Industrial IoT-Security
Digitale Identitäten müssen direkt an der Produktionslinie festgestellt werden
Wie eine lokale Registrierungsstelle im Zusammenspiel mit einer Public-Key Infrastructure die vernetzte Fertigung absichert
Das Security-Niveau einer Industrial Internet of Things (IIoT)-Umgebung hängt davon ab, wann die Komponenten ihr Identitätszertifikat ausgestellt bekommen – und von welcher Instanz. Grundsätzlich können Komponenten und Geräte ihre digitale Identität vor, während oder nach der Fertigung erhalten. Ansätze im Markt, dass SE (Secure Elements) oder TPM (Trusted Platform Modules)-Chips bereits im Vorfeld durch den Halbleiter-Distributor „vorpersonalisiert“ werden und mit entsprechenden „Geräte“-Zertifikaten bespielt werden, bevor sie dann in der Endfertigung auf die Leitplatten verbaut werden, bergen gewisse Nachteile. Ein Wesentlicher ist der Verlust der Flexibilität: Daten und Informationen, die erst zum Zeitpunkt der Fertigung bereitstehen, lassen sich dann nicht mehr in das Identitätszertifikat einbringen. Sie müssen im Vorfeld bereitgestellt werden. Ein TPM-Sicherheitschip macht zudem eine Steuerung, eine Maschine oder die Turbine eines Kraftwerks nicht per se zu einer vertrauenswürdigen IoT-Komponente. Warum? Nur die Kombination aus gesichertem Speichern der digitalen Schlüssel und der korrespondierenden digitalen Identität ermöglicht eine ein-eindeutige Identifizierung des Gerätes.
Erweitern der Public Key Infrastructure
Die Aufgabe besteht deshalb viel mehr darin, eine Vertrauenskette aufzubauen. Diese beginnt mit der gerätebezogenen Identitätsfeststellung. Ziel ist es, eine digitale Identität als Zertifikat im X.509-Format auszustellen. Das leistet eine PKI. Ihre Certificate Authority (CA) garantiert die Vertrauenswürdigkeit der digitalen Zertifikate, die mit dem öffentlichen Schlüssel des Zertifikatsinhabers validiert werden. Mehr IIoT-Security verspricht nun das Erweitern des PKI-Konzeptes. Hierzu wird die Registration Authority (RA) einer PKI in die vernetzte Produktionsumgebung verlagert. Dieser ‚lokal Registration Point‘ validiert zum einen die Identität eines Gerätes, das ein Zertifikat anfragt und zum anderen erstellt es einen vertrauenswürdigen Zertifikats-Request für die Beantragung des Gerätezertifikates bei der Produkt-CA .Auf die Weise erhalten Komponenten bereits im Fertigungsprozess eine digitale Identität.
Anforderungen an die lokale Registrierungsinstanz
Die lokale Registrierungsinstanz sollte wie eine PKI Folgendes beherrschen:
- Schlüsselgenerierung durch die RA unter zu Hilfename eines eigenen Zufallszahlen-Generators
- Erstellung von Zertifikats-Requests entsprechend der zugrundeliegenden Zertifikatsvorgaben
- Unterstützung der bekannten kryptographischen Algorithmen
- Optional ebenfalls die Bereitstellung von symmetrischem Schlüsselmaterial
Produktionsnetze haben noch eine spezielle Herausforderung: Es existieren teilweise keine standardisierten Schnittstellen, um mit Geräten innerhalb des Fertigungsprozesses zu kommunizieren. Einige Baugruppen können nur über serielle Interfaces und proprietäre Protokolle angesprochen werden. Andere Systeme, etwa Industrie-PCs (IPC), verfügen dagegen über Ethernet-Schnittstellen, wieder andere über Industriebus-Interfaces. Dem trägt der Identity Authority Manager Industrial von PrimeKey Rechnung.
So bietet die IPC-basierte Appliance drei externe Hauptschnittstellen:
- Die Device-Adapter-Schnittstelle zur Kommunikation mit dem Gerät in der Produktion
- Die TrustService-Adapter-Schnittstelle zur Kommunikation mit den Zertifikatserstellenden Diensten: Der integrierte TrustedService-Adapter bildet die Schnittstelle zum Trust Center oder zu einem Zertifikatsdienst. Um dem Nutzer eine gekapselte und fehlertolerante Schnittstelle zur Verfügung zu stellen, sind Protokoll-Stacks, wie zum Beispiel CMP oder PKCS#10, standardmäßig implementiert. Des Weiteren sind auch REST-basierte Anbindungen möglich. Hinsichtlich der Wartbarkeit ist noch zu erwähnen, dass die Adapter-Schnittstellen des TrustedService-Adapters und des Device Adapters natürlich die identische Integrationsplattform verwenden.
- Die Sequence-Controller- und Administrations-Schnittstelle zur Verwaltung, Adaptierung und Modellierung der Identitätsfeststellungsprozesse: Findet die Kommunikation des Gerätes aus dem Fertigungsprozess über den Device Adapter statt, bildet diese die einkommenden Daten auf ein internes Standardformat ab und leitet sie daraufhin an den Sequence Controller weiter. Innerhalb seiner Umgebung werden die Prozesse zur Feststellung sowie die Validierung und Prüfung der Zertifikatserstellung abgebildet. Hierzu stehen dem Prozess-Verantwortlichen vordefinierte Bausteine, von der Datumsprüfung über Anfrageknoten an externe MES- oder PLM-Systeme bis hin zu offenen Skriptumgebungen zur Verfügung. Fachleute aus Bereichen wie Test, Prüffeld und Qualitätssicherung erhalten somit eine Integrationsumgebung, mit der sie beispielsweise Regelketten zur Validierung der Identität erstellen und editieren können.
Der IT-Verantwortliche kann per „Drag and Drop“ die ihm zur Verfügung stehenden Funktionsbausteine auf ein virtuelles Planungs-Sheet ziehen und auf diese Weise Sequenzen zusammenbauen:
- Welche externen Ressourcen beim Erstellen und Prüfen einer Identität herangezogen werden sollen, etwa Datenbanken und ERP-Systeme
- Auf welche Weise Daten zu schützen sind (etwa in Form einer Signatur)
- Welche Nachrichtentypen beim Erstellen des Zertifikats zu berücksichtigen sind
- Sowie viele anderen Möglichkeiten Dieses hohe Maß an Flexibilität ist notwendig, um die Vielzahl von Protokollen, Schnittstellen, Anforderungen und Regeln zu berücksichtigen, die beim Erstellen einer digitalen Identität eine Rolle spielen.
Einsatz in der Automatisierungstechnik
Der Identity Authority Manager Industrial von PrimeKey bewährt sich bereits in Tests in der Automatisierungstechnik. Er sichert bei einem führenden Anbieter speicherprogrammierbaren Steuerungen und Controller für Computerized-Numeric-Control-(CNC)-Maschinen sowie die IPC-Fertigung ab. In jeder Fertigungslinie platziert, nimmt der lokal Registration Point die Identitätsanfragen der Produkte entgegen. Sie stellen eindeutig deren Identität fest und „holen“ von der zentralen Produkt-PKI die Zertifikate. Die lokale Registrierungsinstanz behält die strikte Trennung zwischen Produktion und IT-Umgebung bei. So können keine Cyber-Attacken vom Büronetz auf das Anlagennetzwerk übergreifen.
Transparent und fälschungssicher produzieren
IIoT-Industrien wie die Automobil-, Energie-, Gesundheits- und Automatisierungsbranche, müssen heute den gesamten Lebenslauf eines Produkts verfolgen können. Diese Fähigkeit erlangen sie, indem sie das PKI-Konzept um einen lokal Registration Point erweitern. Dieser stellt direkt in der Produktionslinie die digitale Identität von Komponenten und Werkstücken fest. Unternehmen können so jederzeit nachvollziehen, aus welcher Quelle die Materialien stammen, die sie verwenden. Das verhindert Fälschungen, etwa bei Ersatzteilen für Fahrzeuge und Flugzeuge. Denn in die digitale Identität jeder Komponente lassen sich Informationen über deren Echtheit und Integrität integrieren.