Vertrauen an der Wurzel packen  - Factory Innovation
Technologien

Vertrauen an der Wurzel packen 

Warum die Root of Trust zentral für die Produktion der Zukunft ist

Lesedauer: 8 Minuten

07. Juni 2022 von Nils Gerhardt

Vertrauen an der Wurzel packen 
©kras99 – stock.adobe.com

Wenn es um IIoT, Industrie 4.0 oder Smart Factory geht, ist Sicherheit immer ein Thema, doch oft wird es nur auf der Anwendungs- beziehungsweise Software-Ebene betrachtet. Um komplexe Umgebungen auch für die Zukunft abzusichern, müssen wir aber bereits auf der Hardware-Ebene ansetzen. Wie kann eine solche Infrastruktur aussehen und was ist dafür auf technischer Ebene notwendig?

Das Industrial IoT (IIoT) ist ein bestimmendes Trendthema in der deutschen Industrie, wie unter anderem eine IDC-Studie Ende 2020 zeigte. Dort gaben 40 Prozent der befragten Unternehmen an, dass sie ihre Investitionen in IIoT-Projekte steigern möchten. Aus dieser Umfrage geht auch hervor, dass 43 Prozent der Befragten noch kabelgebundene Verbindungen zur Umsetzung ihrer IIoT-Projekte einsetzen. Doch die Verdrahtung wird bei den enormen Möglichkeiten, die moderne Technologien heute bieten, irgendwann an ihre Belastungsgrenzen stoßen. Beispielsweise können moderne Sensoren unzählige Datenpunkte erfassen, sodass bei bestimmten Szenarien eine Verkabelung gar nicht mehr in Frage kommt. Nicht umsonst befassen sich immer mehr Unternehmen mit 5G und den Möglichkeiten, die diese Technologie für die vernetzte Produktion bietet.

image 37
Bild 1: Das Internet of Things – Immer mehr Unternehmen setzen auf das IoT und
die damit in Verbindung stehenden nahezu grenzenlosen Möglichkeiten der Vernetzung. 

Der Wandel von kabelgebundener Konnektivität zu Drahtlosverbindungen bedeutet aber immer auch eine gewisse Öffnung der Produktionsumgebungen nach außen. Ähnlich verhält es sich bei der zunehmenden Verschmelzung von IT und OT (Operational Technology) – Bereiche, die vormals strikt getrennt waren. In diesem Kontext spielen auch immer komplexere, verwobene Supply Chains eine Rolle. Kurzum: Getrieben durch die Möglichkeiten moderner Technologie öffnen sich Produktionsumgebungen immer mehr nach außen, was nicht ohne Implikationen für die Sicherheit bleibt. 

image 33

gewisse Öffnung der Produktionsumgebungen nach außen. Ähnlich verhält es sich bei der zunehmenden Verschmelzung von IT und OT (Operational Technology) – Bereiche, die vormals strikt getrennt waren. In diesem Kontext spielen auch immer komplexere, verwobene Supply Chains eine Rolle. Kurzum: Getrieben durch die Möglichkeiten moderner Technologie öffnen sich Produktionsumgebungen immer mehr nach außen, was nicht ohne Implikationen für die Sicherheit bleibt. 

Die durchlässige Produktion entsteht 

Eine klassische Fabrikhalle kann man stark vereinfacht als Black Box beschreiben: Rohstoffe oder Halbzeuge werden angeliefert, auf der anderen Seite kommt das Endprodukt des Unternehmens heraus. Alle Prozesse innerhalb der Halle sind Betriebsgeheimnis und sollen von der Außenwelt möglichst abgeschirmt stattfinden. Anstatt einer derart abgeschotteten Produktion werden wir in Zukunft allerdings eher etwas sehen, das man als durchlässige Produktion beschreiben könnte. 

Um die Möglichkeiten der modernen Technologie praktisch zu nutzen, muss ein Informationsaustausch mit der Außenwelt möglich sein. Hierbei spielen diverse Faktoren eine Rolle, sei es Cloud Computing, Vernetzung entlang von Lieferketten, irgendwann vielleicht sogar Warenanlieferung mit autonomen LKW. Dieser gesamte Informationsaustausch muss natürlich abgesichert werden. Es geht um ein umfassendes, hierarchisches Sicherheitskonzept vom einzelnen Sensor bis in die Cloud. Fehler oder Nachlässigkeiten, die hier auf der Hardware-Ebene passieren, können später auf Software- oder Anwendungsebene nicht mehr ausgeglichen werden. Daher ist ein Vertrauensanker bereits auf der untersten Ebene entscheidend. Dieser wird auch als Root of Trust bezeichnet und bildet den Ausgangspunkt eines komplexen kryptografischen Systems, das Vertrauen schafft. 

Kryptografie auf der Hardware-Ebene 

Beim Stichwort Kryptografie mag man zunächst an die Verschlüsselung von Daten denken, doch kryptografische Methoden eignen sich auch zur Zuweisung eindeutiger und prüfbarer Identitäten im digitalen Raum. Das können digitale Identitäten von Menschen sein, aber auch Identitäten von Maschinen, Geräten, Fahrzeugen, Sensoren und so weiter. In einer durchlässigen vernetzten Produktion benötigt alles, was vernetzt ist, auch eine eindeutige Identität. 

image 36
Bild 2: Verschlüsselung ist das Kernelement einer vernetzten Produktion. Dabei geht es sowohl um die Verschlüsselung von Daten, als auch digitaler Identitäten von Mensch und Maschine um Fälschungssicherheit zu garantieren. 

Der Wandel von der abgeschotteten zur durchlässigen Produktion lässt sich mit dem Wandel von perimeterbasierten Sicherheitskonzepten zu Zero Trust in der allgemeinen IT-Sicherheit vergleichen. Als die Rechner noch alle im Büro standen und mit Kabeln an das Netzwerk angeschlossen waren, konnte man noch sinnvoll zwischen dem sicheren Firmennetzwerk und dem potenziell unsicheren Außen des öffentlichen Internets unterscheiden. Heute, wo Remote Work immer wichtiger wird und Clouds sowie unzählige mobile Geräte im Einsatz sind, ist dieses Konzept obsolet. Stattdessen wird nun verstärkt auf Zero Trust gesetzt, was bedeutet, dass kein Nutzer und kein Gerät mehr per se als vertrauenswürdig gilt, sondern stets authentifiziert werden muss. 

In einer durchlässigen Produktionsumgebung verhält es sich ähnlich, mit dem Unterschied, dass hier auch die Authentifizierung kleinster Einheiten (bis hin zum einzelnen Sensor) automatisiert möglich sein muss. Für diesen Zweck eignet sich eine Public Key Infrastruktur (PKI). Die privaten Schlüssel innerhalb dieses Systems bilden letztendlich die Root of Trust. 

Private und öffentliche Schlüssel 

Die PKI basiert auf dem Prinzip der asymmetrischen Kryptografie: das bedeutet, es wird nicht derselbe Schlüssel für das Ver- und Entschlüsseln verwendet. Stattdessen existiert ein Paar aus einem privaten und einem öffentlichen Schlüssel. Das heißt, dass es für die Sicherheit des Verfahrens ausreichend ist, wenn der private Schlüssel geheim bleibt. Die Verbindung zwischen den beiden wird über schwer umkehrbare mathematische Operationen hergestellt, sodass es nicht mit sinnvollem Aufwand möglich ist, den privaten aus dem öffentlichen Schlüssel zu errechnen. 

Dieses Verfahren kommt bereits in vielen Bereichen zum Einsatz, etwa bei elektronischen Signaturen, mit denen digitale Dokumente unterzeichnet werden oder bei den digitalen Impfnachweisen mittels QR-Code. 

Bei der Identitätsprüfung von vernetzten Geräten könnte es folgendermaßen eingesetzt werden: Bereits bei der Produktion wird jedes Gerät mit einem elektronischen Zertifikat versehen, das mithilfe eines geheimen privaten Schlüssels erstellt wurde. Dies garantiert Fälschungssicherheit. Das elektronische Zertifikat enthält nun eine eindeutige digitale Identität des Geräts, anhand derer Berechtigungen für dieses Gerät vergeben werden können. Die Prüfung der Identität kann ganz einfach durch den öffentlichen Schlüssel erfolgen. Das hat wiederum den Vorteil, dass die Prüfung entlang des gesamten Produktlebenszyklus von verschiedenen Parteien durchgeführt werden kann – etwa bei Wartung, Reparatur oder Weiterverkauf vernetzter Geräte. 

image 35
Bild 3: Identitäten müssen stets über alle Produktionskomponenten hinweg geprüft und gesichert werden. 

So stellt die Root of Trust sicher, dass keine gefälschte, kompromittierte oder anderweitig gefährliche Hardware in Ökosysteme gelangen kann. Auf dieser sicheren Basis können dann weiter Maßnahmen aufgesetzt werden, die die Absicherung von Kommunikationswegen und Daten betreffen. Auch hier kann das Root-of-Trust-Konzept wieder eine Rolle spielen: Datensätze können elektronisch signiert werden, um ihre Authentizität zu beweisen. Firmen nutzen beispielsweise umfassende IIoT-Daten, um Geschäftsentscheidungen zu optimieren und die Produktion zielgerichtet zu steuern. Die Absicherung dieser hoch sensiblen Daten im Unternehmensnetzwerk und beim Übergang in die Cloud ist ebenfalls geschäftskritisch. 

image 34

Der Schlussstein moderner Kryptografie 

Entfernt man aus einem Gewölbe den zentralen Schlussstein, fällt das ganze Gebilde in sich zusammen. Ähnlich verhält es sich bei der asymmetrischen Kryptografie mit den privaten Schlüsseln. Sobald diese nicht mehr geheim sind, ist das gesamte System hinfällig. Das hat zwei Implikationen: Zum einen darf der Zugriff auf die Schlüssel für Unbefugte nicht möglich sein, zum anderen müssen Algorithmen, die die Beziehung zwischen privatem und öffentlichem Schlüssel herstellen, so komplex sein, dass sie nicht gebrochen werden können. 

Bei beiden Aspekten spielen Hardware-Sicherheitsmodule (HSM) eine wichtige Rolle. Dabei handelt es sich um speziell geschützte Komponenten, die nur autorisiert zugänglich sind. Werden HSM als Root Authority für PKI genutzt, bedeutet dies, dass dort private Schlüssel verwahrt werden, die sogar physisch vom restlichen IT-System getrennt sind. Dadurch werden Angriffe von außen nahezu unmöglich gemacht. 

Um komplexe vernetzte Produktionsumgebungen abzusichern, sollte man das Pferd von hinten aufzäumen und bereits bei der Hardware beginnen. Selbst die fortschrittlichste Anwendungssicherheit nutzt nichts, wenn das Gesamtsystem über kompromittierte Hardware angreifbar wird. Mit einer Root of Trust abgesicherte Hardware-Infrastruktur ist also im wahrsten Sinne des Wortes die Wurzel für sichere Produktionsnetzwerke – vom einzelnen Sensor bis in die Cloud. 

5GIIOTKryptografieRoot of Trustsichere digitale LieferkettenSmart FactorySupply Chaintransparente Produktion





Das könnte Sie auch interessieren

Anbieterportal

Premium

ORSOFT GmbH

04109 Leipzig
Abels&Kemmner
Premium

Abels&Kemmner

52134 Herzogenrath
Potsdam Consulting Advisory GmbH
Platinum

Potsdam Consulting Advisory GmbH

Leistungen

Services

Beratung

14057 Berlin
Premium

GFOS mbH

45141 Essen
Premium

GUS ERP GmbH

50933 Köln

alle Anbieter
Sharer Icon: facebookSharer Icon: TwitterSharer Icon: LindekInSharer Icon: XingSharer Icon: EnvelopeSharer Icon: Print

Wir verwenden Cookies, um die Nutzererfahrung stetig zu verbessern. Mehr Erfahren.

We use cookies to constantly improve our users’ experience. Learn more.

Essentielle Cookies

Essential Cookies

Cookie Settings
Speichert Einstellungen, die hier getroffen werden. (1 Jahr)

Cookie Settings
Saves selected settings. (1 Year)

Statistik

Statistics

Google Analytics | Google LLC | Datenschutz
Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert gespeichert. (2 Jahre)

Google Analytics | Google LLC | Privacy Notice
Cookie used by Google for web site analysis. Collects statistical data on how visitors use the website. This data does not contain personal information. (2 years)