Digitale Identitäten für Menschen sind mittlerweile weit verbreitet. Doch Identitäten für Maschinen? Ja! Auch Maschinen benötigen eine Identität. Die Welt wird im Zuge der Digitalisierung immer komplexer. Vor allem Automatisierung und KI sind Themen, die uns heute schon begleiten und immer präsenter werden. Sie bieten Risiken, aber gleichzeitig auch große Chancen für Effizienz und Nachhaltigkeit. Vor allem das produzierende Gewerbe strebt mit der Industrie 4.0 eine neue Revolution an, die Vieles verändern wird. Die automatisierte Produktion und die damit verbundene Kommunikation der Maschinen wird dort im Vordergrund stehen. Daraus ergeben sich neue Herausforderungen für IT-Spezialisten, die Maschinen und deren Kommunikation vor Cyberangriffen absichern müssen. Genau hier kommen Maschinenidentitäten ins Spiel. In diesem Artikel wird erklärt, wieso Maschinen eine Identität benötigen und wie sich diese sicher authentifizieren und verwalten lässt.

Warum benötigen Maschinen eine Identität?

Erhöhte Effizient und Nachhaltigkeit

Das produzierende Gewerbe setzt im Zuge der Industrie 4.0 und der Nachhaltigkeit immer mehr auf Automatisierung und digitale Technologien. Der Kerngedanke dabei ist, dass Maschinen untereinander vernetzt sind, miteinander kommunizieren und so automatisiert Aktionen durchführen. Dabei übernehmen Maschinen immer mehr die Rollen und Aufgaben von Menschen und müssen deshalb ähnlich geschützt werden. Maschinen dienen beispielsweise als Impulsgeber, indem sie Temperaturen messen, die sie dann an andere Maschinen weitergeben. Diese führen daraufhin Aktionen aus. Zuvor waren diese Impulsgeber Menschen. Damit alle Aufgaben korrekt von den Maschinen ausgeführt werden, werden deren Berechtigungen und Aktionen ganz genau mithilfe von Policies festgelegt.

Durch die Automatisierung soll beispielsweise die Auslastung von Maschinen besser geplant werden oder es werden mithilfe von Algorithmen optimale Lieferwege für die Logistik berechnet. Dadurch sollen Effizienz und Produktivität deutlich erhöht werden, was die Nachhaltigkeit der Unternehmen verbessert. Diese Thematik basiert unter anderem auf dem Internet der Dinge oder Internet of Things (IoT). Dies ermöglicht, dass sich eindeutig identifizierbare physische und virtuelle Objekte miteinander vernetzen.

Maschinen sind in diesem Kontext nicht zwingend klassische Produktionsmaschinen. Man versteht unter dem Begriff auch Anwendungen, Software IOT Devices oder Server. Damit diese automatisch interagieren und funktionieren, müssen Maschinen eindeutig identifizierbar sein und sich gegenseitig vertrauen. Dazu benötigt jede Maschine eine eigene digitale Identität.

Um die Kommunikation abzusichern, müssen drei Hauptfaktoren gegeben sein:

• Authentizität

• Verbindlichkeit

• Integrität

Bei der Authentizität geht es darum, nachzuvollziehen, mit welchem Gerät der Kommunikationsfluss stattgefunden hat, d.h. es muss sichergestellt werden, dass beide Geräte die sind, die sie vorgeben zu sein. Bei der Verbindlichkeit geht es darum, dass mit dem richtigen Gerät kommuniziert wird. Die Integrität dient dazu, dass Daten vertraulich übermittelt und nicht manipuliert werden.

Maschinenidentitäten – Sicherheit hat Priorität

Warum müssen Maschinenidentitäten geschützt werden?

Der Schutz von digitalen Identitäten – egal ob menschliche oder maschinelle – ist ein hochgradig relevantes Thema für die heutige Geschäftswelt. Identitäten haben Zugriffsrechte auf verschiedene Daten und Anwendungen, die gerne von Cyberkriminellen ausgenutzt werden. Vor allem Administrationsidentitäten geraten häufig ins Visier von Hackern, da sie dadurch Zugang zu zentralen Informationen und Schnittstellen bekommen. Somit können Daten ausspioniert, gestohlen oder manipuliert werden, was einen enormen Schaden verursacht. Auch Maschinenidentitäten greifen genau wie Menschen auf kritische Systeme und Daten zu und müssen deshalb genauso geschützt werden.

Offizielle Identitäten durch Zertifikate

Maschinen besitzen genau wie Menschen eindeutige Merkmale, an denen sich deren Identität festmachen lässt. Um die Echtheit einer Maschinenidentität zu beweisen, werden Zertifikate ausgestellt. Solch ein digitales Zertifikat ist technisch betrachtet ein elektronischer Datensatz, der Identitätsinformationen der Maschine enthält (wo befindet sie sich, was macht sie etc.). Ein gängiges Zertifikat ist in diesem Zusammenhang das X.509-Zertifikat, was einen wichtigen Pfeiler der IT-Sicherheit darstellt, weil es die Realisierung der Public Key Infrastruktur ermöglicht. Um für erhöhte Sicherheit zu sorgen, sind alle Identitätsangaben durch kryptografische Verschlüsselungsmechanismen vor Veränderungen geschützt. Die Zertifikate werden von einer unabhängigen externen Partei, einer Certification Authority ausgestellt und bestätigt. Diese unterliegen strengen Sicherheitsvorschriften und Haftungsregelungen, was die Echtheit und Authentizität der Zertifikate noch erhöht. Zertifikate sind vor allem wichtig, um eine Vertrauensbasis mit Partnern und externen Dienstleistern herzustellen. So können diese sicher sein, dass alle Maschinen eine zertifizierte digitale Identität besitzen.

Mit dem Erstellen der Zertifikate ist es allerdings noch nicht getan. Maschinen müssen sich authentifizieren, um auf Systeme zugreifen zu können. Außerdem müssen Maschinenidentitäten immer überwacht und kontrolliert werden. So wird für jede Maschinenidentität festgestellt, ob sie noch den Sicherheitsrichtlinien entspricht (Updates, Berechtigungen etc.). Außerdem können so Manipulationen frühzeitig erkannt und ein Schaden verhindert werden. Das Managen der Zertifikate und Maschinenidentitäten kann als fortlaufender und skalierbarer Prozess verstanden werden, der für Unternehmen essenziell ist.

Schutz durch gegenseitige Authentifikation

Mithilfe von digitalen Identitäten sollen Maschinen nicht nur eindeutig zuordbar sein, sie sollen sich auch gegenseitig authentifizieren können. Dies geschieht beispielsweise mit mTLS (Mutual Transport Layer Security), einem Verschlüsselungsprotokoll. Darüber wird sichergestellt, dass Maschinen nur auf die nötigen Daten Zugriff haben und Informationen nur an autorisierte Maschinen weitergeben. Dies ist wichtig, weil im Zuge der Industrie 4.0 nicht mehr der Mensch der Impulsgeber für Aktionen ist, sondern Maschinen selbst. Eine Maschine ist z.B. dafür zuständig mittels eines Sensors die Temperatur zu messen und diese Informationen an eine weitere Maschine weiterzugeben. Diese führt basierend auf diesen Daten eine Aktion aus, die den weiteren Kreislauf der Produktionskette beeinflusst. Deshalb müssen sich beide Maschinen gegenüber der jeweils anderen authentifizieren, um sicherzugehen, dass die Informationen von der richtigen Maschine an die entsprechende Stelle weitergegeben werden.

Authentifizierung und Verwaltung mit Identity und Access Management Systemen

Identity und Access Management Systeme dienen grob gesagt dazu, Benutzer und Identitäten und deren Berechtigungen zu verwalten. In Form von Rollen oder Policies wird festgelegt, welcher Nutzer auf welche Bereiche und Daten des Unternehmens zugreifen darf. Diese Berechtigungen können übersichtlich überwacht und flexibel entzogen oder hinzugefügt werden. IAM Systeme sind deshalb ein wichtiger Bestandteil einer ganzheitlichen IT-Sicherheitsstrategie in Unternehmen.

Volle Kontrolle behalten mit IAM

Moderne IAM Systeme erweitern ihren Anwendungsbereich auf die Industrie 4.0, indem sie sich für die Verwaltung und Authentifizierung von Maschinenidentitäten nutzen lassen. Die Verwaltung der Maschinenidentitäten ist ein zentraler Punkt, der auf keinen Fall vernachlässigt werden sollte. In Unternehmen existieren unzählige Maschinenidentitäten mit dazugehörigen Zertifikaten, die überwacht und überblickt werden müssen. Ohne hilfreiche Softwarelösung ist dies schlichtweg unmöglich.

Die Maschinenidentitäten werden wie andere Identitäten auch als Account in einem Identity und Access Management System angelegt. In den Account werden die Zertifikate eingepflegt und sämtliche Berechtigungen verwaltet. Technische Identitäten haben somit immer einen Owner, also eine menschliche Person, die für die Maschinenidentität zuständig ist. Das hat den Vorteil, dass es immer einen festen Ansprechpartner gibt, der für die Berechtigungen der Maschinen verantwortlich ist und der im Falle einer Manipulation eingreifen kann. Mithilfe des IAM Systems kann zu jeder Zeit transparent nachverfolgt werden, welche Maschine mit wem kommuniziert und auf welche Daten, Systeme oder Applikationen Zugriff hat. Somit können unautorisierte Zugriffe sofort erkannt werden.

Häufig ist es notwendig, dass auf gewisse Ereignisse schnell reagiert werden muss, um einen großen Schaden zu verhindern. Wenn Hersteller beispielsweise bekanntgeben, dass Platinen gewisser Maschinen Mängel haben, müssen die Zertifikate und Rechte der fehlerhaften Maschine sofort zurückgezogen werden, damit sie keine falschen Handlungen ausführt. Auch bei Wartungszyklen müssen bei mehreren Maschinen gleichzeitig Berechtigungen und Zugriffe widerrufen werden, um die Wartung ordnungsgemäß ausführen zu können und die aktive Produktion nicht durcheinander zu bringen. Beides lässt sich mithilfe eines Identity und Access Management Systems einfach und schnell umsetzen.

Maschinen können allerdings erst auf die für sie notwendigen Bereiche zugreifen, wenn sie sich authentifiziert haben, d.h. dass sie ihre Identität zweifelsfrei bezeugen können. Das geschieht je nach IAM System beispielsweise mittels Basic Authentication, OAuth2 oder SAML. So wird sichergestellt, dass nur berechtigte Maschinen Zugriff erlangen. Dieser Mechanismus gilt als Kontrollinstanz, der vor allem in automatisierten Produktionen der Industrie 4.0 essenziell ist.

Policy Based Access – neuer Ansatz bei der Vergabe von Berechtigungen

Momentan wird die Vergabe von Berechtigungen bei den meisten IAM Systemen mithilfe von Rollen festgelegt. Eine Rolle ist die Funktion, die man als Mitarbeitender ausführt, z.B. Sales, Consultant oder Developer. Dies ist in Bezug auf Maschinen allerdings zu kurz gefasst, da die Verwaltung von den unzähligen Identitäten und IoT Maschinen mit Role Based Access Control sehr aufwändig wäre. Das System kommt dort schnell an seine Grenzen. Deshalb werden Berechtigungen im Zusammenhang mit Maschinenidentitäten nach dem Policy Based Access Prinzip vergeben. Dabei werden keine Rollen, sondern Attribute zugeteilt, die sich viel feiner definieren lassen. Attribute sind dabei beispielsweise Eigenschaften oder Locations. Um aus den Attributen Berechtigungen abzuleiten, sind viele Policies nötig, die genau definiert werden müssen. Wie man sich vorstellen kann, ist dies bei vielen Identitäten sehr komplex und es ist auch noch nicht abschließend geklärt, wie sich die gezielte Vergabe von vielen Policies umsetzen lässt.

Ein Unterschied zum Role Based Acces ist, dass beim Policy Based Access der Fokus auf die Tasks, die ausgeführt werden müssen, gelegt wird. Dabei werden die Prozesse in einem Unternehmen angeschaut, um herauszufinden, welche Tätigkeiten eine Person oder eine Maschine ausführt. Anhand dessen werden schließlich die Zugriffe vergeben.

Sei Deiner Konkurrenz voraus!

Maschinenidentitäten werden in den nächsten Jahren immer bedeutender. Die Industrie 4.0 wird in immer mehr Unternehmen zur Realität und dadurch ändern sich Arbeitsabläufe und -prozesse, die die Produktion effizienter und nachhaltiger machen. Dazu kommt allerdings auch, dass Cybersicherheit noch relevanter wird, weil ein Großteil der Produktion digital gesteuert werden wird. Dadurch ergeben sich neue Angriffsmöglichkeiten durch Hacker, die damit ganze Unternehmen lahmlegen können und einen enormen Schaden anrichten.

Deshalb sollten Unternehmen schon jetzt ein IT-Konzept entwickeln, das festlegt, wie sich ihre Maschinenidentitäten in Zukunft authentifizieren und verwalten möchten. Mithilfe eines Identity und Access Management Systems lassen sich die Sicherheitszertifikate der Maschinen im Blick behalten. Somit werden sie immer regelmäßig erneuert. Auch können in IAM Systemen Zugriffsberechtigungen durch Policies festgelegt und gemanaged werden. Wenn Du mit dem Gedanken spielst, ein IAM System für Deine Maschinenidentitäten einzusetzen, oder bereits eines verwendest, was Du erweitern möchtest, schreib uns gerne. Wir beraten Dich, damit Du dein passendes IAM System findest und Deiner Konkurrenz einen Schritt voraus bist!

Firmenkontakt und Herausgeber der Meldung:

amiconsult GmbH
Amalienstraße 33
76133 Karlsruhe
Telefon: +49 (721) 9128340
Telefax: +49 (721) 9128349
https://amiconsult.de

Ansprechpartner:
Sina Ruland
Telefon: +49 (721) 91283-40
E-Mail: ruland@amiconsult.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel