Digitaler Schutz für IoT/OT-Geräte

Internet der Dinge (Internet of things, IoT) und Operative Technologien (Operational Technologies, OT) werden für moderne, industrielle Prozesse immer wichtiger. So waren im Jahr 2023 laut statista.com 15 Milliarden IoT-Geräte im Einsatz. Bis 2030 soll sich diese Zahl auf rund 29,5 Milliarden fast verdoppeln.

Die fortschreitende Integration bringt jedoch auch Probleme für die Sicherheit mit sich. Cyber-Angriffe werden immer ausgefeilter und komplexer. Deshalb wird der Schutz digitaler Infrastrukturen und vernetzter Geräte zu einer zentralen Aufgabe.

Welche Rolle spielt nun die Public Key Infrastructure (PKI) beim digitalen Schutz von IoT- und OT-Geräten? Wie hilft sie, die Sicherheit von Identitäten aller Art zu gewährleisten?

Zwischen beiden Konzepten gibt es grundlegende Unterschiede. Aber sie verschmelzen und schaffen Synergien zwischen vernetzten Geräten und industrieller Automatisierung (Industrie 4.0).

Inhalt:

Unterschiede zwischen IoT und OT

Wachsende Bedeutung von Sicherheit in vernetzten Umgebungen

Warum ist Sicherheit im IoT/OT-Umfeld entscheidend?

Die Public Key Infrastruktur (PKI)

Securing IoT – Skalierbare Sicherheitslösungen mit PKI (IoT PKI Solutions)

Wie ermöglicht PKI skalierbare Sicherheit (PKI enables IoT Security)

Geräte-Identität und Zertifikats-Lifecycle-Management

Smart Cities: Integration von IoT-Geräten mittels PKI

Wie essendi xc den Lebenszyklus von Zertifikaten optimal überwacht

Managed PKI als effiziente IoT-Lösung

Wie eine MPKI Vertrauen zwischen Geräten und Systemen aufbaut

 

Unterschiede zwischen IoT und OT

 

IoT OT
Anwendungsbereich Vernetzte Geräte in verschiedenen Sektoren wie Smart Homes, Gesundheitswesen, Verkehr, Landwirtschaft, Industrie, Produktion… Spezifisch auf industrielle und kommerzielle Betriebsumgebungen ausgerichtet; konzentriert sich auf Prozesssteuerung und -automatisierung (Verkehr bis Produktion)
Kommunikation/Protokolle Drahtlose Technologien (Bluetooth, WLAN,…) und standardisierte IoT-Protokolle (MQTT, COAP,…) Spezialisierte Kommunikations-Protokolle zur zuverlässigen Echtzeitsteuerung (z.B. OPCUA, Modbus-Protokoll,…)
Daten Erfassung, Analyse und Nutzung von Daten, um neue Erkenntnisse und Mehrwert zu generieren Prozesssteuerung in Echtzeit, Daten werden zur Optimierung von Prozessen verwendet
Sicherheits-
anforderungen
Schutz von persönlichen Daten
Verhinderung von unbefugtem Zugriff auf vernetzte Geräte
eindeutige Identifizierung der eigenen Geräte (Zero Trust)
sicherer, verschlüsselter Datenverkehr
Gewährleistung der Integrität
Verfügbarkeit und Zuverlässigkeit von industriellen Prozessen
eindeutige Identifizierung der eigenen Geräte
Flexibilität/Skalierbarkeit Flexibel und leicht skalierbar, da sie für eine Vielzahl von Anwendungen und Umgebungen entwickelt werden Auf spezifische industrielle Anforderungen und festgelegte Umgebungen zugeschnitten. Müssen robust und zuverlässig sein.
Speicherkapazität von begrenzt bis üblich / erweiterbar extrem begrenzt
beispielhafte Geräte Smart Home Geräte
Wearables (Smartwatches,…)
Infotainment-Systeme in Fahrzeugen
GPS-gesteuerte Landmaschinen
Smarte Parkplatzsysteme
Vernetzte Maschinen in der Fertigung
IP-Kameras
Gebäudemanagement-Systeme
Anlagenüberwachung mit Wartungsplanung
Medizinische Geräte (Röntgengeräte, MRT)
Industrielle Steuerungssysteme (PLCs, RTUs, DCS)
Prozessleitsysteme (PLS)
Mess- und Regelgeräte (Sensoren, Messgeräte für Druck, Temperatur,…)
Verkehrssteuerungs-Systeme
Produktionsanlagen (Robotersysteme, CNC-Maschinen)
Pumpen und Ventile

 

Wachsende Bedeutung von Sicherheit in vernetzten Umgebungen

IoT- und OT-Geräten (connected devices / networked devices) sind zunehmend vernetzt. Dies führt in geschäftskritischen Prozessen zu erhöhten Sicherheitsanforderungen. Sensible Daten (sensitive data) wie persönliche Informationen und industrielle Steuerungsdaten müssen vor unberechtigtem Zugriff geschützt werden.

In vielen Bereichen eines Unternehmens sind IoT- und OT-Systeme integraler Bestandteil kritischer Infrastrukturen. Störungen in KRITIS-Unternehmen (z.B. Strom- und Wasserversorgung) können schwerwiegende Auswirkungen auf die ganze Gesellschaft haben.

Besonders in diesen Bereichen sind sichere Maschinenidentitäten elementar wichtig. Sie sind die Grundlage dafür, dass Sensoren oder Mess- und Steuergeräte ihre Daten sicher austauschen können.

Neben dem eigentlichen Datenzugriff / -abgriff gehört mittlerweile die eindeutige Feststellung von Identitäten zur Anforderungsliste der IoT / OT. Es muss sichergestellt sein, dass ausschliesslich die eigenen Geräte in Verwendung sind. Dritte Parteien dürfen nicht unbefugt fremde Geräte ins Netzwerk einschleusen können, um zu spionieren oder zu manipulieren.

Dies hat zu verschärften regulatorischen Anforderungen geführt. Unternehmen und Organisationen müssen immer strengere Sicherheitsstandards einhalten, um rechtliche Konsequenzen zu vermeiden.

Eine weitere Schwierigkeit in diesem Umfeld ist die Wartbarkeit der Geräte. Oft sind diese für die Betriebssicherheit verantwortlich und Unternehmen sind auf die korrekte Ausführung der Geräte-Tätigkeiten angewiesen. Daraus ergeben sich im Besonderen für die Wartung und Unterhaltung der Geräte gesteigerte Anforderungen.

 

man with glassesWarum ist Sicherheit im IoT/OT-Umfeld entscheidend?

Im IoT/OT-Umfeld gibt es vielfältige Risiken und Bedrohungen. Verletzungen des Datenschutzes können sowohl in IoT- als auch in OT-Systemen schwerwiegende Folgen haben. Physische Bedrohungen durch Angriffe auf vernetzte Geräte sowie Cyberangriffe und Malware stellen weitere Herausforderungen dar. Fehlende Authentifizierung, Zugangskontrolle und Sicherheits-Updates erhöhen die Verwundbarkeit, während mangelnde Standardisierung und menschliches Fehlverhalten zusätzliche Sicherheitsrisiken darstellen.
Robuste Sicherheitsmassnahmen sind unerlässlich, um diesen Bedrohungen zu begegnen. Die wichtigsten Beispiele sind Verschlüsselung, Authentifizierung, regelmässige Software-Updates und Schulung der Anwender.

 

top view of a city with different streets by nightDie Public Key Infrastruktur (PKI)

Die PKI ist ein System, das die Erstellung, Verwaltung und Nutzung digitaler Zertifikate ermöglicht. Auf diese Weise wird die sichere Übertragung von Daten und die Authentifizierung in Netzwerken gewährleistet. Digitale Zertifikate sorgen für Sicherheit, indem sie sichere Kommunikation, Identitätsmanagement und Schutz vor Cyberangriffen ermöglichen.

In der PKI für IoT-Geräte (PKI for IoT devices) dienen Zertifikate der Authentifizierung und Zugriffskontrolle. Sie ermöglichen die sichere Überprüfung der Identität von Nutzern, Geräten (device identities) oder Diensten. Sie werden ausserdem in Zugriffskontroll-Mechanismen integriert. Zertifikate ermöglichen verschlüsselte Kommunikation, schützen Daten vor Manipulation und Diebstahl und verhindern Man-in-the-Middle-Angriffe.

Digitale Signaturen im IoT und OT stellen die Integrität von Daten und die Authentizität von Nachrichten sicher. Sie tragen zur Sicherheit und Integrität der Kommunikation und Steuerung in vernetzten Umgebungen bei. Zertifikate schaffen durch die Signatur vertrauenswürdiger Zertifizierungsstellen (trusted certificate authority, CA) Vertrauen in digitale Interaktionen (Vertrauensanker). Sie gewährleisten die Authentizität digitaler Identitäten.

Mehr zum Thema PKI lesen Sie in unserem Magazin.

 

Securing IoT – Skalierbare Sicherheitslösungen mit PKI (IoT PKI Solutions)

Eine besondere Herausforderung ist die Skalierbarkeit der IoT Security Lösung in vernetzten Umgebungen. Sie muss auf verschiedene Anforderungen anpassbar sein:

  • Die grosse Anzahl kommunizierender Geräte stellt eine Herausforderung für das Management und die Sicherheit dar.
  • Unterschiedliche Gerätetypen von verschiedenen Herstellern erschweren die Implementierung standardisierter Sicherheitsvorkehrungen.
  • Die Dynamik vernetzter Umgebungen, in denen ständig Geräte hinzugefügt oder entfernt werden, erfordert eine flexible Skalierbarkeit.
  • Die Notwendigkeit, grosse Datenmengen in Echtzeit zu verarbeiten, erfordert eine skalierbare Infrastruktur. Sie muss bei der Übertragung hohe Geschwindigkeiten ohne Beeinträchtigung der Sicherheit bewältigen können.

Folgende Fragen können helfen einzuschätzen, welche Anforderungen eine PKI im eigenen Unternehmen erfüllen muss:

  • Welche Geräte sollen abgesichert werden?
  • Welche Use Cases sollen abgedeckt werden?
  • Wie viele der Standorte des Unternehmens benötigen PKI-Dienste?
  • Wie skalierbar und flexibel soll die PKI sein?

 

Wie ermöglicht PKI skalierbare Sicherheit (PKI enables IoT Security)

Die Public Key Infrastructure bietet durch Protokolle und Mechanismen eine zuverlässige Grundlage für die Verwaltung digitaler Identitäten. Sie gewährleistet verlässliche Kommunikation durch:

  • Effizientes Schlüsselmanagement
    Optimiert Prozess der Schlüsselerzeugung, -verteilung und -rotation, um die Sicherheit in einer skalierbaren Umgebung aufrecht zu erhalten.
  • Authentisierung mittels Zertifikat
    Ermöglicht die skalierbare Authentifizierung von Geräten und Benutzern. Hierzu werden digitale Zertifikate als eindeutige Nachweise der Identität verwendet. Als weitere Schutzstufe in Kombination mit Key Attestation
  • Vertrauensbildung
    Die hierarchische Struktur der PKI, insbesondere mit vertrauenswürdigen CAs, fördert die Vertrauensbildung in hohem Mass.
  • Verschlüsselung und Integritätsschutz
    Digitale Signaturen gewährleisten die Verschlüsselung von Daten und die Sicherung der Integrität der Daten. Dies ist besonders wichtig in vernetzten Umgebungen mit grossen Datenmengen.

 

Geräte-Identität und Zertifikats-Lifecycle-Management

Eine verlässliche Geräte-Identität ist die Grundlage für sichere Authentifizierung, Datenschutz und Zugriffssteuerung in einem komplexen Netzwerk. Jedes Gerät muss eine eindeutige Kennung (Unique Identifier) besitzen und mit Sicherheits-Zertifikaten ausgestattet sein. Nur so ist eine eindeutige Authentifizierung möglich.

Die Zertifikate spielen eine Schlüsselrolle in der Zugriffskontrolle und gewährleisten die Integrität der gesamten Kommunikation. Je nach Ausprägung der Zertifikate können sie eindeutige Identitäten der Geräte beinhalten. Diese werden mittels Key Attestation nachgewiesen, ähnlich wie Fingerabdrücke im Personalausweis.

Auch das Lifecycle-Management der Zertifikate ist entscheidend für zuverlässige Schutzmassnahmen. Es umfasst deren Beantragung, Abruf, Installation und Nutzung sowie die regelmässige Erneuerung. Im Falle von Kompromittierungen beinhaltet das Lifecycle-Management den schnellen Widerruf von Zertifikaten.

Optimiert wird der gesamte Prozess durch Automation mittels eines Zertifikatsmanagement-Tools wie essendi xc. Dies ist besonders wichtig, da im IoT/OT-Umfeld viele Zertifikate zum Einsatz kommen und verwaltet werden müssen.

Smart Cities: Integration von IoT-Geräten mittels PKI

Smart Cities sind in vielen fachlichen Kontexten von Bedeutung. Sie spielen eine besonders wichtige Rolle in Bereichen, die von einer verbesserten Effizienz, Nachhaltigkeit und Lebensqualität durch den Einsatz von IoT-Technologien und intelligenten Systemen profitieren.

Dazu gehören beispielsweise die Stadtplanung, die öffentliche Verwaltung, das Umweltmanagement und das Verkehrswesen. Dort tragen sie zur Optimierung von Dienstleistungen, zur Steigerung der Energieeffizienz und zur Verbesserung der Lebensqualität bei.

Im Gesundheitswesen ermöglichen Smart-City-Technologien verbesserte Gesundheitsdienstleistungen und die Echtzeitüberwachung von Patientendaten.

Bauingenieure und Architekten integrieren intelligente Technologien in Gebäude und Infrastrukturen, um Nachhaltigkeit und Effizienz zu fördern.

IT- und Telekommunikationsexperten stellen die dafür notwendige Infrastruktur für Konnektivität und Sicherheit bereit.

Diese multidisziplinäre Zusammenarbeit treibt die Entwicklung von Smart Cities voran. Sie macht sie sicherer und nachhaltiger und verbessert das städtische Leben.

Eine PKI ist für Smart Cities unerlässlich. Sie gewährleistet die Sicherheit und Vertrauenswürdigkeit der vernetzten IoT-Geräte. Sie bildet also das Rückgrat der Cybersicherheit in Smart Cities.

So unterstützen PKI-Systeme beispielsweise die sichere Fernwartung und -steuerung von Geräten. Darüber hinaus ermöglichen sie ein skalierbares und effizientes Management von Geräte-Identitäten. In der komplexen und dynamischen Umgebung einer Smart City ist das von grosser Bedeutung.

 

XC Logo mit dem Satz 'Das anpassungsfähige Zertifikatsmanagement-Tool'

Automatisierung

Automatisierung im Zertifikatsmanagement minimiert die Notwendigkeit manueller Eingriffe. So verringert sie das Risiko menschlicher Fehler, die zu Sicherheitslücken führen könnten. Zertifikate werden rechtzeitig erneuert, überwacht und aktualisiert , ohne dass menschliches Eingreifen erforderlich ist (enables secure administration).

Monitoring

Durch das lückenlose Monitoring behalten Sie die Kontrolle über alle Zertifikats-Vorgänge im Unternehmen. So verhindert essendi xc beispielsweise Stillstände durch ungültig gewordene Zertifikate.
Diese können entstehen, wenn etwa defekte Geräte ausgemustert werden, das Zertifikat aber nicht widerrufen wird. Gleichzeitig werden so entstehende Sicherheitslücken geschlossen.

Compliance

Die Formulare für den Zertifikats-Antrag in essendi xc machen Corporate Compliance ganz einfach. Das Tool beachtet Compliance-Vorgaben nach passgenauen Vorgaben. Dadurch beantragen User-Gruppen ihre Zertifikate nach festgelegten Berechtigungen bei bestimmten CAs.

Zudem erstellt xc ein Konzept zur Anwendung von Schlüsseln, dokumentiert ihren Lebenszyklus und die eingesetzten Verfahren.

Zusammen bilden Geräte-Identität und kontrolliertes Lifecycle-Management die Grundlage für die Sicherheit von IoT/OT-Geräten.

 

Managed PKI als effiziente IoT-Lösung

Eine Managed PKI (PKI as a Service) wird von einem spezialisierten Dienstleister bereitgestellt.

Besonders für Unternehmen mit vielen IoT/OT-Geräten stellt eine MPKI eine optimale Lösung dar. Sie ermöglicht die effiziente und sichere Verwaltung einer grossen Anzahl digitaler Zertifikate.

Die Expertise der MPKI-Anbieter in Kryptographie und Sicherheit sowie die Implementierung bewährter Standards garantieren eine zuverlässige Infrastruktur.

Skalierbarkeit und Flexibilität der MPKI machen es Unternehmen möglich, sich schnell an veränderte Anforderungen anzupassen. So können sie ihre vernetzten Umgebungen jederzeit sicher betreiben.

Mehr zum Thema Managed PKI lesen Sie in unserem Magazin.

 

Wie eine MPKI Vertrauen zwischen Geräten und Systemen aufbaut

Sowohl die PKI als auch die MPKI verwenden hierarchische Strukturen. Vertrauenswürdige CAs und ihre Signatur-Prozesse spielen eine zentrale Rolle als Vertrauensanker. Damit kann nachgewiesen werden, dass die digitale Identität von einer glaubwürdigen Instanz verifiziert wurde. Der Nachweis kann entweder prozessual gelöst werden oder über eine eindeutige Identifizierung durch UID der Geräte (Key Attestation).

Zertifikatsmanagement-Tools können die Sicherheit durch umfassende Automatisierung entscheidend erhöhen. Sicherheitsstandards werden konsistent angewandt und menschliche Fehlerquellen vermieden. Dies stärkt die Integrität und Authentizität vernetzter Geräte.

Sie möchten mehr über die Vorteile von Zertifikatsmanagement-Tools erfahren? Gerne zeigen wir Ihnen die Stärken von essendi xc in einer Live-Demo. Einfach und unverbindlich. Dabei gehen wir auf Wunsch auf Ihre konkreten Anwendungsfälle ein.