PKI als Schlüssel für Resilienz in der industriellen Cybersicherheit

September 2023 von Andreas Philipp Business Development Manager, IoT, Keyfactor

Der Industriesektor entwickelt sich rasant und die Unternehmen verstärken ihre Digitalisierungsbemühungen mit Automatisierung, KI und vernetzten Sensoren und Maschinen. Dies verbessert die Effizienz und ermöglicht neue Geschäftsmodelle. Allerdings ist in Folge dessen auch eine deutliche Zunahme an Bedrohungen für die industrielle Infrastruktur, wie IoT-Angriffe, Kompromittierungen und Ransomware, zu beobachten.

Viele Industrieunternehmen schützen ihre Prozesse bereits mit einer Public Key Infrastructure (PKI). Die Gründe für diese Entwicklung zeigen die Ergebnisse des Keyfactor-Berichts „State of Machine Identity 2023". Die Haupttreiber für den Einsatz von PKI, Schlüsseln und digitalen Zertifikaten in Unternehmen sind demnach: eine Zero-Trust Strategie (50 Prozent), IoT-Geräte (49 Prozent) und Cloud-basierte Dienste (48 Prozent). Der Bericht umfasst dabei Befragte aus mehr als 12 Branchen, wobei ein hoher Prozentsatz aus dem Industrie- und Fertigungssektor stammt.

Doch obwohl die Hersteller die Bedeutung der Cybersicherheit kennen, fällt es einigen schwer, die Komplexität in industriellen Umgebungen zu bewältigen und mit den neuen Anforderungen, Protokollen und Konzepten der Industriestandards Schritt zu halten. Hier erfahren Sie, wie Unternehmen mit der Automatisierung ihres industriellen Identitätslebenszyklus beginnen können, wie sich die EU-Gesetzgebung zur Cybersicherheit auf den Industriesektor auswirkt und warum X.509-Zertifikate ein Muss für den industriellen Cybersicherheitsmarkt sind.

Bedeutung von PKI für die Einhaltung von Cybersicherheitsstandards

Die Verbreitung intelligenter Fabriken und die Zusammenführung von OT und IT in einer Infrastruktur haben die Digitalisierung zu einer Notwendigkeit in der industriellen Welt gemacht. Der steigende Bedarf an industrieller Cybersicherheit hat zu neuen Standards und Vorschriften geführt, die den Markt konsolidieren, so dass Anbieter und Betreiber einen klaren Fahrplan haben, um die Anforderungen an die Sicherung ihrer Smart-Factory-Umgebung zu erfüllen.

Der Rechtsrahmen wird fortlaufend erweitert und die PKI-Technologie kann einen integralen Baustein für die Einhaltung der aufkommenden Cybersicherheits-Industriestandards darstellen. Die Standards haben sich von Best Practices zu präzisen Richtlinien und Implementierungsanweisungen verändert, die sich in den kommenden Jahren weiterentwickeln werden.

Es gibt momentan drei Stufen von Cybersicherheitsstandards und -vorschriften für die Industrie:

1. Allgemeines Rahmenwerk

•IEC 62443: Dies ist der grundlegende Rahmen für die Definition der Sicherheitsstufen und der Funktionen für Betreiber, Produktentwickler und Dienstanbieter

2. Verordnungen und Richtlinien

•EU Cyber Resilience Act: Verbindliche Anforderungen für Produkte mit digitalen Elementen

•EU NIS2 (Netz- und Informationssicherheit): Zur Verbesserung der Cybersicherheit in der Europäischen Union

•EU-Maschinenrichtlinie: Stärkung des Vertrauens in digitale Technologien

3. Industrienormen (ein Auszug)

•IEEE 802.1. AR: Sichere Standard-Geräteidentität für Industrieunternehmen

•OPC 10000-12: UA Teil 12: Erkennung und globale Dienste

•BRSKI (RFC 8995): Bootstrapping einer sicheren Remote-Key-Infrastruktur

Die Standards und Vorschriften befinden sich in verschiedenen Stadien der Umsetzung, und es liegt an den Anbietern, die Funktionalitäten zu implementieren und die Infrastrukturkomponenten so zu gestalten, dass sie den Anforderungen der industriellen Technologie entsprechen.

Geräteidentität als wichtiger Baustein für vertrauenswürdige Geräte

Industriestandards und Vorschriften können jedoch auseinanderfallen, wenn sie nicht ein gemeinsames Ziel haben – Vertrauen. Dieses Vertrauen muss vom Gerätehersteller über den Integrator bis zum Betreiber aufgebaut werden. Die Industrie wird weiterhin Schwierigkeiten haben Vertrauen in der gesamten Lieferkette aufzubauen, wenn sie nicht mit der Geräteidentität beginnt. Wenn Unternehmen nicht in der Lage sind, eine digitale Geräteidentität in ihrem physischen Gerät bereitzustellen, dann sind alle nachfolgenden Szenarien nutzlos.



Lösungen für Industrieunternehmen

Viele Maschinenbauer und Komponentenhersteller wissen, dass PKI das Vertrauen in ihr Netzwerk stärkt, aber sie wissen nicht, wie sie die PKI-Technologie richtig nutzen können. Anbieter von PKI bieten Lösungen für Industrieunternehmen, um den IEEE 802.1AR-Standard für die Bereitstellung von IDevID und LDevID zu implementieren. Besonders der Open-Source-Ansatz spielet bei PKI eine entscheidende Rolle bei der Gewährleistung von Vertraulichkeit und sicherem Datenaustausch in der Branche. Durch die Berücksichtigung branchenspezifischer Anforderungen bieten solche PKI-Dienste ein hohes Maß an Sicherheit für den Datenaustausch und sorgen dafür, dass Unternehmen auf die Authentizität der ausgetauschten Daten vertrauen können.