{"id":11266,"date":"2017-07-03T14:40:54","date_gmt":"2017-07-03T12:40:54","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11266"},"modified":"2017-06-27T09:54:28","modified_gmt":"2017-06-27T07:54:28","slug":"sichere-kommunikation-in-multi-vendor-und-verteilten-fertigungsumgebungen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11266","title":{"rendered":"Sichere Kommunikation in Multi-Vendor- und verteilten Fertigungsumgebungen"},"content":{"rendered":"<p>Autor\/Redakteur: <a href=\"https:\/\/www.globalsign.com\/de-de\/\">Nisarg Desai, Produktmanager IoT bei GlobalSign<\/a>\/gg<\/p>\n<p>Die Zeiten sind lange vorbei, als sich Industrie- und Produktionsunternehmen nur um die Sicherheit am physischen Standort k\u00fcmmern mussten. Inzwischen verwalten sie miteinander in einer Wertsch\u00f6pfungskette verbundene physische Komponenten und Cybersysteme. Vernetzte OT-Ger\u00e4te verkn\u00fcpfen Informationen mit IT-Systemen und tauschen diese Daten mit anderen Teilnehmern der Wertsch\u00f6pfungskette aus. Bei der Vielzahl der Systeme von unterschiedlichen Herstellern eine nicht ganz triviale Angelegenheit.<\/p>\n<p><!--more--><\/p>\n<p>Zuletzt auf der Hannover Messe im April dieses Jahres haben das Industrial Internet Consortium (IIC) und die Plattform Industrie 4.0 (I4.0) gemeinsam eine heterogene Sicherheitsumgebung simuliert, in der Produkte von mehr als 20 verschiedenen Firmen miteinander kommunizieren sollten. Ziel war es, zu zeigen wie disparate Systeme kommunizieren und Daten \u00fcber bereits existierende Produkte und Technologien austauschen k\u00f6nnen.<\/p>\n<p>Bestandteil der Demonstration war ein durchg\u00e4ngiges Security Event Monitoring. Dabei wurden die sicherheitsrelevanten Ereignisse entlang der kompletten Wertsch\u00f6pfungskette erfasst und gemeinsam genutzt. Alle teilnehmenden Firmen erhalten die f\u00fcr sie relevanten Events aus heterogenen Quellen und Systemen. Dazu wurden im Rahmen der Simulation Daten von entfernten und lokalen OT-Ger\u00e4ten (Sensoren) an ein Redirector-Gateway geschickt. Von dort wurden die Informationen an die Cloud oder lokale SIEMs (Event Monitore) gesendet, wo die Daten dann zum Auswerten bereitstehen oder auch um weitere Workflows auszul\u00f6sen.<\/p>\n<p>Das in der simulierten, verteilten Umgebung gemeinsame Security Event Monitoring umfasst folgende Bereiche und Funktionen:<\/p>\n<ul>\n<li>Security Events aus disparaten Systemen innerhalb der Wertsch\u00f6pfungskette werden von allen Teilnehmern der Kette erfasst und gemeinsam ausgesch\u00f6pft.<\/li>\n<li>Die Simulation st\u00fctzt sich auf bereits existierende Produkte und Technologien, die zeigen, wie Industrieunternehmen diese Art von L\u00f6sung schon heute umsetzen k\u00f6nnen, ohne dass sie Betriebsabl\u00e4ufe st\u00f6ren.<\/li>\n<\/ul>\n<p>Grundlegend daf\u00fcr ist eine Public Key Infrastructure. Sie sorgt daf\u00fcr, dass nur vertrauensw\u00fcrdige Systeme miteinander kommunizieren und Daten austauschen. Die PKI authentifiziert dazu die Datenquellen, sichert die Integrit\u00e4t der generierten Daten, verschl\u00fcsselt die \u00dcbertragung von Daten und anderen Mitteilungen und autorisiert schlie\u00dflich den Zugriff auf ein oder von einem Ger\u00e4t.<\/p>\n<p><strong>Vertrauensw\u00fcrdige Identit\u00e4t schaffen und sicher kommunizieren<\/strong><\/p>\n<p>Ein Gro\u00dfteil des transformativen Werts dieser verbundenen Wertsch\u00f6pfungsketten h\u00e4ngt davon ab welche Daten generiert werden und in welchem Umfang sie tats\u00e4chlich nutzbar sind. Dieser Prozess h\u00e4ngt entscheidend davon ab wie vertrauensw\u00fcrdig die Daten sind. Sind sie es nicht oder ist nicht ausreichend nachweisbar, dass sie es sind, verlieren sie ihren Wert. Das gilt ebenso f\u00fcr das Austauschen von Daten aus dem Security Event Monitoring. Die Datenquelle muss vertraulich sein und es muss sichergestellt sein, dass die Informationen bei der \u00dcbermittlung nicht kompromittiert wurden.<\/p>\n<p>Eine Methode, Probleme wie diese zu l\u00f6sen ist die Public Key Infrastructure (PKI), eine Methode, die sich in anderen Anwendungsfeldern bereits \u00fcber Jahre bew\u00e4hrt hat. Die Bereitstellung von PKI-basierten Identit\u00e4ten in Form von X.509-Zertifikaten f\u00fcr die unterschiedlichen Komponenten innerhalb der Wertsch\u00f6pfungskette stellt sicher, dass<\/p>\n<ul>\n<li>Sie der Quelle der Daten vertrauen k\u00f6nnen &#8211; Sie wissen, die Daten stammen aus einer autorisierten Quelle.<\/li>\n<li>die Daten vor Ver\u00e4nderungen bei der \u00dcbertragung gesch\u00fctzt sind &#8211; Sie wissen, die Daten sind korrekt.<\/li>\n<li>Daten nicht abgefangen werden &#8211; Sie wissen, die Daten, geistiges Eigentum, sind verschl\u00fcsselt und insofern sicher.<\/li>\n<\/ul>\n<p><strong>Und so funktioniert es in der Praxis<\/strong><\/p>\n<p><strong>\u00a0<a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/06\/1-1.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-11262\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/06\/1-1-300x231.png\" alt=\"\" width=\"300\" height=\"231\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/06\/1-1-300x231.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/06\/1-1.png 341w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/06\/2.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-11263\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/06\/2.png\" alt=\"\" width=\"229\" height=\"110\" \/><\/a><\/strong><\/p>\n<p>Eine Zertifizierungsstelle stellt Zertifikate f\u00fcr die einzelnen Komponenten innerhalb der Simulation aus \u2013 das sind die Ger\u00e4te, Gateways und SIEMs. Die Zertifikate stammen von zwei verschiedenen ausstellenden CAs &#8211; eine f\u00fcr das IIC und eine f\u00fcr die I4.0 &#8211; wobei GlobalSign hier eine emulierte Bridge-CA zur Verf\u00fcgung stellt, damit die beiden kommunizieren und ihren Zertifikaten gegenseitig vertrauen k\u00f6nnen. Dieses Setup zeigt wie ein bestehendes PKI-Setup verschiedener Hersteller, die Teil ein und derselben Wertsch\u00f6pfungskette sind, kompatibel wird. Und zwar noch w\u00e4hrend sie einer PKI-basierten Identit\u00e4t eines anderen Mitglieds vertrauen.<\/p>\n<p>Die Zertifikate werden dazu verwendet, jede Komponente des Systems zu identifizieren und zu authentifizieren. Das stellt sicher, dass nur autorisierte Ger\u00e4te und SIEMs Daten generieren und aussch\u00f6pfen. Die f\u00fcr jede Komponente bereitgestellten Zertifikate erm\u00f6glichen es zus\u00e4tzlich, die Daten\u00fcbertragungen zu verschl\u00fcsseln und solcherart vor Manipulationen zu sch\u00fctzen. Server, Gateways oder Kontrollsysteme k\u00f6nnen die Zertifikate nutzen, um Richtlinien f\u00fcr das Zugangsmanagement durchzusetzen. So steuern sie die Berechtigungsvergabe bei den einzelnen Ger\u00e4ten auf der Grundlage von PKI-Anmeldeinformationen.<\/p>\n<p><strong>Skalierung auf IIoT-Bed\u00fcrfnisse<\/strong><\/p>\n<p>Es liegt in der Natur der Sache, dass im industriellen Internet der Dinge sehr viele Zertifikate ben\u00f6tigt werden. Und das sehr schnell. Managed PKI-Plattformen, die in solchen Szenarien eingesetzt werden, geben \u00fcber 3.000 Zertifikate pro Sekunde aus. Diese gro\u00dfen Mengen bei einer hohen Ausgabegeschwindigkeit entsprechen den Anforderungen von Ger\u00e4teherstellern und OEM-Anbietern, die industrielle Systeme unterst\u00fctzen.<\/p>\n<p>Ein kurzes Video zur Demo findet sich hier: <a href=\"https:\/\/www.youtube.com\/watch?v=SYKYZ325Tz8\">https:\/\/www.youtube.com\/watch?v=SYKYZ325Tz8<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Autor\/Redakteur: Nisarg Desai, Produktmanager IoT bei GlobalSign\/gg Die Zeiten sind lange vorbei, als sich Industrie- und Produktionsunternehmen nur um die<\/p>\n","protected":false},"author":1,"featured_media":11262,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[1881,37],"tags":[177,9823,9822,9828,9827,9826,2983,9824,2541,9825,5263,9829,1426,9375,3320,9830,3351],"class_list":["post-11266","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-glosse","category-security","tag-ca","tag-fertigung","tag-globalsign","tag-i4-0","tag-iic","tag-it","tag-kommunikation","tag-multi-vendor","tag-oem","tag-ot","tag-pki","tag-security-event-monitoring","tag-siem","tag-simulation","tag-workflow","tag-x-509","tag-zertifikat"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11266","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11266"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11266\/revisions"}],"predecessor-version":[{"id":11267,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11266\/revisions\/11267"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11262"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11266"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11266"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11266"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}