Suchen

Expertenbeitrag

 Rostislav Markov

Rostislav Markov

Senior Consultant , Amazon Web Services

Serie: Konzeption & Aufbau einer IIoT-Lösung Weg frei für das reibungslose On-Boarding einer IIoT-Plattform

| Autor / Redakteur: Rostislav Markov und Kathleen deValk* / Sebastian Human

Die wöchentliche Serie zeigt die einzelnen Schritte bei der Entwicklung einer erfolgreichen IIoT-Plattform auf. In diesem neunten Teil besprechen wir die Einbindung von Kommunikations-Hardware.

Firmen zum Thema

Um Anlagen über eine IIoT-Plattfrom miteinander zu verbinden, benötigt zunächst jedes angeschlossene Gerät eine eindeutige Identifikation.
Um Anlagen über eine IIoT-Plattfrom miteinander zu verbinden, benötigt zunächst jedes angeschlossene Gerät eine eindeutige Identifikation.
(Bild: gemeinfrei / Pixabay )

Während der vorige Artikel verschiedene Alternativen zur Sensor-Integration beschrieb, beleuchtet der vorliegende Beitrag die notwendigen Voraussetzungen für die erfolgreiche Anbindung industrieller Geräte an eine IIoT-Plattform.

Hardware-IDs als optimale Geräteidentifikation

Zunächst benötigt jedes anzuschließende Gerät eine eindeutige Identifikation (ID). Dabei stellt sich die Frage nach einer sicheren Identifikationsnummer, die jeden eventuellen Missbrauch ausschließt. MAC-Adressen beispielsweise lassen sich relativ leicht fälschen.

Eine bessere Alternative bieten universelle 128-Bit-Zahlen gemäß Universally Unique Identifier (UUID). Noch sicherer aber sind Hardware-IDs, die in die Gerätefirmware eingebrannt sind. Denn ein großes Sicherheitsrisiko resultiert im IIoT durch Cyberangriffe mit massenhaft gefälschten Geräten, die entweder fehlerhafte Daten senden oder die Plattform durch extrem hohen Datenverkehr in die Knie zwingen wollen. Umso wichtiger ist es, bei der Auswahl des ID-Typus auf Fälschungssicherheit zu achten. Idealerweise werden die IDs gleich während der Herstellung anhand von Hardwareeigenschaften generiert, da solche IDs nur sehr schwer zu fälschen sind.

Notwendig sind eindeutige Geräte-IDs nicht nur aus Sicherheitsgründen, sondern auch für das Gerätemanagement: Nur durch eindeutige Identifikation kann die IIoT-Plattform beispielsweise den digitalen Zwilling beziehungsweise virtuellen Schatten-Container eines Geräts, beispielsweise in der AWS-Cloud, jederzeit mit den richtigen Daten versorgen.

Erfolgsfaktor Aktualität

Geräte mit vorinstallierter Software/Firmware benötigen beim Onboarding einen sicheren Weg zur Versionsaktualisierung, beispielsweise um Fehler zu bereinigen. Das kann etwa durch einen dedizierten Webdienst für die Firmware-Bereitstellung erfolgen. Zur automatischen Aktualisierung muss ein solcher Webdienst in die Firewall-Whitelist des betreffenden Kunden und Geräteeigners eingetragen werden. Als Alternative zum Webdienst ist auch die Aktualisierung über USB oder ein netzwerkbasiertes Konfigurationstool möglich.

Im Gegensatz zu Geräten mit SIM-Karte benötigt jedes nicht-DHCP-fähige Gerät vor dem Onboarding eine Basiskonfiguration mit den grundlegenden IP-Einstellungen wie IP-Adresse, DNS-Server, Standardgateway und Proxys. Bereitstellen lassen sich all diese Informationen wahlweise über einen Webserver im LAN, via FTP oder per USB-Stick. Die beiden letztgenannten Optionen gehen allerdings mit manuellem Aufwand für den Außendiensttechniker einher. Die Webserver-Variante wiederum setzt Portfreigaben voraus und erfordert entsprechende Sicherheitsmaßnahmen. Alternativ dazu kann die Basiskonfiguration auch hier mit einem netzwerkbasierten Konfigurationstool aufgespielt werden.

Sicherheitsrisiken minimieren

Sichere IIoT-Plattformen verlangen von angeschlossenen Geräten eine Authentifizierung durch ein gültiges Client-Zertifikat, das zuvor vom Cloud-Backend bereitgestellt wurde. Während der Integration neuer Sensoren muss die Cloud also entsprechende Zertifikate generieren und dem anzuschließenden Gerät übergeben. Ein noch höheres Sicherheitsniveau lässt sich durch Token erreichen, die innerhalb eines bestimmten Zeitraums nur für bestimmte Geräte-IDs gültig sind. Damit sinkt das Risiko, dass Cyberkriminelle während der Inbetriebnahme nicht-autorisierte und potenziell bösartige Geräte einschleusen. Generell lassen sich Client-Zertifikate sowohl zentral in der Cloud generieren als auch dezentral vom Außendiensttechniker erzeugen und anschließend in der Cloud registrieren.

Aus Sicherheitsgründen haben digitale Zertifikate nur eine begrenzte Gültigkeitsdauer. Sie müssen also regelmäßig – beispielsweise alle zwölf Monate – erneuert werden. Auf diese Weise verringert sich das Risiko von Cyberangriffen unter Verwendung gestohlener Zertifikate. Zu einer umfassenden Strategie bei der Integration neuer Sensoren gehört daher auch ein Konzept zur fristgerechten Erneuerung von Client-Zertifikaten. Dabei empfiehlt es sich, die Aktualisierung von Zertifikaten organisatorisch in das Update-Management für Konfigurations- und Firmware-Upgrades einzubinden.

Sofern sämtliche Geräte mit einer SIM-Karte für das 3G-, 4G oder das künftige 5G-Mobilfunknetz ausgestattet sind, kommen neue Anforderungen hinzu. So müssen SIM-Karten beim Onboarding neuer Geräte aktiviert werden. Zu beachten ist in diesem Zusammenhang, dass Mobilfunkunternehmen je nach Region unterschiedliche Optionen für die SIM-Karten-Konnektivität und ihre massenhafte Aktivierung anbieten. Je nach Mobilfunkanbieter variiert also auch die Aufgabenplanung der Außendiensttechniker vor Ort. Notwendig sind definierte Prozesse nicht zuletzt auch für den Austausch defekter Geräte, für das Außerbetrieb-Setzen von Altgeräten und die Neueingliederung zusätzlicher Clients.

Im nächsten und letzten Teil der Serie geht es noch etwas detaillierter um die Hardwarekomponenten für den Datenaustausch. Außerdem werden Aspekte beleuchtet, die bei der Nutzung von SIM-Karten zu beachten sind.

* Kathleen deValk arbeitet als Chief Architect Siemens MindSphere.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46487586)

Über den Autor

 Rostislav Markov

Rostislav Markov

Senior Consultant , Amazon Web Services