PKI als Wegbereiter für eine sichere Industrie 4.0

Wie PKI zu einem wichtigen Enabler für Ihre moderne Produktionsumgebung wird

OT-Lösungen wurden und werden oft noch mit einem anderen Schwerpunkt als der Konnektivität ihrer Komponenten für den sicheren Datenaustausch mit extern betriebenen Diensten entwickelt. Ihre wichtigsten Entwicklungsziele sind Effizienz, Safety und Qualität in der gesamten Produktion. Eine umfassendere Integration von OT-Lösungen in die OT- und IT-Architekturen von Unternehmen wird selten angestrebt, da die Kunden dies in der Vergangenheit nicht als priorisierte Anforderung sahen.

Genau hier setzt Industrie 4.0 an: Konnektivität aller Anlagen und Dienste, um so viele Daten wie möglich zu kombinieren und einen Mehrwert für Aktionäre, Umwelt, Mitarbeiter und Kunden zu schaffen. Konnektivität erhöht jedoch auch das Risiko von Missbrauch, Industriespionage und Manipulation. In dieser Diskussion gewinnt die Authentizität bei Datenanfragen, aber auch der bereitgestellten Daten und das damit verbundene in ihre Echtheit und Integrität, angesichts der zunehmenden Digitalisierung innerhalb der OT immer mehr an Bedeutung.

PKI — Ein bekannter, jedoch unterschätzter Champion

Seit Jahrzehnten ist die Public-Key-Infrastruktur (PKI) ein bekanntes und effektives Konzept zur kryptografischen Sicherung gemeinsam genutzter Informationen. Es gibt drei wichtigste Prinzipien:

  • Authentizität — der Kommunikationspartner kennt sein Gegenüber;
  • Integrität — Daten werden auf dem Weg zwischen Absender und Empfänger nicht manipuliert;
  • Vertraulichkeit — wo erforderlich, werden Daten vor unbefugter Offenlegung geschützt

PKI unterstützt diese 3 Prinzipien sehr gut. Viele Softwarebibliotheken, die bereits vor mehr als einem Jahrzehnt im Einsatz waren und daher auch an der Entwicklung aktuell verwendeter OT-Lösungen beteiligt waren, unterstützten bereits zumindest rudimentäre PKI-relevante Operationen zur Verwaltung von Schlüsseln und digitalen Zertifikaten. PKI setzt auf Prozesse und Standardisierung. Ihre Nutzung ist daher herstellerunabhängig und für alle frei zugänglich.

Herausforderungen bei der Implementierung von PKI in OT

Wo Licht ist, gibt es auch Schatten. Es gibt verschiedene Gründe, warum PKI in Produktions- und Steuerungssystemen nicht flächendeckend eingesetzt wird oder auf ad-hoc und selbstsignierte Zertifikate gesetzt wird. Dieses Vorgehen ist verständlich, widerspricht aber den Zielen von PKI und den damit verbundenen Sicherheitskontrollelementen. Unserer Erfahrung nach werden die folgenden Gründe am häufigsten genannt:

„Keine Nachfrage, weil kein Risiko“

Dieses Argument wurde in der Vergangenheit allzu oft vorgebracht, da die wichtigste Schutzmaßnahme die Isolierung der Produktionsanlagen war. Es wird nun zunehmend entkräftet und mit der fortschreitenden Vernetzung von Anlagen und Komponenten ins Gegenteil verkehrt. Je stärker unterschiedliche Komponenten und Anwendungen sicher miteinander kommunizieren sollen, desto wichtiger ist eine gemeinsame Vertrauensbasis zur Ausgabe und Validierung von Identitätsinformationen beteiligter Kommunikationspartner.

„Zu komplex und teuer“

Hier sprechen die meisten Kritiker von Prozesskosten aufgrund manueller Lebenszyklusprozesse von Zertifikaten. Da Zertifikate regelmäßig erneuert werden sollten, ist ein gewisser Aufwand erforderlich, um die genauen verwendeten Zertifikate zu überwachen und erneuerte Zertifikate vorzubereiten, bevor diese ablaufen und damit den Produktions- oder Geschäftsprozess empfindlich stören. Während es vor einigen Jahren nur begrenzte Automatisierungsmöglichkeiten gab und deren Integration technologisch herausfordernd war, ist die Situation jetzt anders. Leichte und weltweit standardisierte Protokolle ermöglichen eine skalierbare Architektur für die Zertifikatsverwaltung, ohne von einzelnen Herstellern abhängig zu sein. Die intelligente Automatisierung verschiedener Prozessschritte reduziert den manuellen Aufwand erheblich und senkt damit unmittelbar operative Kosten und das Risiko von Betriebsunterbrechungen.

„Zu kompliziert zu bedienen“

Das Konzept von PKI zeichnet sich durch Flexibilität und Interoperabilität aus. Es ist jedoch mit einer gewissen Komplexität verbunden. Dennoch sollten Komplexität und Kompliziertheit nicht vermischt werden. Es ist in der Tat möglich, komplexe Lösungen ohne komplizierte Prozesse zu entwickeln und umzusetzen. Diese gut durchdachten Lösungen stören den Betrieb nicht und überlasten die Mitarbeiter nicht. Eine maßvolle Einführung von PKI unterstützt eine effektive Risiko- und Aufwandsreduzierung im Betrieb. Eine durchgängige Analyse der Anwendungsfälle für digitale Zertifikate ermöglicht es Betriebsrollen und Entscheidern zielgenaue Lösungen anzustreben, ohne die Betriebskosten signifikant zu erhöhen. Mit dem Fokus auf die Automatisierung von Lebenszyklusprozessen für Zertifikate, lassen sich operative manuelle Aufwände und verbundene mögliche Fehler stark reduzieren.

Die Zertifikatsverwaltung ist oft weniger ein technisches Problem als eine größere prozessuale Herausforderung,. Die Prozesse, die für eine effektive Verwaltung von Schlüsseln und Zertifikaten erforderlich sind, werden von den verantwortlichen Personen selten verinnerlicht, da sie ihre Prioritäten in anderen Bereichen des Betriebs sehen. Der Versuch, alle Szenarien in einer heterogenen OT-Landschaft mit einer homogenen Lösung abzudecken, kann schnell frustrieren und letztendlich zum Scheitern führen.

So adressieren Sie PKI in OT

Doch wie sollte man an das Thema herangehen, um zeitnah und mit überschaubarem Aufwand zu brauchbaren Ergebnissen zu kommen? Wir von BxC möchten Ihnen mit ein paar Tipps helfen, die richtigen Prioritäten zu setzen, um Ihre Bemühungen so effizient und effektiv wie möglich zu gestalten.

1. Identifizieren Sie 3-5 wichtige Szenarien

Unternehmen sollten sich auf einige, aber wichtige Szenarien konzentrieren, wenn sie beginnen sich mit dem Thema PKI auseinanderzusetzen. Die Szenarien sollten aus unterschiedlichen Bereichen stammen, um dennoch ein gewisses Maß an Diversität der Geschäftsanforderungen zu haben. Stellen Sie sicher, dass Sie keine Insellösung designen, die perfekt für eine begrenzte Zahl von Anwendungsfällen funkitoniert, allerdings schwer bis gar nicht anwendbar ist auf weitere Anforderungen. Wenn Sie im Gegenzug das Ziel zu weit gefasst definieren, laufen Sie Gefahr, von zu vielen Details aufgehalten zu werden. Dies würde eine nutzbare Lösungen in die Länge ziehen und verhindern, dass sie in mehreren Schritten Erfolge verzeichnen.

2. Definieren Sie Anforderungen und Prozesse universell

Eine der Stärken von PKI ist das lösungsunabhängigen Konzept dahinter. Anstatt sich auf einen bestimmten Anwendungsfall zu konzentrieren, sollten Prozesse aus einer breiteren Perspektive entworfen werden, sodass bei der Prozessdefinition ein Schritt zurückgetreten wird. Viele Verwaltungsprozesse für Zertifikate können wiederverwendet werden und ermöglichen eine gezielte Neuausrichtung der Prozessschritte. Dadurch sind Lösungen wiederverwendbar und somit kostengünstiger.

Ein Beispiel kann die Verwaltung von Maschinenidentitäten für OT Devices sein. Die Anforderung an den Enrollmentprozess für OT Laptops, die in Fabriken eingesetzt werden unterscheiden sich im Grundsatz nicht von derer industrieller Handhelds, welche in Lagerhäusern für die Inventarisierung genutzt werden. Sie verwalten die Geräte in einem Identity Store und statten die Geräte über automatisierte Enrollmentprozesse mit Geräteidentitäten aus, welche für die Authentisierung an bspw. Enterprise Wifi Access Points genutzt werden können.

3. Beginnen Sie mit Level-3-Szenarien

Das größte Risiko bei zunehmender Konnektivität besteht in der OT-Serviceschicht, die stark mit Unternehmens-IT- und Cloud-Diensten interagiert. Das Purdue-Modell ordnet solche Dienste der Stufe 3 zu, die als Vermittler zwischen der IT (Stufe 4+5) und den cyber-physischen Domänen (Stufe 0-2) fungiert. Alle Informationen, die Stufe 3 durchlaufen, müssen vor unbefugtem Zugriff oder Änderung geschützt werden. Da die hier hauptsächlich verwendeten Systeme weniger von Ressourcenbeschränkungen betroffen sind und auf klassischen IT-bekannten Betriebssystemen basieren, unterstützen die meisten von ihnen von Hause aus PKI-Funktionalitäten. Die Automatisierungsmöglichkeiten für das Verwalten von Zertifikaten sind hier vielfältig, effizient und kostenschonend umsetzbar. Gleichzeitig erhöht sich sprunghaft das Sicherheitsniveau der genutzten Zertifikate und damit die Sicherheit der ausgetauschten Informationen in Ihrem Netzwerk.

4. Konzentrieren Sie sich auf PKI-Kunden

Es gibt einige große Lösungsanbieter für PKI. Nicht wenige von ihnen haben eines gemeinsam: Sie verkaufen ein Produkt oder einen Anwendungsservice. Wie Kunden diese Dienste ihre Umgebung integrieren und über sichere Prozesse nutzbar machen, bleibt jedoch das Problem der Kunden. Der Erfolg von PKI und vor allem die Benutzerfreundlichkeit von PKI im OT steht und fällt hier. Zertifikate, die ablaufen und die Verfügbarkeit der Dienste beeinträchtigen, sind Gift für die geforderte Verfügbarkeit und Verlässlichkeit von OT Prozessen. Das intelligente Design der Integration von Zertifikaten auf OT-Systemen ist einer der wichtigsten Erfolgsfaktoren für den Einsatz digitaler Zertifikate.

Gerade in einer Brownfield-Umgebung von OT kann ein agiler Ansatz hilfreich für die Einführung einer neuen PKI oder die Erweiterung einer bestehenden Umgebung sein. Dennoch steht agil nicht für schnell und billig, wie es in manchen Unternehmen immernoch angenommen wird, sondern für kurze Entwicklungsphasen und schnelle Überprüfungszyklen. Diese unterstützen die Bewertung der Wiederverwendbarkeit von Technologien und Prozessen ohne lange Projektlaufzeiten und Kosten vor den ersten sichtbaren Erfolgen.

BxC Fazit

Wir bei BxC sind davon überzeugt, dass PKI ein wertvoller Kandidat für die Etablierung von Mindestsicherheitsniveaus in der Industrie 4.0 ist.

Auf dem Weg zur Digitalisierung von Produktionsprozessen und der Vision von Zero Trust in OT ist die Berücksichtigung von PKI für OT unverzichtbar. Der weit verbreitete Einsatz von PKI in der IT bietet vielen Unternehmen die Chance, dass PKI-Know-How und auch PKI-Services bereits im Unternehmen verfügbar sind. Diese können bis zu einem gewissen Grad wiederverwendet werden, aber OT-spezifische Bedürfnisse müssen berücksichtigt werden, um einen erfolgreichen Beitrag zur Absicherung Ihrer Industrie 4.0-Aktivitäten zu leisten.

Ein “Libero“ - Eine Rolle mit PKI-Know-How und das Verständnis Ihrer OT-Bedürfnisse können eine entscheidende Rolle für den Erfolg spielen. Wenn Sie ernsthafte Industrie 4.0 Anwendungsfälle anstreben, werden Sie an der Einführung von Zertifikatsmanagmeent nicht vorbei kommen. Es ist ratsam sich nachhaltig mit dem Thema zu auseinanderzusetzen und die Anwendungsfälle von den Geschäftsanforderungen her zu planen. Implementieren Sie die Anwendungsfälle in kleinen aber effektiven iterativen Schritten, um Kunden und Ansprechpartnern konstant Erfolge vermitteln zu können.

Related Posts
Tags: 
Cybersecurity
,
OT
,

Why is cybersecurity crucial for manufacturing?

READ MORE >
Tags: 
Identity Access Management
,
Industrial IoT
,
Public Key Infrastruktur
,

Die Bedeutung des Zertifikatslebenszyklus für das IoT

READ MORE >
Tags: 
Public Key Infrastruktur
,
Identity Access Management
,
Industrial IoT
,

Securely Integrating PKI Functionality in Legacy Environments: BxC's Expert Solutions

READ MORE >
back to blog >