Digitale Identitäten für Menschen sind mittlerweile weit verbreitet. Doch Identitäten für Maschinen? Ja! Auch Maschinen benötigen eine Identität. Die Welt wird im Zuge der Digitalisierung immer komplexer. Vor allem Automatisierung und KI sind Themen, die uns heute schon begleiten und immer präsenter werden. Sie bieten Risiken, aber gleichzeitig auch große Chancen für Effizienz und Nachhaltigkeit. Vor allem das produzierende Gewerbe strebt mit der Industrie 4.0 eine neue Revolution an, die Vieles verändern wird. Die automatisierte Produktion und die damit verbundene Kommunikation der Maschinen wird dort im Vordergrund stehen. Daraus ergeben sich neue Herausforderungen für IT-Spezialisten, die Maschinen und deren Kommunikation vor Cyberangriffen absichern müssen. Genau hier kommen Maschinenidentitäten ins Spiel. In diesem Artikel wird erklärt, wieso Maschinen eine Identität benötigen und wie sich diese sicher authentifizieren und verwalten lässt.
Warum benötigen Maschinen eine Identität?
Erhöhte Effizienz und Nachhaltigkeit
Das produzierende Gewerbe setzt im Zuge der Industrie 4.0 und der Nachhaltigkeit immer mehr auf Automatisierung und digitale Technologien. Der Kerngedanke dabei ist, dass Maschinen untereinander vernetzt sind, miteinander kommunizieren und so automatisiert Aktionen durchführen. Dabei übernehmen Maschinen immer mehr die Rollen und Aufgaben von Menschen und müssen deshalb ähnlich geschützt werden. Maschinen dienen beispielsweise als Impulsgeber, indem sie Temperaturen messen, die sie dann an andere Maschinen weitergeben. Diese führen daraufhin Aktionen aus. Zuvor waren diese Impulsgeber Menschen. Damit alle Aufgaben korrekt von den Maschinen ausgeführt werden, werden deren Berechtigungen und Aktionen ganz genau mithilfe von Policies festgelegt.
Durch die Automatisierung soll beispielsweise die Auslastung von Maschinen besser geplant werden oder es werden mithilfe von Algorithmen optimale Lieferwege für die Logistik berechnet. Dadurch sollen Effizienz und Produktivität deutlich erhöht werden, was die Nachhaltigkeit der Unternehmen verbessert. Diese Thematik basiert unter anderem auf dem Internet der Dinge oder Internet of Things (IoT). Dies ermöglicht, dass sich eindeutig identifizierbare physische und virtuelle Objekte miteinander vernetzen.
Industrie 4.0
Die Industrie 4.0 läutet eine neue Epoche der Industrie ein. Seit den 1970er Jahren zogen Desktop PCs, die Robotik und computergestützte Automatisierungen in den Arbeitsalltag vieler Unternehmen ein und veränderten somit nachhaltig die Produktion und die Arbeitsweise. Mit der Industrie 4.0 steht nicht mehr der Computer im Mittelpunkt der Technologie, sondern die Vernetzung und Selbststeuerung von Maschinen. Maschinen steuern sich intelligent und selbständig, weil sie beispielsweise “wissen” wie viele Teile noch im Lager sind und dann eigenständig neue bestellen.
Maschinen sind in diesem Kontext nicht zwingend klassische Produktionsmaschinen. Man versteht unter dem Begriff auch Anwendungen, Software IOT Devices oder Server. Damit diese automatisch interagieren und funktionieren, müssen Maschinen eindeutig identifizierbar sein und sich gegenseitig vertrauen. Dazu benötigt jede Maschine eine eigene digitale Identität.
Um die Kommunikation abzusichern, müssen drei Hauptfaktoren gegeben sein:
- Authentizität
- Verbindlichkeit
- Integrität
Bei der Authentizität geht es darum, nachzuvollziehen, mit welchem Gerät der Kommunikationsfluss stattgefunden hat, d.h. es muss sichergestellt werden, dass beide Geräte die sind, die sie vorgeben zu sein. Bei der Verbindlichkeit geht es darum, dass mit dem richtigen Gerät kommuniziert wird. Die Integrität dient dazu, dass Daten vertraulich übermittelt und nicht manipuliert werden.
Maschinenidentitäten – Sicherheit hat Priorität
Warum müssen Maschinenidentitäten geschützt werden?
Der Schutz von digitalen Identitäten – egal ob menschliche oder maschinelle – ist ein hochgradig relevantes Thema für die heutige Geschäftswelt. Identitäten haben Zugriffsrechte auf verschiedene Daten und Anwendungen, die gerne von Cyberkriminellen ausgenutzt werden. Vor allem Administrationsidentitäten geraten häufig ins Visier von Hackern, da sie dadurch Zugang zu zentralen Informationen und Schnittstellen bekommen. Somit können Daten ausspioniert, gestohlen oder manipuliert werden, was einen enormen Schaden verursacht. Auch Maschinenidentitäten greifen genau wie Menschen auf kritische Systeme und Daten zu und müssen deshalb genauso geschützt werden.
Offizielle Identitäten durch Zertifikate
Maschinen besitzen genau wie Menschen eindeutige Merkmale, an denen sich deren Identität festmachen lässt. Um die Echtheit einer Maschinenidentität zu beweisen, werden Zertifikate ausgestellt. Solch ein digitales Zertifikat ist technisch betrachtet ein elektronischer Datensatz, der Identitätsinformationen der Maschine enthält (wo befindet sie sich, was macht sie etc.). Ein gängiges Zertifikat ist in diesem Zusammenhang das X.509-Zertifikat, was einen wichtigen Pfeiler der IT-Sicherheit darstellt, weil es die Realisierung der Public Key Infrastruktur ermöglicht. Um für erhöhte Sicherheit zu sorgen, sind alle Identitätsangaben durch kryptografische Verschlüsselungsmechanismen vor Veränderungen geschützt. Die Zertifikate werden von einer unabhängigen externen Partei, einer Certification Authority ausgestellt und bestätigt. Diese unterliegen strengen Sicherheitsvorschriften und Haftungsregelungen, was die Echtheit und Authentizität der Zertifikate noch erhöht. Zertifikate sind vor allem wichtig, um eine Vertrauensbasis mit Partnern und externen Dienstleistern herzustellen. So können diese sicher sein, dass alle Maschinen eine zertifizierte digitale Identität besitzen.
Public Key Infrastructure
Die Public Key Infrastructure (PKI) ist ein System zur Ausstellung, Verteilung und Prüfung von digitalen Zertifikaten. Diese Zertifikate dienen als Absicherung rechnergestützter Kommunikation. Dabei wird ein asymmetrisches Verschlüsselungsverfahren bestehend aus einem generierten Schlüsselpaar (öffentlicher und privater Schlüssel) verwendet. Es wird ein Wurzelzertifikat (Root-Zertifikat) mit zugehörigem Schlüsselpaar von einer Certificate Authority erstellt. Dieses Wurzelzertifikat gilt als Vertrauensanker und autorisiert mit der Signatur des privaten Schlüssels alle weiteren Zertifikate.
Mit dem Erstellen der Zertifikate ist es allerdings noch nicht getan. Maschinen müssen sich authentifizieren, um auf Systeme zugreifen zu können. Außerdem müssen Maschinenidentitäten immer überwacht und kontrolliert werden. So wird für jede Maschinenidentität festgestellt, ob sie noch den Sicherheitsrichtlinien entspricht (Updates, Berechtigungen etc.). Außerdem können so Manipulationen frühzeitig erkannt und ein Schaden verhindert werden. Das Managen der Zertifikate und Maschinenidentitäten kann als fortlaufender und skalierbarer Prozess verstanden werden, der für Unternehmen essenziell ist.
Schutz durch gegenseitige Authentifikation
Mithilfe von digitalen Identitäten sollen Maschinen nicht nur eindeutig zuordenbar sein, sie sollen sich auch gegenseitig authentifizieren können. Dies geschieht beispielsweise mit mTLS (Mutual Transport Layer Security), einem Verschlüsselungsprotokoll. Darüber wird sichergestellt, dass Maschinen nur auf die nötigen Daten Zugriff haben und Informationen nur an autorisierte Maschinen weitergeben. Dies ist wichtig, weil im Zuge der Industrie 4.0 nicht mehr der Mensch der Impulsgeber für Aktionen ist, sondern Maschinen selbst. Eine Maschine ist z.B. dafür zuständig mittels eines Sensors die Temperatur zu messen und diese Informationen an eine weitere Maschine weiterzugeben. Diese führt basierend auf diesen Daten eine Aktion aus, die den weiteren Kreislauf der Produktionskette beeinflusst. Deshalb müssen sich beide Maschinen gegenüber der jeweils anderen authentifizieren, um sicherzugehen, dass die Informationen von der richtigen Maschine an die entsprechende Stelle weitergegeben werden.
Bereit für Dein neues IAM System?
Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!
Authentifizierung und Verwaltung mit Identity und Access Management Systemen
Identity und Access Management Systeme dienen grob gesagt dazu, Benutzer und Identitäten und deren Berechtigungen zu verwalten. In Form von Rollen oder Policies wird festgelegt, welcher Nutzer auf welche Bereiche und Daten des Unternehmens zugreifen darf. Diese Berechtigungen können übersichtlich überwacht und flexibel entzogen oder hinzugefügt werden. IAM Systeme sind deshalb ein wichtiger Bestandteil einer ganzheitlichen IT-Sicherheitsstrategie in Unternehmen.
Volle Kontrolle behalten mit IAM
Moderne IAM Systeme erweitern ihren Anwendungsbereich auf die Industrie 4.0, indem sie sich für die Verwaltung und Authentifizierung von Maschinenidentitäten nutzen lassen. Die Verwaltung der Maschinenidentitäten ist ein zentraler Punkt, der auf keinen Fall vernachlässigt werden sollte. In Unternehmen existieren unzählige Maschinenidentitäten mit dazugehörigen Zertifikaten, die überwacht und überblickt werden müssen. Ohne hilfreiche Softwarelösung ist dies schlichtweg unmöglich.
Die Maschinenidentitäten werden wie andere Identitäten auch als Account in einem Identity und Access Management System angelegt. In den Account werden die Zertifikate eingepflegt und sämtliche Berechtigungen verwaltet. Technische Identitäten haben somit immer einen Owner, also eine menschliche Person, die für die Maschinenidentität zuständig ist. Das hat den Vorteil, dass es immer einen festen Ansprechpartner gibt, der für die Berechtigungen der Maschinen verantwortlich ist und der im Falle einer Manipulation eingreifen kann. Mithilfe des IAM Systems kann zu jeder Zeit transparent nachverfolgt werden, welche Maschine mit wem kommuniziert und auf welche Daten, Systeme oder Applikationen Zugriff hat. Somit können unautorisierte Zugriffe sofort erkannt werden.
Häufig ist es notwendig, dass auf gewisse Ereignisse schnell reagiert werden muss, um einen großen Schaden zu verhindern. Wenn Hersteller beispielsweise bekanntgeben, dass Platinen gewisser Maschinen Mängel haben, müssen die Zertifikate und Rechte der fehlerhaften Maschine sofort zurückgezogen werden, damit sie keine falschen Handlungen ausführt. Auch bei Wartungszyklen müssen bei mehreren Maschinen gleichzeitig Berechtigungen und Zugriffe widerrufen werden, um die Wartung ordnungsgemäß ausführen zu können und die aktive Produktion nicht durcheinander zu bringen. Beides lässt sich mithilfe eines Identity und Access Management Systems einfach und schnell umsetzen.
Maschinen können allerdings erst auf die für sie notwendigen Bereiche zugreifen, wenn sie sich authentifiziert haben, d.h. dass sie ihre Identität zweifelsfrei bezeugen können. Das geschieht je nach IAM System beispielsweise mittels Basic Authentication, OAuth2 oder SAML. So wird sichergestellt, dass nur berechtigte Maschinen Zugriff erlangen. Dieser Mechanismus gilt als Kontrollinstanz, der vor allem in automatisierten Produktionen der Industrie 4.0 essenziell ist.
Begriffe kurz erklärt
Basic Authentication: Auch HTTP-Authentifizierung genannt, ist ein Authentifizierungsverfahren, bei dem mittels eines Passworts und eines Benutzernamens ermittelt wird, ob ein Client berechtigt für den Zugriff ist.
OAuth2: Ist ein Autorisierungsprotokoll, was den Zugriff auf Ressourcen wie externe APIs oder Nutzerdaten ermöglicht. Zur Autorisierung werden Zugriffstoken verwendet, die bestätigen, dass ein Mensch oder eine Maschine für den Zugriff autorisiert ist.
SAML (Security Assertion Markup Language): Die Hauptaufgabe von SAML besteht darin, den Zugriff auf mehrere Webanwendungen mit einem einzigen Satz von Anmeldeinformationen zu ermöglichen. Dadurch wird beispielsweise Single-Sign-On ermöglicht. Dazu wird ein Benutzer einmal authentifiziert und die Daten dazu werden dann an mehrere Anwendungen übermittelt.
Policy Based Access – neuer Ansatz bei der Vergabe von Berechtigungen
Momentan wird die Vergabe von Berechtigungen bei den meisten IAM Systemen mithilfe von Rollen festgelegt. Eine Rolle ist die Funktion, die man als Mitarbeitender ausführt, z.B. Sales, Consultant oder Developer. Dies ist in Bezug auf Maschinen allerdings zu kurz gefasst, da die Verwaltung von den unzähligen Identitäten und IoT Maschinen mit Role Based Access Control sehr aufwändig wäre. Das System kommt dort schnell an seine Grenzen. Deshalb werden Berechtigungen im Zusammenhang mit Maschinenidentitäten nach dem Policy Based Access Prinzip vergeben. Dabei werden keine Rollen, sondern Attribute zugeteilt, die sich viel feiner definieren lassen. Attribute sind dabei beispielsweise Eigenschaften oder Locations. Um aus den Attributen Berechtigungen abzuleiten, sind viele Policies nötig, die genau definiert werden müssen. Wie man sich vorstellen kann, ist dies bei vielen Identitäten sehr komplex und es ist auch noch nicht abschließend geklärt, wie sich die gezielte Vergabe von vielen Policies umsetzen lässt.
Ein Unterschied zum Role Based Acces ist, dass beim Policy Based Access der Fokus auf die Tasks, die ausgeführt werden müssen, gelegt wird. Dabei werden die Prozesse in einem Unternehmen angeschaut, um herauszufinden, welche Tätigkeiten eine Person oder eine Maschine ausführt. Anhand dessen werden schließlich die Zugriffe vergeben.
Maschinenidentitäten – So funktioniert es in der Praxis
Ein Hersteller von Flugzeugteilen hat mehrere Produktionsstätten, in denen Computer gesteuerte Werkzeugmaschinen (CNC) eingesetzt werden, um Teile herzustellen. Um sicherzustellen, dass nur autorisierte Maschinen auf die Netzwerke und Anwendungen zugreifen können, implementiert das Unternehmen eine PKI-basierte Authentifizierungslösung für die CNC-Maschinen. Mithilfe eines IAM Systems werden die Maschinenidentitäten authentifiziert und verwaltet.
Jede CNC-Maschine erhält ein sicheres Zertifikat von einer unabhängigen Certification Authority, das ihre Identität bestätigt. Bevor eine Maschine auf das Netzwerk zugreifen kann, muss sie sich mit ihrem Zertifikat authentifizieren. So kann sichergestellt werden, dass nur autorisierte Geräte Zugang zu sensiblen Daten und Anwendungen haben. Das erhöht die Sicherheit und Effizienz der Produktionsumgebungen und stellt gleichzeitig die Produktivität und die Qualität der hergestellten Teile sicher.
Sei Deiner Konkurrenz voraus!
Maschinenidentitäten werden in den nächsten Jahren immer bedeutender. Die Industrie 4.0 wird in immer mehr Unternehmen zur Realität und dadurch ändern sich Arbeitsabläufe und -prozesse, die die Produktion effizienter und nachhaltiger machen. Dazu kommt allerdings auch, dass Cybersicherheit noch relevanter wird, weil ein Großteil der Produktion digital gesteuert werden wird. Dadurch ergeben sich neue Angriffsmöglichkeiten durch Hacker, die damit ganze Unternehmen lahmlegen können und einen enormen Schaden anrichten.
Deshalb sollten Unternehmen schon jetzt ein IT-Konzept entwickeln, das festlegt, wie sich ihre Maschinenidentitäten in Zukunft authentifizieren und verwalten möchten. Mithilfe eines Identity und Access Management Systems lassen sich die Sicherheitszertifikate der Maschinen im Blick behalten. Somit werden sie immer regelmäßig erneuert. Auch können in IAM Systemen Zugriffsberechtigungen durch Policies festgelegt und gemanaged werden. Wenn Du mit dem Gedanken spielst, ein IAM System für Deine Maschinenidentitäten einzusetzen, oder bereits eines verwendest, was Du erweitern möchtest, schreib uns gerne. Wir beraten Dich, damit Du dein passendes IAM System findest und Deiner Konkurrenz einen Schritt voraus bist!