Suchen

Dieser Beitrag ist im Rahmen des Themenspecials "Industrie 4.0" erschienen.

sponsored by

Identitätsmanagement Die Bedeutung von Maschinenidentitäten für die Industrie 4.0

| Autor / Redakteur: Jens Sabitzer* / Sebastian Human

Für uns ist es selbstverständlich, Menschen zweifelsfrei identifizieren zu können. In einer zunehmend vernetzten Industrielandschaft muss das aber auch für Maschinen gelten. Ein Überblick über die maschinellen Mitarbeiter hilft beispielsweise dabei, Produktionsausfällen vorzubeugen.

Firma zum Thema

Der Fingerabdruck unterscheidet Menschen – doch auch Maschinen müssen identifizierbar sein.
Der Fingerabdruck unterscheidet Menschen – doch auch Maschinen müssen identifizierbar sein.
(Bild: gemeinfrei / Unsplash)

Stellen Sie sich vor, sie sind ein Unternehmen, das Flaschen abfüllt. Da das Unternehmen schon länger eine Industrie-4.0-Strategie verfolgt ist On-Demand-Delivery problemlos umsetzbar. Große Bestellmengen sind unkompliziert bei ihnen anzufragen. Plötzlich streiken ihre Maschinen und Sie wissen nicht, warum.

Nach einem ausführlichen Scanning stellen Sie fest, dass ein digitales Zertifikat (eine Maschinenidentität) bei der Steuerungskonsole einer Abfüllanlage abgelaufen ist und diese streikt. Nachdem das Zertifikat ausgetauscht wurde, können die Maschinen wieder miteinander kommunizieren und die Produktion läuft wieder an. Das Problem ist jedoch, dass der Auftrag aufgrund der Verzögerung und der Problembehebung nicht rechtzeitig gestemmt werden konnte. Sie verlieren in der Folge eine Menge Geld. Hier stellt sich die Frage, ob es nicht sinnvoll ist, bereits vorab und kontinuierlich alle Maschinenidentitäten zu überprüfen.

Predictive Maintenance nimmt besonders mit der steigenden Anzahl vernetzter Geräte in der Industrie an Bedeutung zu. Die Fernwartung von Maschinenparks wird durch die Vernetzung der Steuerungen und die Kommunikation über branchenübliche Protokolle erleichtert und gefördert. Dies jedoch erfordert die Einführung von Kontrollmechanismen wie an dem Beispiel aufgezeigt.

Den Überblick behalten

Neben der Kommunikation zwischen Geräten, Anwendungen, Cloud Services und Algorithmen muss zukünftig auch künstliche Intelligenz und Robotik berücksichtigt werden. Alle Maschinen und Roboter, die sich selbst via Machine Learning weiterbilden und ständig mit anderen Geräten kommunizieren müssen, benötigen dafür Maschinenidentitäten. Die Zahl der zu schützenden Maschinen steigt daher exponentiell mit der Zunahme an IIoT-Geräten. Dies ist besonders durch das Bedürfnis nach effektiven Werkzeugen in der Industrie bedingt.

Vor allem in der OT muss man erkennen, wo Maschinenidentitäten vorzufinden sind. Dazu ist ein vollständiges Inventar erforderlich. Effektive Schutzmaßnahmen sind nur dann möglich, wenn eine vollständige Sichtbarkeit und kontinuierliche Beobachtung aller Assets über das gesamte Unternehmen hinweg gewährleistet sind.

Die Inventarisierung und das lückenlose Life-Cycle-Management stellen sicher, dass alle Sicherheitswerkzeuge eine ständig aktualisierte Liste aller relevanten kryptographischen Schlüssel und digitalen Zertifikate führen, die sie zur Überprüfung des verschlüsselten Datenverkehrs benötigen. Diese Analyseprozesse sind im Normalfall Routinevorgänge. Sie lassen sich automatisieren und es existieren bereits ausgereifte Plattformen. Diese Lösungen können das OT-Netzwerk scannen und den Status von Zertifikaten beziehungsweise die Anzahl an Maschinenidentitäten feststellen.

„Personalausweis“ für Maschinen benötigt?

Die Notwendigkeit begründet sich darin, dass Maschinenidentitäten, auch wie beim Menschen, bestimmte Merkmale besitzen, damit sie sich voneinander unterscheiden und sicher miteinander kommunizieren können. Digitale Zertifikate und kryptografische Schlüssel bilden die Basis. Hier werden diese Besonderheiten in Form von Informationen gespeichert. Somit wird sichergestellt, dass sich Maschinen gegenseitig identifizieren und Zugriff auf andere Systeme, Datenbanken, APIs und vieles mehr gewähren können. Heutzutage ist ein vielfacher Datenaustausch zwischen Systemen alltäglich.

Inventarisierung von Maschinenidentitäten

Die erste Herausforderung für Unternehmen stellt zunächst ein einheitliches Inventar aller Maschinenidentitäten dar. Oftmals besteht kein Wissen darüber, welche Schlüssel und Zertifikate im Netzwerk wo genau im Einsatz sind. Ohne eine Übersicht aller Maschinenidentitäten, die zur Sicherung des Datenverkehrs einer Organisation benötigt werden, kann man einen effektiven Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller Systeme nicht gewährleisten. Beim Schutz von Benutzern, also menschlichen digitalen Identitäten, ist die Notwendigkeit eines einheitlichen Inventars heute Standard, für Maschinenidentitäten wird dies jedoch noch häufig vernachlässigt.

Allerdings war das noch nicht immer so. Bevor einheitliches Identity & Access Management (IAM) und Verzeichnisdienste zum Einsatz kamen, wurden Benutzerkonten häufig auf mehreren Systemen manuell verwaltet. Eine zentrale Instanz, um diese auf allen Systemen zu sperren, das Kennwort zu ändern oder Berechtigungen zu entziehen, komplexe Kennwortrichtlinien durchzusetzen und Kennwörter bei Bedarf zu rotieren, ist nun überall gang und gäbe.

Das Sicherheitsbewusstsein für Maschinenidentitäten steht jedoch noch am Anfang. Und dazu gehört unter anderem die Notwendigkeit eines zentralen Inventars aller Maschinenidentitäten. Natürlich sind die Funktionen nicht identisch zu denen, die bei Benutzerkoten angewendet werden, sie sind jedoch nicht minder wichtig. So ist beispielsweise die sichere Schlüsselerzeugung von elementarer Bedeutung und besonders im IoT-Umfeld in der Umsetzung einigen Hürden vorausgestellt. Oftmals sind die kryptografischen Prozesse zu leicht zu entschlüsseln. Aber nicht nur für IoT-Geräte ist dies eine Herausforderung.

Frühwarnsystem zum Schutz aller Identitäten

Ist ein Fehler aufgetreten, benötigt es eine Software, die sämtliche Assets scannt und ermittelt, ob ein Zertifikat abgelaufen ist und welche Maschinen davon betroffen sind. Denn bereits ein abgelaufenes Zertifikat kann die Berechtigungen einschränken und schlussendlich die Produktionskette stoppen. Das Problem hat zumeist nicht das System auf welchem das Zertifikat abgelaufen ist, sondern meist vielmehr alle anderen, die mit diesem System kommunizieren.

Eine Software, die automatisierte Prozesse verwendet, ist hier sinnvoll. Das vermeidet menschliche Fehler. Die kontinuierliche Überwachung des Maschinenparks ist Grundvoraussetzung, um Frühwarnsysteme zu installieren. Dabei werden die Zertifikate regelmäßig darauf überprüft, ob sie in naher Zukunft ablaufen. Auch sollte das System sämtliche Maschinenidentitäten verwalten und automatisch ersetzen, sobald dies notwendig wird.

Auch die Notwendigkeit, Maschinenidentitäten zu verlängern, bevor sie ablaufen oder diese aus anderen Gründen auszutauschen, muss in einem zentralen Inventar angezeigt werden. Darüber hinaus muss klar sein, welcher Administrator für den Austausch verantwortlich ist. Dasselbe gilt für Eskalationsvorgänge für den Fall, dass automatische Erneuerungsprozesse aufgrund von Fehlkonfiguration, Änderungen in der Infrastruktur oder Ähnlichem nicht stattfinden können. In allen Fällen stellt ein zentrales System sicher, dass Unternehmen gegen Vorfälle, ausgelöst durch Probleme bei Maschinenidentitäten, geschützt werden.

Interne sicherheitstechnische und organisatorische Anforderungen bestehen, auch wenn bislang die Angriffsszenarien mit kompromittierten Zertifikaten punktuell waren. Denn die neue Generation der Cyberkriminellen setzt auf Schwachstellen in diesem Bereich. Daher ist es notwendig, dass sowohl bestehende als auch neue Produktionslandschaften diese Anforderungen umsetzen.

Fazit

Produktionsausfälle und damit verbundene Kosten beziehungsweise Imageschäden lassen sich proaktiv vermeiden. Dazu ist es notwendig, im Vorhinein zu agieren.

Softwarelösungen können dabei helfen, alle Maschinenidentitäten zu ermitteln, zu verwalten und deren unbekannten Ablauf zu verhindern. Automatisiert werden sie vor dem Ablaufdatum aktuell gehalten. Auf diese Weise können Ausfälle und plötzlicher Stillstand, verbunden mit teuren und aufwändigen manuellen Wartungsarbeiten, in der Produktion verhindert werden.

* Jens Sabitzer arbeitet als Solution Architect bei Venafi.

(ID:46487259)