Sicher automatisieren mit der Public-Key-Infrastruktur

Entscheidend: Eine skalierbare PKI

Im ersten Schritt geht es um das Ausstellen digitaler Zertifikate, sprich um das gesicherte Zuordnen der Identitäten. Im Weiteren essenziell sind das Verwalten und Monitoren der Zertifikate über den gesamten Lebenszyklus hinweg. Verliert etwa ein Zertifikat zur Absicherung der Kommunikation in einer OPC-UA-Verbindung seine Gültigkeit, kann die Verbindung nicht mehr aufgebaut werden. Im schlimmsten Fall kann das zu einem Ausfall der Anlage führen. Ziel der PKI ist es, den gesamten Security Lifecycle abzudecken.

Grundsätzlich lassen sich drei für die Betriebstechnik (Operational Technology, OT) relevante Rollen/Player im Security-Lifecycle mehr oder minder scharf abgrenzen. Erstens der Anlagen- und Maschinenbau, der hauptsächlich Fertigungsanlagen baut. Zweitens die Komponentenherstellung, die häufig auch Anlagen betreibt, um Komponenten herzustellen. Und drittens der Anlagenbetrieb, der die Anlagen und Maschinen des Anlagenbauers betreibt. Häufig überschneiden sich die Aufgabenbereiche jedoch, wie bei den Komponentenhersteller, die dafür Anlagen betreiben und so mehrere Rollen gleichzeitig ausüben.

Der vertrauenswürdige Kommunikationskanal

Gesicherte Kommunikation im Kontext digitalisierter Industriebereiche bedeutet in 80 Prozent der Fällen den Einsatz des Protokolls TLS (Transport Layer Security) zur sicheren Transportschichtverbindung. Es basiert auf dem Verwenden von Zertifikaten, um zum einen die Identität eines Endsystems kryptographisch sicherzustellen und zum anderen dessen Zugehörigkeit zu einer definierten Organisation. Nach erfolgreicher Authentifizierung der Kommunikationspartner wird dann ein Ende-zu-Ende-verschlüsselter Kanal etabliert. Diese Zertifikate sollten von der eigenen Public-Key-Infrastruktur ausgestellt werden, denn wie alle X.509-Zertifikate, sprich digitale Identitäten, beinhalten sie ein Gültigkeitsdatum (vergleich mit einem Verfallsdatum). Das Erneuern der Zertifikate sollte als eine der wesentlichsten Verwaltungsaufgaben der PKI weitestgehend automatisiert werden.

Maschinen und Anlagen bestehen aus dem Interagieren von Komponenten unterschiedlicher Hersteller. Daher ist es sinnvoll, sich mit seiner „hauseigenen“ PKI und den anderen PKI-Systemen der Komponentenhersteller zu verbinden. Besonders wenn es darum geht, die Identität einer Komponente nachzuweisen, ist es notwendig, dass man in der Lage ist, dessen X.509-Identifikationszertifikat zu validieren. Analog zu Internetbrowsern muss man hierbei eine Liste vertrauenswürdiger Zertifikate der Komponentenhersteller vorhalten. Damit kann man die Identität der eingesetzten Komponenten überprüfen, etwa beim TLS-Verbindungsaufbau.

Neue Wertschöpfungschancen durch verbundene Ebenen

Was zunächst unübersichtlich aussieht, eröffnet durch das Verbinden unterschiedlicher Ebenen neue Chancen im Wertschöpfungsprozess. Vorausschauende Wartung (Predictive Maintenance) vergleicht etwa Wartungszyklen mit den Betriebsdaten der zu wartenden Maschinen. Auf dieser Grundlage können Verschleißteile ausgetauscht werden, noch bevor sie akut benötigt werden oder ausfallen. Auch die Wertschöpfung verändernde Funktionen wie On-Demand-Funktionen können Kunden damit als Zusatzleistungen kaufen oder mieten, ohne in die Hardware einzugreifen. Die IT-Sicherheit ist bei dieser neuen Form der Wertschöpfung von besonderer Wichtigkeit, da das meiste dessen, was ge- und verkauft wird, digitale Dienstleistungen sind.

„Sobald Prozesse digital und autonom verlaufen, müssen Identitäten auch autonom und klar zuzuordnen sein. Nur so können Berechtigungen korrekt verwaltet werden.“

Andreas Philipp, Keyfactor

Alle Beteiligten müssen daher klar nachvollziehen können, wer was wann nutzt. Ein Maschinenbauer muss etwa sichergehen können, dass auch wirklich sein Kunde die Zusatzfunktion in dem vom ihm freigegebenen Zeitraum nutzt und nicht ein krimineller Dritter, der es auf den Datensatz abgesehen hat. Dieser könnte die Zusatzfunktionen illegal an Unternehmen verkaufen. Zudem muss der Anlagenbetreiber wissen, dass auch nur das Herstellersystem auf seine Anlage zugreift. Andernfalls könnte jemand die Produktion sabotieren und sensible Produktions- und Herstellungsdaten abgreifen. Daran wird deutlich, wie wichtig X.509-Zertifikate mit ihren Eigenschaften sind sowie die zugehörige PKI. Sobald Prozesse digital und autonom verlaufen, müssen Identitäten auch autonom und klar zuzuordnen sein. Nur so können Berechtigungen korrekt verwaltet und ein sicherer, nachvollziehbarer Datenverkehr etabliert werden.

Sicher Automatisieren mit der Normenreihe IEC 62 443

Durch das Vernetzen aller eingebundenen Einheiten in die digitalisierte Fertigung des industriellen Internets der Dinge (Industrial Internet of Things, IIoT) wachsen OT und IT-Security immer enger zusammen. Um den erforderlich hohen Grad an Sicherheit zu erreichen, muss jede Rolle in der OT den Validierungspfad umsetzen, denn die vernetzte Produktionskette ist nur so sicher wie ihr unsicherstes Glied. Einen wichtigen Rahmen zum Entwickeln sicher vernetzter Ökosysteme der Industrie 4.0 bilden Normen und Regeln wie die der Normenreihe IEC 62 443.

Diese beinhaltet sieben Grundvoraussetzungen (FR, Foundational Requirements), auf deren Basis unterschiedliche, zu erreichende Sicherheits-Levels definiert sind. Eine wesentliche Rolle übernimmt hierbei die PKI: denn über das Nutzen von X.509-Zertifikaten werden bereits vier von sieben Anforderungen erfüllt. Die erste grundlegende Voraussetzung, FR1, bestimmt die Identifizierung und Authentifizierung der Kommunikations- und Interaktionspartner. Ganz gleich, ob Mensch, Maschine, Peripheriekomponente oder Programm, die Kommunikationspartner müssen immer klar im Bilde darüber sein, wer mit ihnen kommuniziert.

Nur so können Zugriffbeschränkungen, Rollen und Rechtekonzepte umgesetzt werden. FR2 bis FR7 bestimmen die Nutzungskontrolle, die Systemintegrität, die Vertraulichkeit von Informationen, den eingeschränkten Datenfluss zwischen den Ebenen, rechtzeitige Reaktionen auf Ereignisse und die Ressourcenverfügbarkeit. Auch an dieser Stelle bilden X.509-Zertifikate, sicher und vertrauenswürdig ausgestellt, die Grundlage für die Identifikation sowie die Integrität der Daten und Informationen.

Vertrauen in die Hersteller-PKI

Immer mehr Komponentenhersteller im Bereich der Automatisierung adaptieren das Konzept der PKI und statten ihre Industrie-4.0-Komponenten mit entsprechenden X.509-Zertifikaten aus. Doch was ist mit dem Anlagen- und Maschinenbauer, der die einzelnen Komponenten in seiner Anlage verbaut – wie kann er eine Vertrauenskette zu den einzelnen Hersteller-PKI bilden? In der IT-Welt werden derlei Herausforderung branchenspezifisch und global gelöst. Findet man besonders in Industrie-4.0-Anwendungsbereichen für diese Aufgabe einen gemeinsamen Standard oder versammelt sie auf einer Plattform, würde das die Anwendung wesentlich vereinfachen.

Infolgedessen kann der, der den Standard setzt, aber auch die Kommunikation darin kontrollieren. Selbst der international führende deutsche Maschinen- und Anlagenbau könnte dadurch seine Spitzenstellung verlieren. Setzt sich ein Kommunikationsstandard aus einem anderen Wirtschaftsraum durch, müssen sich auch deutsche Unternehmen diesem beugen.

Digitalisieren auf internationaler Augenhöhe

Um im internationalen Vergleich auf Augenhöhe zu bleiben, muss die deutsche Industrie daher noch konsequenter digitalisieren und automatisieren, ohne dass daraus jedoch ein Security-Albtraum entsteht. Äußerst wirksame Mittel, um das zu verhindern, sind PKI. Nun ist es für Unternehmen aller Größen an der Zeit, sich damit intensiv zu befassen und ihre Produktion mit der Private-Key-Infrastruktur sicher zu automatisieren.

Über den Autor:
Andreas Philipp ist Senior Business Development Manager IoT bei Keyfactor.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.