Industrie 4.0 – Maschinen brauchen eine Identität

Menschen haben sowohl in der realen als auch in der digitalen Welt Identitäten, mit denen sie sich bei Kontrollen ausweisen, E-Mails verschicken und im Internet einkaufen können. Die Grundlage von Industrie 4.0 ist die Vernetzung von Maschinen – jede Maschine muss eindeutig und sicher identifizierbar sein. Genauso wie sich Anwender in Firmennetzwerken anmelden und ihre Benutzerberechtigungen zugewiesen bekommen, melden sich Maschinen in Produktionsumgebungen an und können so mit anderen Maschinen kommunizieren. Die Voraussetzung ist ein unternehmensweit verfügbares Identity und Access Management System, mit dem sowohl Anwender, als auch IT- Systeme und Maschinen authentifiziert und autorisiert werden können.

Von der Materialanlieferung, über die Bearbeitung und Produktion bis zur Fertigstellung und  Auslieferung: In einer modernen, vernetzten Produktion finden diese Schritte weitgehend autonom statt. Maschinen kommunizieren direkt miteinander – so meldet beispielsweise eine Bearbeitungsmaschine an das Lager, neue Ware zur Bearbeitung zu liefern. Die Voraussetzung dafür ist, dass die Maschinen untereinander kommunizieren können und das Hochregal „weiß“, von welcher Produktionsmaschine es die Anforderung von Nachschub entgegennehmen darf.

Industrie 4.0: In einer vernetzten Produktionsumgebung brauchen Maschinen eine digitale Identität

An diesem Beispiel wird deutlich, dass jede Maschine eine digitale Identität benötigt und über ein Rollen und Rechtemanagement weiß, mit welcher Maschine es kommunizieren darf. Sinnvollerweise findet Industrie 4.0 nicht nur im eigenen Unternehmen, sondern auch gekoppelt mit Partnerunternehmen und Lieferanten statt. Das schafft potenziell Angriffspunkte für Cyberattacken. Dies kann nur verhindert werden, wenn ein zentral verfügbares Identity und Access Management System die Identitäten sicher verwaltet und kontrolliert.

Industrie 4.0 benötigt digitale Maschinenidentitäten

Die Basis für das industrielle Internet der Dinge sind sichere digitale Maschinenidentitäten. Nur wenn sicher geregelt werden kann, welche Identität zu welchem Zeitpunkt auf welches System/Applikation/Daten Zugriff haben darf, können unautorisierte Zugriffe erkannt und verhindert werden. Was in vielen Unternehmen längst Einzug gehalten hat, muss auch im Bereich digitaler Maschinenidentitäten Anwendung finden. Dies ist eine der Kernaufgaben zentraler Identity und Access Management Lösungen, deren Anwendungsbereich auf Industrie 4.0 ausgedehnt werden muss. Moderne IAM Lösungen sind in der Lage, digitale Maschinenidentitäten (Identitäten, Zugriffsrechte etc.) zu verwalten. Gleiches gilt auch für das Logging und Auditierung.

Allerdings darf nicht übersehen werden, dass derzeit weniger als ein Viertel der deutschen Maschinen- und Anlagenbauer sichere Maschinenidentitäten in der Produktion einsetzen; dies ergab eine aktuelle Studie des IT-Branchenverbands Bitkom. Offensichtlich scheint vielen Unternehmen die Relevanz vernetzter Produktion noch nicht klar zu sein oder sie scheinen nicht genau zu wissen wie digitale Maschinenidentitäten verwaltet werden können.

Zentral verfügbares IAM-System im Kontext von Industrie 4.0

Moderne Identity und Access Management Lösungen unterstützen Sie beim Identitätsmanagement, Zugriffs- sowie Zugangsmanagement, Single Sign On (SSO), Nachverfolgung von Identitäten, Einhaltung von Compliance Richtlinien sowie bei der Verwaltung von Objekten in Directory Services.

Zuerst wird die digitale Maschinenidentität mit einem Identity & Access Management System eingerichtet und die entsprechenden Rechte vergeben. Anschließend werden dem Client (= der Maschine) die entsprechenden Attribute als JSON-Objekt bereitgestellt und mittels einer digitalen Signatur beglaubigt. Wenn eine Identität auf eine andere Maschine zugreifen möchte, werden sowohl die Signatur als auch die bereitgestellten Identitäten überprüft. Sind diese gültig, wird anhand der auf die Attribute anzuwendenden Sicherheitsregeln überprüft, ob der Zugriff auf die Ressource zulässig ist. JSON-Objekte können sowohl signiert als auch verschlüsselt werden – in beiden Fällen werden Zertifikate benötigt.

Identitäten durch Zertifikate belegen

Zentraler Bestandteil digitaler Maschinenidentitäten sind digitale Zertifikate. In der realen Welt bestätigt ein Zertifikat die Echtheit eines Schreibens, einer Urkunde oder eines amtlichen Bescheides. Im Kontext von Industrie 4.0 bestätigt ein Zertifikat die Echtheit einer digitalen Maschinenidentität. Technisch gesehen ist ein Zertifikat ein Datensatz, welcher alle Informationen zur Identität der Maschine enthält. Dies können Informationen sein, wo die Maschine steht und mit welchen anderen Maschinen oder Systemen diese interagieren darf. Entscheidend dabei ist, dass alle Angaben zur Identität durch kryptografische Mechanismen verschlüsselt und so vor Veränderungen geschützt sind. Last but not least kann die Identität mittels des Zertifikates jederzeit bei einem Vertrauensdiensteanbieter (Certificate Authority) und sicher überprüft werden kann.

Zertifikate erstellen

Das Ausstellen und die Verifizierung von Zertifikaten erfolgt in der Regel durch externe Zertifikatsstellen (früher: Trust Center). Prinzipiell können Unternehmen Zertifikate auch selbst ausstellen, allerdings hat dieser Ansatz seine Grenzen hinsichtlich Kosten und Zeit.

Zudem fehlt bei selbst ausgestellten Zertifikaten die Möglichkeit, die Zertifikate durch eine dritte, vertrauenswürdige Instanz zu validieren. Insofern finden selbst ausgestellte Zertifikate in der Kommunikation mit externen Partnern und Lieferanten eher selten Anwendung.

Das derzeit wohl prominenteste Beispiel für digitale Zertifikate ist die Certificate Authority (CA)  Let’s Encrypt. Zertifikate, die mittels Let’s Encrypt erstellt wurden, können problemlos validiert, verwaltet und deployed werden.

Maschine mit Identität

Sind die Zertifikate durch eine vertrauenswürdige CA erstellt und in das zentrale IAM-System eingebunden, sind Maschinen mit einer eindeutigen, jederzeit nachprüfbaren digitalen Identität ausgestattet und können mit anderen Maschinen kommunizieren und interagieren.