Digitale Identitäten – das klingt nach Zukunft. Ist es auch, und in der Produktion hat diese Zukunft bereits begonnen.
Im Kontext Industrie 4.0 unterstützen digitale Identitäten die sichere Kommunikation in vernetzen Produktionsprozessen und sie begründen neue Anwendungen. Aber nicht nur das. Digitale Identitäten helfen Betreibern dabei, OT-Assets über den gesamten Lebenszyklus hinweg professionell zu managen. Dies hat insbesondere für die Security-Architektur der eigenen Infrastruktur eine besondere Bedeutung.
Es lohnt sich also, sich jetzt mit dem Thema zu beschäftigen!
Die Produktionswelt von heute: aktueller Zustand als stetige Veränderung
Anlagennetze sind heterogen und erweitern sich durch die Digitalisierung und das Industrial Internet of Things (IIoT) stetig. Immer mehr Sensoren liefern Daten, beispielsweise um Fertigungsabläufe zu optimieren und den Ressourceneinsatz wirtschaftlicher zu machen. Eine valide Datenbasis ist das Fundament insbesondere für Anwendungen der Industrie 4.0 und für die zahlreichen Trendthemen, wie Predictive Maintenance und Digital Twins. Die Integrität von Daten ist nur dann gewährleistet, wenn die Identität der Netzwerkteilnehmer nachweislich echt ist.
Systeme und Komponenten in Industrieumgebungen sind sehr unterschiedlich hinsichtlich ihrer Komplexität und Funktionalität, aber eines haben fast alle gemeinsam: Sie können kommunizieren und tun es auch, und das nicht nur innerhalb Ihres Netzwerks. Heutzutage kommunizieren Systeme in der Automation über Netzgrenzen hinweg, zum Beispiel mit dem lokalen OPC-UA Router oder auch dem MES (Manufacturing Execution System). Weiterhin sind viele Geräte direkt oder indirekt über das Internet erreichbar und können Einfallstore in Ihr Netzwerk sein.
Was ist eine digitale Identität und wofür dient sie?
Jedem Gerät können bestimmte Daten als unverwechselbare Attribute zugewiesen werden, wie zum Beispiel seine MAC-Adresse, Seriennummer und IP-Adresse. Die Kombination dieser Daten macht die digitale Identität einer Maschine aus, über die die Vertrauensstellung zwischen den Netzwerkteilnehmern hergestellt wird. Ein Gerät ist über seine digitale Identität im Netzwerk eindeutig identifizierbar, das ist die Grundlage für einen sicheren Datenaustausch.
Die Zugänge und die Kommunikation im Netzwerk zu regeln ist grundlegend für Ihr Schutzkonzept. Digitale Identitäten ermöglichen es Ihnen, Schutzmaßnahmen flexibel pro Gerät im Netzwerk zu adaptieren.
Der Nutzen digitaler Identitäten für Betreiber
Sichere Kommunikation für Automationsumgebungen
In der Automation gibt es viele Abhängigkeiten in Fertigungsprozessen mit komplexen Netzen, in denen Systeme und Komponenten riesige Mengen an Daten austauschen. Damit der Betrieb störungsfrei verläuft, gilt die Voraussetzung, dass die Teilnehmer, die an Automationsprozessen teilnehmen und kommunizieren, authentisch und vertrauenswürdig sind.
Im Rahmen der eingesetzten Sicherheitsmechanismen belegen Geräte, dass ihnen die angenommene Identität jeweils gehört (Authentisierung) und in der folgenden Überprüfung wird der Beleg bestätigt oder im Zweifel abgelehnt (Authentifizierung). Die zwischen Geräten stattfindende Kommunikation kann dann weiterhin verschlüsselt werden. Das Private-/Public-Key-Verfahren beschreibt der Artikel Digitale Identitäten für Maschinen – wie geht das?
Neue Geschäftsmodelle über digitale Identitäten etablieren
Digitale Identitäten sind nicht nur für sichere Kommunikation im Netzwerk wichtig, sondern haben Potential für die Erweiterung von Geschäftsmodellen. Wenn eine Maschine oder selbst eine Komponente eindeutig identifiziert werden kann, dann lässt sich ihre Leistung beispielsweise im Rahmen von as-a-Service-Modellen oder Mietverträgen einem Kundenauftrag zurechnen und ihre Produktionsdaten für die Abrechnung automatisch erfassen.
Digitale Identitäten – Chancen für Hersteller
Die eindeutige Identifizierung von Maschinen im Netzwerk eines Betreibers ist aus Security-Sicht unausweichlich. Daher sollten auch Hersteller sich mit dem Thema und den Anforderungen, die dies mit sich bringt, auseinandersetzen.
Digitale Identitäten nutzen aber auch Herstellern: Eine eindeutige und unverfälschbare Identifizierung, die im Produktionsprozess der Komponente erzeugt wird, kann zum Beispiel vor Produktpiraterie schützen Es lässt sich darüber zweifelsfrei feststellen, ob eine Komponente oder Maschine tatsächlich von diesem Hersteller stammt.
Herausforderungen für die Umsetzung digitaler Identitäten
Der Einsatz digitaler Identitäten in Automationsumgebungen ist leider in der Umsetzung noch lange nicht State of the Art. Dies liegt vor allem dran, dass die Umsetzung alles andere als trivial ist und besondere Rahmenbedingungen notwendig sind:
Infrastruktur
Die Private-Key-Infrastruktur (PKI) muss für jedes Gerät bereitgestellt und auf die Anforderungen Ihres Betriebes abgestimmt werden. Dabei muss die Integration in bestehende Systeme wie das MES realisiert werden.
Rollout
Es sind Rollout-Verfahren und Prozesse erforderlich, die den besonderen Anforderungen der OT gerecht werden.
Bei vielen Systemen fehlt die Schnittstelle, um Zertifikate automatisch ausrollen zu können. Beispielsweise für SPS-Systeme ergeben sich dafür aktuell große Hürden. Weiterhin befinden sich viele OT-Assets schlichtweg nicht im Active Directory und werden damit nicht zentral verwaltet. Stark voneinander abweichende Betriebssysteme, von Linux bis zu verschiedensten Windows-basierten Varianten, sorgen für zusätzliche Schwierigkeiten.
Management
Sowohl das Ausrollen als auch das Verwalten der digitalen Identitäten muss über ein professionelles Verfahren gewährleistet werden. In vielen Betrieben ist ein OT-Asset-Management, das für diese Aufgabe geeignet ist, (noch) nicht etabliert.
Digitale Identitäten einsetzen: Offene Fragestellungen klären
Wer definiert die digitale Identität?
Einige der Attribute, die zur digitalen Identität gehören, wie beispielsweise Modelleigenschaften ergeben sich im Produktionsprozess eines Gerätes. Daher kann die digitale Identität zum Beispiel vom Hersteller vorgegeben sein. Klären Sie also, was zum Leistungsumfang der Komponente auch hinsichtlich Verschlüsselung, Zertifikaten und gegebenenfalls sogar einer digitalen Identität gehört.
Umgang mit heterogener Systemlandschaft
Die Grundproblematik mit vielen Systemen in der OT ist, dass die eingesetzten Software-Stände und Betriebssystem-Varianten stark voneinander abweichen. Manchmal ist kein einheitlicher Standard zu erkennen.
Hinzukommen die unterschiedlichsten Anforderungen von OT-Assets, wie beispielsweise:
- keine technische Funktionalität für moderne Protokolle
- keine Unterstützung von Verschlüsselung
- keine ausreichende Rechenleistung für Verschlüsselung
- kein zentrales Management
- u.v.m
In Ihrer Strategie sollten Sie definieren, wie im Einkaufsprozess zum Beispiel Mindestanforderungen für Komponenten eingehalten werden können. Versuchen Sie außerdem, OT-Assets in OT-Asset-Gruppen zu harmonisieren. Für jede dieser Gruppen kann dann ein passendes Verfahren etabliert werden.
Wichtig ist jedoch, dass Betreiber das Thema „Digitale Identitäten“ bereits jetzt bei ihrem Hersteller adressieren.
Was Sie jetzt tun sollten
Sowohl Hersteller als auch Betreiber sollten den Trend verfolgen und am Ball bleiben. Dafür empfehlen wir Ihnen die Lektüre des Gast-Artikels zu dem Thema, den Florian Handke vom Campus Schwarzwald für unsere Plattform verfasst hat. Darin werden Grundlagen für Private Key Infrastrukturen erklärt und einfache Anwendungen erläutert.
Befassen Sie sich außerdem mit dem Thema „Life Cycle Management“ in der OT und suchen Sie nach Möglichkeiten, wie sich Ihr bestehender Prozess verbessern lässt. Dabei sollten Sie den angemessenen Umgang den vielen verschiedenartigen Systemen und die Legacy-System-Problematik im Blick haben.
Fazit
Nur wenn Netzwerkteilnehmer eindeutig im Maschinennetz identifiziert werden können, ist eine valide Datenbasis gewährleistet. Digitale Identitäten unterstützen nicht nur Security-Belange im Betrieb, sondern unterstützen auch die nachhaltige Nutzung datenbasierter Industrie 4.0-Anwendungen.
Bereits heute ergeben sich viele Anwendungsfälle sowohl für Hersteller als auch für Betreiber und der Trend wird weiter an Fahrt aufnehmen. Deshalb sollten Sie sich jetzt damit beschäftigen, wie der Einsatz digitaler Identitäten den größtmöglichen Nutzen für Ihre individuelle Anforderung bringt.
Guide: OT-Asset-Management
Solution Architect für OT- & BAS-Security
Zuverlässiges OT-Asset-Management ist immer noch eines der essentiellsten Themen in der vernetzten Produktion und Automation. Unerlässlich für Security, für die Zukunftsfähigkeit und einen stabilen Betrieb.
Wie ein erfolgreiches Assetmanagement-Projekt aussehen sollte und worauf Sie achten sollten, zeigen wir Ihnen In unserem Guide: OT-Asset-Management effizient einführen.
