Wie man Cyber-Resilienz für vernetzte Geräte schafft - ohne das Bestehende zu zerstören

Wenn Sie für die Sicherung der angeschlossenen Geräte im Feld verantwortlich sind - egal ob es sich um industrielle Sensoren, Steuerungen oder Gateways handelt - haben Sie diese Spannung wahrscheinlich schon einmal gespürt:

Wie können Sie die Sicherheit verbessern und neue Vorschriften wie den Cyber Resilience Act (CRA) erfüllen, ohne den Betrieb zu unterbrechen, die Firmware umzuschreiben oder ein Durcheinander an kryptografischen Tools zu verwalten?

Die meisten Unternehmen sind bereits damit überfordert, ihre Altsysteme online zu halten, ganz zu schweigen davon, sie im Hinblick auf Compliance, Vertrauen und Ausfallsicherheit zu aktualisieren.

In diesem Blog wird erläutert , was die CRA wirklich von Geräteherstellern, OEMs und Betreibern verlangt - und wie man mit skalierbarer PKI, Zertifikatsautomatisierung und Zero-Touch-Geräteorchestrierung darauf reagieren kann.

Sie werden lernen, wie man:

• Identifizierung von Lücken im Identitätsmanagement, in der Verschlüsselung und bei sicheren Aktualisierungen
• Aufbau von Cyber-Resilienz bei neuen und älteren Systemen
• Automatisieren Sie das Vertrauen in großem Umfang mit der Keyfactor + Symmera Lösung
• Und das alles , ohne die bestehenden Abläufe zu beeinträchtigen

Kommen wir zur Sache.

Was der Cyber Resilience Act für vernetzte Geräte bedeutet

Die CRA führt verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen ein, darunter alles von IoT für Verbraucher bis hin zu industriellen Steuerungssystemen. Hersteller und Betreiber müssen nun sicherstellen:

• Sicherheit durch Design wird in der Produktarchitektur umgesetzt
• Sichere software und Behandlung von Sicherheitslücken sind verfügbar
• Geräteidentität und Vertrauen können hergestellt und aufrechterhalten werden
• Sicherheit über den gesamten Lebenszyklus und Aktualisierbarkeit der Produkte, auch nach der Bereitstellung

In der Praxis bedeutet dies, dass die Art und Weise, wie Geräte eingebunden, aktualisiert, authentifiziert und geprüft werden, überdacht werden muss, insbesondere in fragmentierten oder ressourcenbeschränkten Umgebungen.

Gemeinsame Herausforderungen: Die Lücken aufspüren

Viele Organisationen stehen vor ähnlichen Hürden, wenn sie versuchen, diese Erwartungen zu erfüllen:

Vernetzung und Authentifizierung

• Die Konvergenz verschiedener IT- und OT-Unternehmensnetzwerke mit unterschiedlichen Einschränkungen und Konnektivität (z. B. Wireless, Ethernet)
• Authentifizierung von Geräten über sichere Transportprotokolle (z. B. SSL)
• Die Implementierung von Authentifizierungsworkflows und Zertifikatstypen variiert je nach Protokoll und Lebenszyklusphase des Geräts, von der Inbetriebnahme bis zur Außerbetriebnahme

Aufbau von Infrastrukturen für öffentliche Schlüssel (PKI)

• Integration mit einer öffentlichen PKI oder Bereitstellung, Konfiguration und Verwaltung einer privaten PKI
• Verwaltung unterschiedlicher domänenübergreifender PKIs in OEM-Fabriken und Produktionsumgebungen von Endbenutzern
• Unterstützung sowohl der serverseitigen als auch der clientseitigen Schlüsselgenerierung und Zertifikatsignierungsanforderungen (CSRs)

Lösungsentwurf und Implementierung

• Verhinderung von Dienstunterbrechungen aufgrund des Ablaufs von kurzlebigen Zertifikaten oder des Widerrufs von aktiven Zertifikaten, die aufgrund von Indikatoren für eine Kompromittierung oder aufgrund von Sicherheitsrichtlinienanforderungen verwendet werden.
• Elastisches Scale-up oder Scale-out in IoT, in denen Millionen von Geräten verschiedener Hersteller und unterschiedlicher Typen miteinander verbunden sind, erfordert eine erweiterbare Serviceplattform.
• Allgegenwärtigkeit bei ressourcenbeschränkten Brownfield- und Greenfield-Geräten mit wenig verfügbarem Codespeicher und Datenspeicherplatz
• Die Implementierung komplexer Zertifikats- und Schlüsselverwaltungs-Stacks auf Geräten der IoT kann umfangreiche Überarbeitungen erfordern, und die Vielfalt der zugrundeliegenden Transportprotokoll-Bibliotheken führt zu technischen Herausforderungen.
• Späte Bereitstellung von Geburts- und Beitrittsbescheinigungen in der Fabrik, um den Vorrat an Vorbestellungen und die Wahrscheinlichkeit abgelaufener Bescheinigungen in den Sendungen zu verringern, oder Just-in-Time-Vorabbereitungen durch Endbenutzer, die Zero-Touch-Methoden für Skalierbarkeit und Automatisierung benötigen, um menschliche Fehler zu reduzieren.

Produktdesign

• Geräteidentifizierung mit unveränderlichen und überprüfbaren Identifikatoren
• Schutz von kryptografischen Artefakten auf autonomen Feldgeräten für Nichtabstreitbarkeit und Klonerkennung.
• Cyberrisiken durch schwache oder ungeschützte lokale Schlüssel und Vertrauensspeicher.
• Ausnutzung von ungeschützten Zertifikaten und privaten Schlüsseln durch nicht autorisierte Anwendungen.

Verwaltung des Lebenszyklus von Geräten und Zertifikaten

• Geräteerkennung und sicheres Onboarding im großen Maßstab
• Automatisiertes Lebenszyklusmanagement von kryptografischen Artefakten auf IoT
• Sichere Verteilung von Inhalten an heterogene Geräte mit Signaturmanifest für geprüftes Vertrauen
• Sammeln von Gerätedaten für operative Intelligenz und Risikomanagement

Die Bewältigung dieser Herausforderungen ist von entscheidender Bedeutung. Erstens, um die strengen Anforderungen des Cyber Resilience Act zu erfüllen, und zweitens, um eine skalierbare, zuverlässige Grundlage für Gerätesicherheit zu schaffen, die mit den wachsenden IoT und OT-Ökosystemen Schritt hält.

Aufbau einer cyber-resilienten Architektur: Wo soll man anfangen?

Um eine skalierbare Cyber-Resilienz aufzubauen, müssen Unternehmen drei Säulen schaffen:

1. Vertrauenswürdige Geräteidentität mit PKI. PKI bietet die Grundlage für Geräteidentität und verschlüsselte Kommunikation.

• Verwendung digitaler Zertifikate für sicheres Onboarding und Vertrauensbildung
• Ausstellung von Geburts-, Beitritts- und Plattformzertifikaten in den verschiedenen Phasen des Lebenszyklus eines Geräts
• Unterstützung von Code Signing zur Sicherung der Firmware- und software

2. Verwaltung des Lebenszyklus von Zertifikaten (CLM). Ohne Transparenz und Automatisierung sind Zertifikate eine tickende Zeitbombe.

• Implementierung von CLM für die Bereitstellung öffentlicher und privater PKI
• Automatisieren Sie Ablaufwarnungen, Verlängerungen, Widerrufe und Prüfpfade
• Quantensichere Schlüsselverteilung und Verwaltung des Lebenszyklus von Zertifikaten
• Verringerung von Ausfällen, Minimierung menschlicher Fehler und Kontrolle des kryptografischen Bestands

3. Sichere, skalierbare Geräteorchestrierung. Die Geräteorchestrierung muss unter realen Bedingungen funktionieren, von der Cloud bis zur Fabrikhalle.

• Zero-Touch-Provisioning und späte Ausstellung von Zertifikaten, um die Auslieferung von abgelaufenen Berechtigungsnachweisen zu vermeiden
• Echtzeittransparenz im Feldbetrieb durch Metadaten auf Geräte- und Anwendungsebene, die für die Beobachtbarkeit und Fernsteuerung unerlässlich sind
• Verwaltung der software mit Inhaltsrisikoprüfung und Gated Workflows
• Unterstützung von Brownfield- und Greenfield-Systemen mit gemischten Anbietern und Ressourcentypen
• Integration mit SCADA-, SIEM- und AI/ML-basierten Analysesystemen , um digitales Vertrauen zu operationalisieren

Die Lösung von Symmera und Keyfactor : Praktisches Vertrauen in großem Maßstab

Die Distributed Intelligent Network (DIN)- Plattform von Symmera bietet eine SaaS-basierte Orchestrierungs- und PKI-Enablement-Lösung, die über öffentliche, private und Air-Gapped-Netzwerke hinweg funktioniert - ganz ohne Agenten.

Die wichtigsten Merkmale sind:

• Null-Codierung mit einem Endpunkt-Agenten oder command
• Geringer Programmieraufwand für die Integration mit nur 3-5 APIs auf jeder Plattform und in jeder Programmiersprache
• Automatisierung von der Herstellung bis zur Bereitstellung, sichere Updates und Transparenz
• Unterstützung für jeden Gerätetyp, einschließlich älterer und eingeschränkter Geräte
• Einhaltung von Normen wie CRA, IEC 62443, NIST 800-53, IEEE 802.1AR und anderen
• Interoperabilität mit jedem Betriebssystem, Chipsatz oder Kryptographie-Stack
• RESTful-Integration mit SCADA-, SIEM- und Asset-Management-Systemen

Durch die Integration von Symmera DIN mit der PKI- und Krypto-Agilitätsplattform von Keyfactor profitieren Unternehmen:

• Eine einheitliche Vertrauensschicht für IT- und OT-Umgebungen
• Quantenresistente Kryptographie für langlebige Geräte
• End-to-End PKI-as-a-Service und Code Signing ohne zusätzliche Komplexität
• Verteilung von Inhalten mit Manipulationssicherheit der Lieferkette
• Zuverlässige Datenerfassung mit datengestützten Erkenntnissen zur Verbesserung der betrieblichen Effizienz

Keyfactor + Symmera: Die 5 größten Vorteile in der Praxis

Diese kombinierte Lösung hilft:

• Verkürzung der Time-to-Market für sichere Produktbereitstellungen
• Beschleunigung des Produktdesigns und der Produktentwicklung zur Erfüllung von Compliance-Vorgaben
• Automatisieren Sie die Vertrauensbildung und die Durchsetzung von Richtlinien
• Vereinfachung gesetzlicher Prüfungen durch integrierte kryptografische Transparenz
• Senkung der Betriebskosten durch minimale interne Entwicklung oder Umstrukturierung, Zero-Touch-Onboarding und Remote Device Lifecycle Management

Schlussfolgerung: Cyber-Resilienz ist zum Greifen nah

Die Einhaltung von CRA-Vorschriften und die Sicherung vernetzter Geräte muss nicht bedeuten, dass Sie Ihre Infrastruktur neu erfinden müssen. Durch den Einsatz von PKI, Zertifikatsautomatisierung und Geräteorchestrierungsplattformen, die speziell für IoT und OT-Umgebungen entwickelt wurden, können Sie Risiken reduzieren und die digitale Transformation beschleunigen.

Es ist jetzt an der Zeit zu handeln - bevor Schwachstellen oder Lücken in der Einhaltung von Vorschriften zu Geschäftsunterbrechungen führen.

Mehr erforschen

• Besuchen Sie die Partnerschaftsseite von Symmera und Keyfactor
• Laden Sie das eBook zur Bereitschaft der CRA herunter, 5 Dinge, die Sie über die CRA wissen sollten
• Überblick über die DIN SaaS-Plattform von Symmera