PKI-Ansatz für das IIoT
In einer vernetzten Produktionsumgebung müssen alle Systeme für das Industrial Internet of Things (IIoT) zuverlässig funktionieren, stets verfügbar sein und etwaigen Angriffen sowie Manipulationsversuchen standhalten. Eine wichtige Komponente dafür ist das klassische Sicherheitskonzept zum Feststellen digitaler Identitäten: eine Public-Key-Infrastructure (PKI),die um eine entscheidende Komponente erweitert wird. Bei der Umsetzung gilt es allerdings einige Punkte zu beachten.
Von Andreas Philipp, Aachen
Enterprise-Resource-Planning-(ERP)-Lösungen von Anbietern wie SAP, Oracle und Salesforce sowie BigData-Analytics greifen heute ganz selbstverständlich auch auf Daten zu, die Systeme der „Operational Technology“ (OT) wie Maschinen, Förderzeuge und Messsysteme generieren. OT und IT wachsen dadurch in vernetzten Produktionsumgebungen zusammen: IT-Systeme managen in der „Industrie 4.0“ sowohl Produktlebenszyklen als auch die Auftragsverwaltung und verbinden das Netzwerk mit Cloud-Services. Die Vernetzung geht außerdem über den eigenen Standort einer Fertigungsfirma hinaus – es entstehen verteilte Produktionsumgebungen, die Zulieferer, Partnerunternehmen und Kunden in unterschiedlichen Regionen oder Ländern einbinden.
Die ideale Umsetzung einer Industrial-Internet-ofThings-(IIoT)-Umgebung im Sinne von Industrie 4.0 wird zur Smart Factory führen, in der die gesamte Wertschöpfungskette vom Design eines Produkts über die Herstellung bis hin zu Vertrieb und Service digitalisiert ist. Damit verbinden Industrieunternehmen die Aussicht, Logistikprozesse zu optimieren und effizienter zu produzieren.
Digitale Zwillinge
In solchen vernetzten Produktionsumgebungen übernehmen digitale Zwillinge eine Schlüsselrolle: Sie bilden physische Systeme und Prozessketten in der Fabrik ab, um die digitale Basis für Predictive Maintenance, den Datenaustausch im IIoT-Netzwerk sowie die Anbindung an bestehende IT-Systeme zu legen. Das setzt eine hohe Verfügbarkeit und Zuverlässigkeit der digitalen Abbilder sowie eine geringe Latenz voraus, damit Prozesse auch in Echtzeit störungsfrei ablaufen können. Zudem stellt sich zwingend die Anforderung einer sicheren Kommunikation – internen wie externen Angreifern darf es nicht gelingen, IIoT-Komponenten zu hacken oder zu manipulieren, ansonsten gerät der Fertigungsprozess in Gefahr oder Know-how in fremde Hände.
Um Störungen im Datenaustausch von digitalen Zwillingen, IT-Systemen und Mitarbeitern zu verhindern, muss Vertrauen in der digitalen Kommunikation sowie deren Daten bestehen. Letztendlich lässt sich dieses Ziel nur erreichen, wenn man jedem Gerät an sich vertrauen kann, indem dessen Identität zu jedem Zeitpunkt sichergestellt ist.
Im Kern sind Identifikation und Authentifizierung der unterschiedlichen Teilkomponenten einfach und können durch Zertifikate im X.509-Format effizient umgesetzt werden. So lässt sich von sogenannten Edge-Devices über Gateway-Lösungen und angebundene IoT-Plattformen bis zu den Backofficesystemen eine konsequente Ende-zu-Ende-Sicherheit erzielen. Es entsteht eine durchgehende Vertrauenskette, die einen verlässlichen und vertrauenswürdigen Datenaustausch gewährleistet, ohne IIoT-Anwendungen in ihrer Verfügbarkeit oder Funktion einzuschränken.
Sicherer Datentransfer
In einer typischen IIoT-Umgebung tauschen Systeme, die an unterschiedlichen Standorten platziert sind, Daten aus – allerdings nicht in jedem Fall über sichere Netzwerkverbindungen. Hier schützt eine PKI die Kommunikation, indem sie die Identität und Integrität der Kommunikationspartner überprüft. In Verbindung mit Transportprotokollen wie der Transport-Layer-Security (TLS) lässt sich dadurch ein sicherer Datenaustausch zwischen IIoT-Komponenten, Gateways und IIoT-Plattformen gewährleisten.
Vor dem Einsatz sollten Unternehmen prüfen, ob die gewünschte oder schon vorhandene PKI über eine einschlägige, zertifizierte Evaluierung verfügt (z. B. nach FIPS 140-2). Wichtig ist zudem, darauf zu achten, ob ein Anbieter Compliance-Regelungen wie die „Charter of Trust“ (www.charteroftrust.com) oder das „Framework for Improving Critical Infrastructure Cybersecurity“ berücksichtigt (https://doi.org/10.6028/NIST.CSWP.04162018). Diese belegen, dass die PKI die relevanten Sicherheitsanforderungen einhält, um das gewünschte Vertrauen in die digitale Kommunikation zu etablieren.
Erweitertes PKI-Konzept
Eine vertrauenswürdige Prozesskette entsteht jedoch nur, wenn die initiale Identität des Gerätes vertrauenswürdig ist. Arbeitet ein Unternehmen zum Beispiel mit einem Auftragsfertiger in Ostasien oder in anderen Ländern zusammen, muss die Kontrolle der initialen digitalen Identität ebenfalls in vollem Umfang gegeben sein. Ist das nicht oder lückenhaft der Fall, kann ein illoyales Partnerunternehmen die Identität von Produkten manipulieren oder Plagiate herstellen.
Eine solche Konstellation sollte sich auch im PKI-Konzept widerspiegeln – eine Erweiterung der Konzepte im Hinblick auf die Herausgabe der Geräteidentität ist essenziell.
Lange Zeit erfolgte die Ausgabe von Identitäten für Geräte erst nach deren Fertigung, also zum Beispiel bei der erstmaligen Registrierung eines Geräts. Heute sollte sich die Ausstellung der Identitäten immer stärker direkt an die Produktionslinie verlagern. Alles beginnt mit der Erstellung eines sogenannten Geburtszertifikats (BirthCertificate) innerhalb der Produktion, beispielsweise von Programmable-Logic-Controller-Modulen (PLC) oder Einheiten einer speicherprogrammierbaren Steuerung (SPS); auch im Umfeld von Consumer-Produkten gibt es solche Szenarien. Dabei kommen unterschiedliche Spielarten bei der Ausstellung des Gerätezertifikats zum Tragen – beispielsweise in Abhängigkeit der Gerätekonfiguration:
- Bei einer Variante besitzt das Gerät einen Sicherheitsanker in Form eines Trusted-Platform-Module (TPM) oder Secure Element (SE). Diese können dann durch den Halbleiter-Distributor „vorpersonalisiert“ und mit entsprechenden Geräte-Zertifikaten in einer abgesicherten Systemumgebung bespielt werden. Allerdings können Daten und Informationen, die erst zum Zeitpunkt der Fertigung bereitstehen oder generiert werden, in einer solchen Konfiguration nicht mehr in das Identitätszertifikat einfließen. Hierunter fallen etwa kombinierte Baugruppen, Seriennummern, MAC-Adressen von RJ45-Adaptern und ähnliche Eigenschaften. Für den zweiten Weg werden die für ein GeräteZertifikat notwendigen kryptografischen Schlüssel und die entsprechende Zertifikatsanfrage innerhalb der Software des Geräts selbst erzeugt. Das setzt allerdings voraus, dass ein Produkt über die notwendige, eigene Rechnerleistung verfügt. Viele einfache Komponenten wie Sensoren benötigen zwar eine Identität, um ihre Messdaten zu übertragen, erfüllen jedoch nicht diese Anforderungen.
- Bei der dritten Option wird die RegistrationAuthority (RA) innerhalb einer PKI an den Produktionsort des Geräts verlagert. Somit kann sie direkt vor Ort alle notwendigen Schritte zur Ausstellung einer Geräteidentität durchführen. Hierzu wird ein Security-Controller an der Fertigungslinie integriert und fungiert als lokale RA, die dann die Geräteidentitäten ausstellt. Das ist flexibler und unabhängig von der Rechenleistung des produzierten Bauteils, weshalb sich dieser Weg für viele Produktionsanlagen empfiehlt. Der Einsatz von etablierten Protokollen für die Anfrage an die zentrale Certificate-Authority (CA), wie zum Beispiel das Certificate-Management-Protocol (CMP), gewährleistet dabei die Vertrauenskette während des Ausstellens von Zertifikaten. Der als RA fungierende Security-Controller muss allerdings für spätere Änderungen offen bleiben – beispielsweise für die Integration zukünftiger Sicherheitsstandards in der Kryptografie, eine Erweiterung der Kommunikationsschnittstellen sowie Veränderungen im Ablauf des Ausstellungsprozesses selbst. Gleichzeitig muss der Controller die Angriffsfläche möglichst reduzieren, indem seine Anbindung an die IT von seiner Vernetzung mit der OT zur Ausgabe der Identitäten physisch getrennt ist.
Typischer Prozessablauf
Aus der Verlagerung der Registration-Authority an die Produktionslinie ergeben sich unterschiedliche Prozessabläufe: Bei Geräten mit eigenem TPM oder SE könnte sich der RA-Security-Controller mit dem Gerät zum Beispiel durch eine SSH-Session verbinden und die Generierung des Schlüsselpaars innerhalb des integrierten Kryptochips anstoßen. Dazu kann der Controller die notwendigen Informationen zur Erstellung der Zertifikatsanfrage beispielsweise in Form eines Certificate-Management-Protocol-(CMP)-Request übermitteln (https:// tools.ietf.org/html/rfc4210), sodass das Gerät den CMP eigenständig erstellen kann. Alternativ können die benötigten Daten innerhalb des Controllers bereitgestellt und mit dem öffentlichen Geräteschlüssel verknüpft werden. Anschließend signiert der Security-Controller den finalen CMP-Request und schickt ihn zur Verarbeitung an die nachgelagerte zentrale CA. Nach Ausstellung des Zertifikats durch diese bringt der Security-Controller es dann in das Gerät ein.
Bei Geräten oder Komponenten, die keine kryptografischen Schlüsselpaare erzeugen können, übernimmt der Security-Controller diese Aufgabe. Dazu generiert er die Zertifikatsanfrage mit den gerätespezifischen Informationen und übermittelt sie an die CA. Da der SecurityController bei der Erstellung des CMP-Request die Anfrage mit seinem eigenen Signaturschlüssel unterschreibt, kann die CA sich darauf verlassen, dass eine vertrauenswürdige Instanz hinter der Anfrage steht.
Diese Varianten sind Beispiele aus einem Umfeld mit vielen Parametern und einem hohen Freiheitsgrad, aus dem viele unterschiedliche Prozessabläufe resultieren können. Eine wesentliche Erweiterung der PKI für die Industrie 4.0 ist der an der Produktionslinie agierende „ausgelagerte“ Security-Controller. Mit ihm lassen sich vielfältige Varianten für Prozessabläufe und Interaktionsmöglichkeiten abbilden und die dazu passenden Ablaufsteuerung zur Validierung der Identität vor Ort gesichert durchführen.
Fazit
Geräteidentitäten sind das A und O in hochgradig vernetzten IIoT-Umgebungen – von ihrer Vergabe und Management und Wissen Industrial Internet of Things dem Umgang mit ihnen hängt ab, wie sicher sich Daten nutzen lassen. Durch die Verlegung der Registrierungsinstanz (RA) an die Fertigungslinie kann man die Identität eines neues Produkts genau in dem Moment erschaffen, in dem es in der Anlagenstrecke hergestellt wird.
Aus dieser PKI-Anpassung ergeben sich Vorteile für das produzierende Gewerbe: So lassen sich nun Konzepte hinsichtlich Identitäten und Sicherheit flexibel und unabhängiger von den beteiligten Komponenten umsetzen. Wenn Unternehmen dabei auf die richtigen Punkte achten, gelingt es, die Sicherheitsvorgaben bereits bei der Herstellung jedes einzelnen Geräts zu adaptieren und langfristig zu gewährleisten.
Andreas Philipp ist Business Development Manager bei PrimeKey (www.primekey.com).