Energieversorger besitzen viele verteilte Systeme, die sensible Daten über verschlüsselte Verbindungen austauschen. Selbstsignierte Zertifikate und heterogene OT-Landschaften erschweren ein sicheres Management digitaler Identitäten. Ein Energieversorger konnte mit der Trust Management Appliance (TMA) von ECOS Technology sein Zertifikatsmanagement automatisieren.
Die Herausforderung: Komplexe Infrastrukturen und unsicheres Zertifikatsmanagement
Energieversorger betreiben komplexe Infrastrukturen mit zahlreichen Systemen. In Umspannwerken, Stationen, Betriebsgebäuden und Außenanlagen arbeiten Switches, Steuergeräte, Messsysteme und unterbrechungsfreie Stromversorgungen. Sie tauschen kontinuierlich Daten aus und nutzen dafür verschlüsselte Verbindungen, die digitale Zertifikate nutzen. In vernetzten Infrastrukturen erfüllen Zertifikate eine zentrale Aufgabe: Sie wirken als digitale Ausweise für Geräte und ermöglichen eine zuverlässige Identitätsprüfung. Ein Zertifikat enthält kryptografisch verifizierbare Angaben zum Aussteller, Besitzer, zur Gültigkeitsdauer. Jedes Gerät prüft diese Angaben, bevor es eine Verbindung zulässt. Dadurch entsteht eine sichere Grundlage für verschlüsselte und überprüfbare Kommunikation.
Probleme selbstsignierter Zertifikate
In der Praxis zeigt sich jedoch ein Schwachpunkt. Die Versorger nutzen oft selbstsignierte Zertifikate, weil sie ihre Anlagen als isoliert betrachten. So erzeugt jedes Gerät lokale Zertifikate und nutzt es bei verschlüsselten Verbindungen. Doch hier lässt sich die Identität der Gegenstellen nicht zuverlässig prüfen. Dadurch steigt das Risiko, dass Angreifer Verbindungen manipulieren und den Datenverkehr abgreifen oder verändern.
Eine weitere Hürde: Für OT-Systeme fehlt ein Standard zum Zertifikatsmanagement. Sie besitzen zwar oft ein Webinterface, doch es fehlt eine integrierte Möglichkeit zum automatisierten Zertifikataustausch. Verantwortliche spielen Zertifikate manuell per SSH (die Linux-„Befehlszeile“) oder mit proprietären Werkzeugen der Hersteller auf. Bei Hunderten oder Tausenden Geräten verursacht dieser Aufwand häufig Fehler und Verzögerungen.
Regulatorische Verpflichtungen durch NIS-2
Neben technischen spielen auch regulatorische Anforderungen eine wichtige Rolle. Die NIS-2-Richtlinie der EU ist für jedes Unternehmen spätestens 2027 verpflichtend. Sie verlangt von Unternehmen in kritischen Sektoren wie der Energiewirtschaft wirksame technische und organisatorische Maßnahmen zur Cybersicherheit.
Dazu zählen verschlüsselte Verbindungen, geprüfte Zertifikate, Incident-Response-Prozesse, Risikomanagement, Business-Continuity-Konzepte, regelmäßige Sicherheitsprüfungen und die Dokumentation aller relevanten Abläufe. Die Richtlinie nennt außerdem Meldefristen für Vorfälle und verlangt einen Nachweis der Maßnahmen.
Herausforderungen im Überblick
- Verteilte Systeme mit uneinheitlichen Zertifikaten
- Hohe Fehlerquote durch manuelles Zertifikatsmanagement
- Fehlende Standards für OT-Automatisierung
- Strenge Anforderungen durch NIS-2
Die Lösung: Zentrales und automatisiertes Zertifikatsmanagement
Die Vielfalt der Geräte bei dem Energieversorger erfordert eine ganzheitliche Lösung, die Absicherung und Verschlüsselung der Kommunikation in IT, OT und IoT bietet. Zudem muss sie moderne und ältere Systeme automatisiert einbeziehen. Der Softwarehersteller ECOS Technology hat mit der Trust Management Appliance (TMA) ein System entwickelt, das für diesen Anwendungsfall bei dem Energieversorger digitale Schlüssel und Zertifikate für Vertraulichkeit, Integrität und Authentizität in vernetzten Systemen bereitstellt.
Funktionsweise und Einsatzmöglichkeiten der Appliance
Die TMA schützt digitale Geräte durch sichere Identitäten und übernimmt das Zertifikatsmanagement. Sie vergibt dafür an jedes System ein sogenanntes Zertifikat. Es funktioniert wie ein Ausweis und bestätigt, dass ein Gerät echt ist und niemand es verändert hat. Die Appliance erstellt diese Zertifikate oder erneuert sie bei Bedarf und verteilt sie automatisch.
Die TMA von ECOS Technology arbeitet in Fabriken mit vernetzten Maschinen, aber auch in Büroumgebungen. Sie kann als Hardware vor Ort, auf einem Server oder in der Cloud laufen. Für Produktionsanlagen gibt es ein spezielles Gateway, sodass sie auch ohne Internet arbeitsfähig bleibt. So entsteht ein zentraler Ort für das Zertifikatsmanagement.
Vor allem ältere Geräte besitzen oft keine Funktionen für automatisiertes Zertifikatsmanagement. Deshalb besitzt die ECOS TMA einen „Enrollment Agent“. Er unterstützt Geräte, die nicht für ein automatisiertes Zertifikatsmanagement ausgelegt sind. Der Agent bildet die vom Hersteller vorgesehenen manuellen Abläufe zum Einspielen von Zertifikaten nach. Das bringt vor allem für die großen Infrastrukturen von Energieversorgern eine erhebliche Arbeitserleichterung und vermeidet eine Überlastung des Personals.
PKI-Grundlagen: Schlüsselpaare und Zertifikate
Zertifikate basieren auf einer „Public Key Infrastructure“ (PKI). Kern dieser PKI ist ein Schlüsselpaar, das aus einem öffentlichen und einem geheimen privaten Schlüssel besteht. Der öffentliche Schlüssel steht jedem zur Verfügung und dient dazu, Nachrichten zu verschlüsseln oder zu prüfen. Beim Senden einer Nachricht verschlüsselt der Sender („Bob“) sie mit dem öffentlichen Schlüssel des Empfängers („Alice“). Die Nachricht („Ciphertext“) kann jedoch nur mit dem privaten “Geheimcode” des Empfängers entschlüsselt werden.
Beim Signieren ist der Ablauf umgekehrt. Eine digitale Signatur ist ein „Hashwert“ der Nachricht, der über eine Berechnung erzeugt wird und eindeutig ist. Wenn der Text verändert wird, ändert sich auch der Hashwert. Er wird nun mit dem privaten Authentifizierungsmerkmal verschlüsselt. Jeder Empfänger kann die Signatur mit dem öffentlichen Schlüssel des Absenders prüfen: Er berechnet den Hashwert neu und vergleicht ihn mit dem entschlüsselten Wert aus der Signatur. Stimmen beide Werte überein, stammt die Nachricht vom Absender.
Zertifikate schaffen zusätzlich Klarheit darüber, wem ein öffentlicher Schlüssel gehört. Ohne diese Zuordnung könnte ein Angreifer gefälschte Zugangsinformationen verbreiten. Dafür gibt es eine anerkannte Zertifizierungsstelle (Certificate Authority, CA). Sie bestätigt die Identität des Zertifikatsinhabers, indem sie ihren eigenen privaten Schlüssel nutzt, um das Zertifikat zu signieren. Das Zusammenspiel aus Schlüsselpaaren, Zertifikaten und vertrauenswürdigen Zertifizierungsstellen in einer PKI sorgt dafür, dass Daten verschlüsselt übertragen und digitale Signaturen überprüft werden können. Manipulationen fallen auf, weil jede Veränderung an einer Nachricht oder einem Schlüssel sofort erkennbar wird.
Überblick über die Funktionen zum Zertifikatsmanagement
Die ECOS Trust Management Appliance übernimmt das Management der PKI und sorgt dafür, dass alle Geräte gültige Zertifikate besitzen. Ihre wichtigsten Funktionen im Überblick:
- Life-Cycle-Management von Zertifikaten und symmetrischen Schlüsseln inklusive Erzeugung, Import, Verlängerung, Rückzug und Archivierung in der PKI.
- Automatisierte Verteilung und Erneuerung von Zertifikaten über verschiedene Protokolle (z. B. SCEP, EST, ACME) sowie über Clientsysteme (Windows, Linux, mobile Geräte).
- Unterstützung von OPC-UA-basierten Architekturen, die in Energieversorgungsnetzen eine große Rolle spielen. Die Appliance versorgt Geräte mit Identitäten und Sperrlisten.
- Integration offener Schnittstellen wie REST-API, LDAP-Synchronisation mit Verzeichnisdiensten (z. B. Active Directory) und Einbindung in bestehende IT/OT-Umgebungen.
- Authentifizierung mobiler Geräte und Netzwerke gemäß Standards wie IEEE 802.1X
- Sichere Speicherung privater Schlüssel in einem Hardware-Security-Modul (HSM) der PKI und Absicherung der CA-Struktur mit hierarchischer Root-/Sub-CA-Organisation.
- Einsatz verschiedener Algorithmen, Schlüssellängen und Zertifikate. Vorbereitet auf zukünftige Herausforderungen wie z.B. quantenresistente Algorithmen
Das Ergebnis: Sicherheit, Nachweisbarkeit und Zukunftsfähigkeit
Zertifikatsmanagement mit der Trust Management Appliance von ECOS Technology erhöht die Sicherheit in der Infrastruktur von Energieversorgernetzen. Die Appliance weist jedem Gerät eine eindeutige Identität zu. Verbindungen zwischen ihnen, Leitstellen, Messsystemen und Cloud-Diensten basieren auf geprüften Zertifikaten. So ersetzt die TMA fragmentarische Lösungen durch die Vertrauensstruktur einer PKI.
Die Abläufe im Unternehmen profitieren zusätzlich. Audits und Prüfungen stützen sich auf klare Nachweise. Die Appliance erstellt Protokolle und Berichte, die Verantwortliche bei internen Kontrollen nutzen. Unternehmen erfüllen damit die regulatorischen Vorgaben und bestehen leichter die Prüfungen durch staatliche Stellen.
Die Skalierbarkeit der Appliance schafft zudem Spielraum für zukünftige Entwicklungen. Die OT/IT-Teams integrieren neue Gerätetypen, zusätzliche Standorte oder IoT-Systeme schrittweise. Die kryptoagile Architektur der PKI erleichtert spätere Umstellungen bei Algorithmen und Schlüssellängen. Ein wichtiger Vorteil: Frühzeitiges Handeln verhindert aufwendige Umstellungen unter Zeitdruck.
Ergebnisse im Überblick
- Zentrale Identitäten für alle Gerätetypen
- Automatisiertes Zertifikatsmanagement in IT und OT
- Nachweisfähige Abläufe für Audits und Prüfungen
- Skalierbare und kryptoagile Sicherheitsarchitektur mit PKI
