Cybersecurity muss für jedes Industrieunternehmen oberste Priorität haben: nicht nur wegen der zunehmenden Bedrohung durch Cyberangriffe, sondern auch weil die Einhaltung von Sicherheitsvorschriften wie CRA (Cyber Resilience Act) und NIS2 wichtiger denn je ist.
Und alles beginnt mit dem Zertifikatsmanagement und der Public Key Infrastructure (PKI), die die grundlegenden Bausteine für die Umsetzung und Einhaltung von Cybersicherheitsvorschriften darstellen. Hier ein Blick auf das, was nötig ist.
Beweggründe und Herausforderungen der industriellen digitalen Transformation
Die Digitalisierung des Netzes der industriellen Betriebstechnik findet in diesem Moment statt. Überall öffnen Unternehmen bisher geschlossene Netzwerkumgebungen für die Welt der Cloud-Konnektivität und verteilten Dienste.
Das Industrienetz traditionell einer sehr klaren und strukturierten Kommunikationspyramide von der Feld- bis zur Unternehmensebene folgte, wird diese Kommunikation nun so weit geöffnet, dass jedes Teil und jeder Sensor mit jedem anderen Akteur im Dienstnetz kommunizieren kann.
Diese neue Verbindungsebene bietet aufgrund ihrer Flexibilität enorme Vorteile, wirft aber auch neue Fragen zu Sicherheit und Vertrauen auf. Daher ist es absolut notwendig, ein neues Sicherheitsparadigma für die Industrie 4.0 zu etablieren, bei dem die Sicherheit in jeden Schritt des Weges integriert ist. Mit einer soliden und robusten PKI (Public Key Infrastructure) als Grundlage für das Vertrauen in die Prozesse und Verfahren.
Der Stand der PKI-Normen und Vorschriften für die Industrie IoT
Bis vor kurzem glichen die Normen und Vorschriften für die notwendige PKI-Sicherheit für die Industrie IoT dem Wilden Westen. Aber glücklicherweise hat sich das in den letzten Jahren geändert. Und wir stehen gerade erst am Anfang.
Es gibt inzwischen mehrere Normen und Vorschriften für die Industrie IoT:
62443 IEC-Norm: Diese Norm bietet einen grundlegenden Rahmen für die Sicherheit und Funktionalität der Maschinen- und Komponentenfertigungsumgebung. Es handelt sich um einen sehr soliden Rahmen, auf den sich alle kommenden Verordnungen und Richtlinien stützen, da er klare Richtlinien in Bezug auf Produktentwicklung, Dienstleister, Betreiber, Maschinenbauer und was erforderlich ist, um ein bestimmtes Sicherheitsniveau zu erreichen, sowie welche Funktionen zur Umsetzung dieser Richtlinien erforderlich sind. Es ist wichtig zu erwähnen, dass PKI einer der Hauptbausteine dieser Norm ist.
Cyber Resilience Act, NIS2 und Maschinenrichtlinie: Diese EU-Verordnungen und -Richtlinien enthalten Anforderungen für Produkte mit digitalen Elementen, allgemeine Cybersicherheitsstandards und zeigen auf, wie das Vertrauen in digitale Technologien erhöht werden kann. Unternehmen müssen nun überlegen, wie sie diese Anforderungen innerhalb ihrer Infrastruktur erfüllen können.
IEEE 802.1 AR Secure Identity Standard: Dies ist ein älterer Standard, aber er bietet einen Leitfaden für die Ausstellung sicherer Geräte- und Maschinenidentitäten. Auf ihn wird in vielen anderen Normen verwiesen, z. B. in OPC 10000-12, das die Erkennung und globale Dienste regelt, einschließlich der Notwendigkeit eines integrierten Zertifikatsverwaltungsdienstes, und OPC 10000-21, das sich mit dem sicheren Onboarding von Geräten befasst.
RFC 8995 (BRSKI): Dieser Standard befasst sich mit dem Bootstrapping einer sicheren Remote-Key-Infrastruktur, die einen anderen Blickwinkel auf das sichere Onboarding von Geräten einnimmt, mit dem gleichen Ziel wie der OPC-Standard, Geräte so in ein Netzwerk einzubinden, dass Teams dem Netzwerk vor ihnen vertrauen können.
Da die 62443 IEC-Norm die Grundlage für alles andere bildet, ist es wichtig, genau zu verstehen, was sie beinhaltet. Dabei handelt es sich um eine Reihe internationaler Normen, die sich auf die Cybersicherheit für die industrielle Automatisierung und die Steuerungssystemumgebung konzentrieren. Sie teilt den Markt in den Komponentenhersteller, den Maschinenbauer und den Anlagenbetreiber auf, mit dem Ziel, eine vertrauensvolle und sichere Beziehung zwischen allen herzustellen.
Die Norm 62443 definiert mehrere Anforderungen, die erfüllt werden müssen, darunter Identifizierung und Zugangskontrolle, Nutzungskontrolle, Systemintegrität, Vertraulichkeit, Datenfluss und Verfügbarkeit. Letztlich müssen die Unternehmen PKI-Technologie einsetzen, um diese Anforderungen zu erfüllen. Sie benötigen beispielsweise eine ordnungsgemäße Identifizierung und Zugriffskontrolle, um Zertifikate ausstellen zu können, eine ordnungsgemäße Codesignierung und Over-the-Air-Update-Prozesse, um die Systemintegrität zu gewährleisten, und eine TLS -Verbindung, um die Vertraulichkeit der Daten zu wahren.
Der Standard sieht außerdem Sicherheitsstufen von null bis vier vor, die sich auf Hacking-Szenarien, Ressourcen, Fähigkeiten und Motivation stützen und die notwendigen Maßnahmen vorgeben, die ergriffen werden müssen. Ab Stufe 2, die ein einfaches Szenario für einen Hacker mit geringen Ressourcen, allgemeinen Kenntnissen und geringer Motivation abdeckt, wird PKI obligatorisch.
Mit PKI die Vertrauensbasis für digitale Identitäten schaffen
Wie genau kommen all diese Leitlinien in der Praxis zusammen? Letztlich sind digitale Zertifikate (verwaltet durch PKI) die Vertrauensgrundlage für die gesamte sichere Kommunikation.
Auf der Authentifizierungsseite wird durch die Aktivierung aller Komponenten mit Zertifikaten sichergestellt, dass nur authentifizierte Kommunikationsteile eine Verbindung zur OT-Umgebung herstellen und ein vertrauenswürdiges Kommunikationsnetz aufbauen können. Auf der Seite der Signierung sorgt die Signier- und Verschlüsselungsfunktionalität auf der Grundlage von X.509-Zertifikaten Schutz vor dem Abfangen von Daten für die gesamte Kommunikation, einschließlich software Updates, Over-the-Air-Updates und mehr.
Diese Anforderungen sind jedoch nur so gut wie die implementierte Technologie und Governance. Leider sind diese Implementierungen oft unzureichend. Viele Unternehmen haben beispielsweise Probleme mit selbstsignierten Zertifikaten, die nicht verwaltet werden und zu Ausfällen führen können. Diese Situationen können zu ernsthaften Schwachstellen führen.
Um das Problem zu verstehen, das sich dahinter verbirgt, muss man sich mit TLS befassen, das die Grundlage für viele Protokolle in der OT-Umgebung ist, um eine sichere Verbindung herzustellen. Dies geschieht in zwei Schritten:
- TLS Handshake: Authentifizierung des Kommunikationspartners durch Abfrage eines Zertifikats
- TLS aufzeichnen: Verwendet den symmetrischen Schlüssel, um einen sicheren Kommunikationskanal aufzubauen
Was aber, wenn Sie ein selbstsigniertes Zertifikat verwenden? Ein selbstsigniertes Zertifikat bedeutet, dass jemand ein Zertifikat selbst erstellt, ähnlich wie wenn Sie Ihren Namen auf ein Stück Papier schreiben und dieses bei der Grenzkontrolle als Ihren Pass vorlegen. Es gibt einfach keinen Identitätsnachweis und keine Grundlage für Vertrauen. Darüber hinaus ist das Ablaufdatum des Zertifikats völlig unkontrolliert, was eine weitere Herausforderung für die künftige Authentifizierung darstellt.
Ein ordnungsgemäß verwaltetes PKI-Programm löst dieses Problem, indem es eine vertrauenswürdige Infrastruktur mit den erforderlichen Grundeinheiten schafft:
- Ausstellung von digitalen Identitäten in Form von X.509-Zertifikaten
- Verknüpfung jeder Identität mit einem kryptografischen Schlüssel
- Überprüfung der Vertrauenswürdigkeit des Emittenten
Auf diese Weise entsteht eine vertrauenswürdige digitale Identität für Geräte und Einheiten wie Server und Komponenten. Da ein zentralisiertes PKI-Programm die Zertifikate ausstellt, können die Sicherheitsteams sie über ihren gesamten Lebenszyklus hinweg verwalten und nachverfolgen, so dass eine nahtlose Erneuerung möglich ist, wenn Zertifikate ablaufen oder gefährdet sind.
Die Zukunft von PKI und Zertifikaten für die Industrie IoT
Inzwischen gibt es mehrere Vorschriften und Richtlinien, die klare Standards für die Verwendung von PKI und X.509-Zertifikaten in der Industrie IoT und darüber hinaus geschaffen haben. Und wir werden in Zukunft noch mehr Standards sehen.
Vor diesem Hintergrund muss jedes Unternehmen, das in der Industrie tätig ist IoT , eine klare und zielgerichtete PKI-Strategie haben, die auf ihrem Anwendungsfall basiert und auf einer skalierbaren Infrastruktur aufbaut.
Keyfactor Command und EJBCA Unternehmen sind Beispiele für moderne PKI-Lösungen, die zur Unterstützung dieser Ausrichtung und Skalierbarkeit entwickelt wurden. Eine Version von EJBCA wird auch als open-source Lösung angeboten, die in einem umfangreichen GitHub-Repository verfügbar ist und eine Vielzahl von Beispielen, insbesondere für die industrielle Welt, für die Implementierung und Konfiguration von Zertifikaten für Geräte- und Maschinenidentitäten auf der Grundlage heutiger Standards bietet. Sie können auch Keyfactor in der Node-RED finden, wo Sie EJBCA Knoten in Ihrer Workflow-Engine verwenden können, um Ihre Workflows zu entwerfen und PKI-Verwaltungs- und Abrufmechanismen direkt in die Node-RED Workflow-Engine zu implementieren.
Schließlich hat sich Keyfactor vor kurzem einem neuen Projekt namens TrustPoint angeschlossen, mit dem Ziel, eine PKI-Lösung als open-source Stack für den Maschinen- und Anlagenbau zu entwickeln. Diese Lösung basiert auf der Erkenntnis, dass man insbesondere im Maschinenbau keine vollwertige PKI benötigt, sondern eher einen kleinen, dedizierten, offline verfügbaren Dienst, der Zertifikate in der Umgebung ausstellen und verwalten kann.
Möchten Sie mehr erfahren? Sehen Sie sich unser aktuelles Webinar über PKI und Zertifikate für die Industrie an IoT.
