze integriert wurden, ist es möglich, dass sich Maschinen, Geräte und Komponenten anmelden und sicher miteinander kommunizieren. Über die Zertifikate sind ihre digitalen Identitäten jederzeit belegt.

Wie würde eine Implementierung ganz praktisch in einer bereits bestehenden Produktionsumgebung funktionieren? Welche typischen Herausforderungen und Hürden treten dabei auf? Welche Voraussetzungen müssen Unternehmen mitbringen?

Philipp: Im Grunde beginnt die Integration des Identity Authority Manager schon in der Planungsphase des Sicherheitskonzeptes. Wichtig ist dabei, früh festzulegen, zu welchem Zeitpunkt genau die Identität beantragt werden soll.

Produktionsplaner müssen sich fragen, ob dies sehr zeitkritisch ist oder diese beispielsweise erst später im Rahmen des Burn-In-Tests erfolgen kann. Hier können sich Fallstricke verbergen: Erfolgt die Beantragung des Zertifikats im aktiven Produktionsschritt, dann ist meist ein Betreiber vor Ort und kann bei möglichen Fehlern direkt aktiv eingreifen. Wird die Beantragung im Rahmen eines Burn-In-Tests erzeugt, läuft diese meist unbeaufsichtigt, da eine Interaktion nicht zwingend notwendig ist. Daher muss in diesem Fall bei einem Fehlverhalten zwingend ein Fall-back- beziehungsweise Error-Handling vorgesehen werden.

Außerdem sollten Unternehmen bei der Implementierung auf eine konfigurierbare Netzwerkanbindung der zentralen CA-Dienste achten, denn neben der produktiven Anbindung ist ebenfalls eine Test-Konfiguration für die Entwicklung der Abläufe notwendig. Weiterhin müssen eventuelle QA-Phasen (Quality Assurance, Qualitätssicherung) berücksichtigt werden, bevor dann in die Produktiv-Phase geschaltet wird.

Relevant ist außerdem, dass die einzelnen Komponenten eine Zero-Touch-Funktion aufweisen. So muss bei einem möglichen Identity Authority Manager Einsatz ein neues Gerät angeschlossen werden und sich dann selbstständig konfigurieren. Dies muss natürlich auch für die Security-Konfiguration zutreffen, damit die Vertrauenskette nicht unterbrochen wird.

Zusammenfassend lässt sich sagen, dass der IdAM eine wesentliche Effizienzsteigerung bewirkt und neue Freiheitsgrade bei der Realisierung um Umsetzung von PKI Konzepten in der Fertigung liefert.