Digitale Identitäten in der Produktion

Ab wann sich Maschinen und Steuerung „ausweisen“ sollten

Von unserem Gastautor Andreas Philipp, Business Development Manager bei PrimeKey

[datensicherheit.de, 29.06.2020] In einer vernetzten Produktionsumgebung sorgen vertrauenswürdige digitale Identitäten dafür, dass sich die einzelnen Komponenten und Systeme (Geräte) gegenseitig „kennen und vertrauen“. Was bedeutet es jedoch genau, „dass einer Geräteidentität vertraut werden kann“ und spielt es eine Rolle, wann und wie diese Identität für das Gerät ausgegeben wurde?

Die Antwort ist einfach: Die Identität muss natürlich in einem gesicherten Prozess und vorzugsweise während der Produktion ausgestellt werden. Während der Produktion werden mehrere Komponenten verbunden, und es entsteht ein fertiges Endprodukt, zum Beispiel ein Gerät. Zu diesem Zeitpunkt hat dieses seine endgültigen Eigenschaften. Damit kann nun auch die Produktidentität definiert werden. Eine vertrauenswürdige Identität ermöglicht eine sichere Lieferkette für das Gerät und eine gesicherte Kommunikation in verbundenen Produktionsumgebungen oder anderen IoT (Internet of Things)-Implementierungen.

Andreas Philipp, Business Development Manager, Bild: Primekey

Wie sieht dies in der Praxis aus? In einer Fabrik werden beispielsweise Steuergeräte für automatisierte Produktionsmaschinen hergestellt. Diese Steuereinheiten werden in mehreren Varianten produziert, eine mit einem zusätzlichen Erweiterungsmodul und eine ohne. Ob es sich um eine Steuerung mit oder ohne Erweiterung handelt, wird während des Produktionsprozesses festgelegt. Sowohl die Steuerung als auch die Erweiterung haben ihre eigene digitale Identität über eine Seriennummer und andere Attribute aus der Produktion dieser Komponenten. Es könnte sogar so sein, dass der Controller und die Zusatzteile mit einem TPM (Trusted Platform Module) oder Secure Element (SE) ausgestattet sind, bei denen kryptographische Schlüssel und Zertifikate, die ihre Identitäten festlegen, bereits während des Produktionsprozesses dieser Komponenten ausgegeben wurden. Auf den ersten Blick scheint dies für die Identifizierung dieses Produkts ausreichend zu sein, aber es gibt einen Haken: Diese Identitäten beschreiben nur die einzelnen Komponenten im Produkt. Es ist jedoch zwingend notwendig, eine weitere Identität pro Produkt auszustellen, die das komplette Produkt abbildet, während es an der Produktionslinie montiert wird.

Anpassung bewährter IT-Sicherheitsverfahren für verbundene Produktionsumgebungen

Die Public Key Infrastructure (PKI) wird seit Jahrzehnten als Best Practice für die Ausgabe und Verwaltung digitaler Identitäten in IT-Umgebungen eingesetzt. Sie hat sich inzwischen als die flexibelste und skalierbarste Lösung im Zusammenhang mit verbundenen Produktionsumgebungen, Industry 4.0 oder IIoT (Industrial Internet of Things), erwiesen. Eine PKI wird in der Regel als eine Hierarchie von CAs (Certificate Authorities) aufgebaut, die Zertifikate für untergeordnete CAs und für „Endverbraucher“ ausstellen, bei denen es sich um einen Nutzer, einen Server oder, wie im obigen Beispiel, um eine Steuereinheit handeln kann, die gerade produziert wird. Wenn ein Mitarbeiter eine digitale Identität in Form eines Zertifikats benötigt, um zum Beispiel über VPN auf das Unternehmensnetzwerk zugreifen zu können, fordert er das Zertifikat bei der Registration Authority (RA) an. Nachdem die Identität validiert wurde (gemäß der Firmenpolitik), wird das Zertifikat von der Zertifizierungsstelle erstellt und dem Nutzer zur Verfügung gestellt. Wenn der Nutzer versucht, auf das Firmennetzwerk zuzugreifen, wird er aufgefordert, seine Identität vorzulegen, und der Authentifizierungsprozess wird ausgeführt, einschließlich einer Validierung der Gültigkeit der Identität.

Ausstellung von Identitäten für Produkte in der Fertigung

Um mit einer Lösung für die Ausgabe digitaler Identitäten für Produkte in der Produktion erfolgreich zu sein, müssen Unternehmen in der Lage sein, den Registration Authority Prozess anzupassen und in bestehende Prozesse und Abläufe zu integrieren.

Die RA muss Teil der Produktionslinie sein, und die Identitätsüberprüfung muss implementiert werden, um die Sicherheitsrichtlinien des Unternehmens zu unterstützen. Der Prozess des Vergleichs und Abgleichs der Identitätsinformationen der Geräte, wie zum Beispiel MAC-Adressen, Motor-Identifikationsnummern oder ähnliche, muss in Fertigungsinfrastruktur-Systemen wie MES (Manufacturing Execution System), PLM (Product Lifecycle Management) oder ERP (Enterprise Resource Planning) integriert werden. Die Fertigungsumgebung stellt ebenfalls hohe betriebliche Anforderungen an Verfügbarkeit und Zuverlässigkeit. Daher muss unter anderem berücksichtigt und unterstützt werden, wie im Falle eines Ausfalls oder Fehlers reagiert werden muss, welche Protokollinformationen aufgezeichnet werden sollten und wann.

Kurz gesagt, die lokale Registration Authority muss sich an die bestehenden Produktionsprozesse, Schnittstellen und Datenstrukturen anpassen lassen, die durch die bestehende Produktionsumgebung definiert sind. Der Identity Authority Manager von PrimeKey bietet diese Flexibilität. Die IPC-basierte Appliance bietet eine RA, die verschiedene Geräteadapter und eine Prozessmodellierungsumgebung umfasst, um eine vertrauenswürdige Identitätsprüfung und -ausgabe in der Fertigung zu ermöglichen.

Adaptieren von Abläufen und Aktivieren weiterer Sicherheitsparameter

Eine softwarebasierte Lösung ermöglicht es Herstellern, die Identitätsfeststellung in den Produktionsprozess zu integrieren. Mit dieser lokalen Registration Authority kann die Produktionsorganisation ihren Herstellungsprozess adaptieren und modellieren, während gleichzeitig das Sicherheitsniveau für das Erstellen der Geräteidentität gewahrt bleibt.

Das Konzept des Local Registration Point kann auch andere Sicherheitsservices implementieren. Dazu gehören Code Signing, also das Signieren von Software und Patches, um Manipulation zu verhindern. Endgeräte mit den entsprechenden Zertifikaten und Identitäten können somit Software-Updates und Lizenzen auf ihre Integrität und Authentizität hin überprüfen. Dies verhindert Produktplagiate und ermöglicht eine sichere Rückverfolgbarkeit von Komponenten und Produkten, das heißt eine vertrauenswürdige Kommunikations- und Lieferkette.

Security-Appliance, Bild: Primekey

Eine Security-Appliance für ein Public Key Infrastructure: Hersteller können mit den Identity Authority Manager – Industrial von PrimeKey ihren Erzeugnissen im Fertigungsprozess digitale Identitäten eindeutig zuweisen

Weitere Informationen zum Thema:

PrimeKey
Unternehmenswebsite

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit