28.06.2024
Trustpoint als Vertrauensanker für industrielle Umgebungen
Trustpoint ist ein Forschungsprojekt, das darauf abzielt, die sichere Integration von Maschinen in digitalisierte und vernetzte industrielle Umgebungen zu ermöglichen. Ziel ist es, die IT-Sicherheit im industriellen Umfeld durch die Implementierung von digitalen Identitäten wesentlich zu erhöhen. Die zunehmende Vernetzung von Maschinen und Anlagen erhöht das Risiko von Cyber-Angriffen, weshalb robuste Sicherheitslösungen unerlässlich sind. In diesem Blogbeitrag liegt der Fokus insbesondere auf dem Thema Onboarding neuer Geräte, ein zentraler Aspekt für die Sicherheit und Effizienz industrieller Netzwerke.
Die Rolle von digitalen Identitäten in der Industrie
Digitale Identitäten sind ein zentraler Bestandteil moderner Sicherheitsarchitekturen und Protokolle wie OPC UA und IEC 62443. Sie ermöglichen die sichere Kommunikation, Authentifizierung und Integrität von Maschinen und Komponenten. Die Verwaltung dieser Identitäten stellt jedoch eine besondere Herausforderung dar, insbesondere in industriellen Umgebungen mit segmentiertenNetzwerken und eingeschränkter Konnektivität.
Onboarding: Neue Geräte effizient integrieren
Das Onboarding neuer Geräte ist ein kritischer Prozess bei der Verwaltung digitaler Identitäten in industriellen Netzwerken. Es stellt sicher, dass neue Maschinen und Komponenten sicher und effizient in bestehende Netzwerke integriert werden können. Trustpoint bietet hierfür sowohl automatisierte als auch benutzergeführte Lösungen an, um den unterschiedlichen Anforderungenund Gegebenheiten in industriellen Umgebungen gerecht zu werden.
Benutzergeführtes Onboarding
Das benutzergeführte Onboarding, auch User-driven Onboarding genannt, eignet sich besonders für Szenarien, in denen eine Automatisierung nicht vollständig möglich oder sinnvoll ist. Diese Methode ermöglicht es Administratoren, den Onboarding-Prozess manuell zu steuern und anzupassen, was insbesondere bei älteren oder heterogenen Infrastrukturen wichtig sein kann.
Vorteile des benutzergesteuerten Onboarding:
- Flexibilität: Benutzer können den Onboarding-Prozess an spezifische Anforderungen und Umstände anpassen.
- Kompatibilität: Besonders nützlich für die Integration von Legacy-Geräten, die möglicherweise nicht alle modernen Sicherheitsstandards unterstützen.
- Kontrolle: Administratoren behalten die volle Kontrolle über den Onboarding-Prozess und können jeden Schritt überwachen und validieren.
Automatisiertes Onboarding mit BRSKI
Neben dem benutzergeführten Onboarding arbeitet Trustpoint intensiv an der Implementierung von automatisierten Onboarding-Prozessen. Eine Schlüsseltechnologie in diesem Bereich ist das Bootstrapping Remote Secure Key Infrastructure (BRSKI), das in RFC 8995 beschrieben wird.
BRSKI im Überblick
BRSKI bietet einen weitgehend automatisierten Onboarding-Prozess, in welchem eine beidseitige Authentifizierung stattfindet. Die Echtheit eines neuen Geräts wird dabei über ein vom Hersteller aufgebrachtes digitales Zertifikat, eine sogenannte ‘Device Identity‘ nachgewiesen. Das Gerät hingegen fragt bei einem sogenannten Manufacturer Authorized Signing Authority (MASA) Service des Herstellers einen Voucher an. Mit diesem Voucher kann das Gerät nun prüfen, ob es sich um ein legitimes Netzwerk handelt und den Onboarding Prozess akzeptieren soll. Dieser Prozess umfasst die folgenden Schritte:
- Initiale Authentifizierung: Das neue Gerät kontaktiert einen Registrar-Dienst des Betreibers und stellt einen Voucher-Request, welcher Identitätsinformationen des Geräts beinhaltet. Dieser Request wird nun an den MASA-Dienst des Herstellers weitergeleitet. Wird der Request erfolgreich validiert, stellt der MASA einen Voucher aus. Dieser Voucher wird nun über den Registrar dem neuen Gerät übergeben.
- Authentifizierung des Geräts: Dem Registrar-Dienst sind die ‘Device Identities’ bekannt. Somit kann der Betreiber die Identität des Gerät validieren, bevor ein Voucher-Request an den MASA-Dienst weitergeleitet wird. Weiter ist dem MASA-Dienst bekannt welcher Kunde welche Registrar-Dienste betreibt sowie welche Geräte von diesem Kunden erworben worden sind. Über diese Beziehung validiert der MASA jeden Voucher-Request.
- Validierung des Netzwerks: Das Gerät validiert die Echtheit des Vouchers über eine Vertrauensbeziehung zum Hersteller. Da der Voucher Informationen über das TLS-Server-Zertifikat des Registrar-Dienstes beinhaltet, kann nun eine Authentifizierung des Netzwerks stattfinden.
- Inbetriebnahme: Der Betreiber der Industrieanlage empfängt das neue Gerät und muss dieses nur an sein Netzwerk anschließen.
- Voraussetzungen (Betreiber): Der Betreiber muss einen Registrar-Dienst für seine Netzwerkumgebungen bereitstellen.
- Voraussetzungen (Hersteller): Der Hersteller muss Device Identites auf seine produzierten Geräte aufbringen, sowie einen MASA-Dienst betreiben.
Vorteile von BRSKI
- Automatisierung: Reduziert den manuellen Aufwand und minimiert das Risiko menschlicher Fehler.
- Sicherheit: Nutzt starke kryptografische Methoden zur Authentifizierung und Validierung von Geräten.
- Effizienz: Ermöglicht die schnelle und sichere Integration einer großen Anzahl von Geräten, ohne nötige vorherige Provisionierung, was insbesondere in dynamischen industriellen Umgebungen von Vorteil ist.
Fazit
Trustpoint trägt entscheidend zur sicheren Digitalisierung der Industrie bei. Es bietet Lösungen für das Onboarding neuer Geräte, die sowohl benutzergeführte als auch automatisierte Prozesse umfassen. Mit dem Trustpoint Registrar und der fortschreitenden Implementierung von BRSKI wird eine sichere und effiziente Integration von Maschinen in industrielle Netzwerke gewährleistet. Trustpoint fungiert somit als Vertrauensanker, der die Grundlage für eine sichere und vernetzte industrielle Zukunft bildet.
Das Projekt Trustpoint ist im dritten Quartal 2023 mit einer Projektlaufzeit von drei Jahren gestartet worden. Das Projekt wird im Rahmen der Bekanntmachung KMUinnovativ vom Bundesministerium für Bildung und Forschung (BMBF) gefördert und von einem Konsortium aus verschiedenen Unternehmen und Forschungseinrichtungen getragen. Zu den Partnern gehören die PrimeKey Labs GmbH, die asvin GmbH, die achelos GmbH, die Hochschule Hamm-Lippstadt und das Centrum für Digitalisierung, Führung und Nachhaltigkeit Schwarzwald gGmbH.