Do you want to see our content in English?

x
x

CLAAS – Digitale Landwirtschaft mit sicheren Identitäten für vernetzte Maschinen

““

Sie sehen gerade einen Platzhalterinhalt von Spotify Player. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Weitere Informationen
IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf anderen Plattformen anhören

IoT Use Case Podcast #146 -secunet + CLAAS

Wie kann CLAAS seine Landmaschinen vor unbefugtem Zugriff und Manipulationen schützen? In der 146. Episode des IoT Use Case Podcasts sprechen wir darüber, wie digitale Identitäten und automatisierte Sicherheitsprozesse Maschinenkommunikation sicher und effizient gestalten.

Podcast Zusammenfassung

In dieser Episode geht es darum, wie CLAAS, einer der führenden Hersteller von Landmaschinen, die Sicherheit und Effizienz seiner Maschinen durch den Einsatz von digitalen Identitäten und PKI (Public Key Infrastructure) verbessert. Lars Wältermann, IoT Security Manager bei CLAAS, spricht über die Herausforderungen, die sichere Kommunikation von Maschinen zu gewährleisten und Risiken wie unbefugten Zugriff, Manipulationen und teure manuelle Prozesse zu vermeiden. Gemeinsam mit Friedemann Wulff-Woesten und Björn Jansen von secunet erläutert er, wie durch den Einsatz der PKI-Lösung „eID PKI Suite“ von secunet automatisierte und sichere Identitätsverwaltungsprozesse für CLAAS-Maschinen geschaffen werden. Dies stellt sicher, dass die Kommunikation zwischen Maschinen und Backend-Systemen sicher und effizient abläuft. 

Im Podcast wird anhand von Beispielen erklärt, wie Maschinen bereits während der Produktion mit digitalen Zertifikaten ausgestattet werden, die deren Identität bestätigen. Ein weiterer Schwerpunkt liegt auf dem Lebenszyklusmanagement dieser Zertifikate, welches durch die secunet-Plattform ermöglicht wird, um eine kontinuierlich sichere Nutzung der Maschinen zu gewährleisten. 

Zusätzlich wird die Vision von CLAAS diskutiert, die darauf abzielt, ihren Kunden durch Plattformen wie CLAAS Connect eine sichere und datenbasierte Landwirtschaft zu ermöglichen. Diese Plattform hilft Landwirten, ihre Flotten zu verwalten und Felddaten zu analysieren. Zum Abschluss gibt es einen Blick in die Zukunft der sicheren Maschinenkommunikation und die Notwendigkeit einer Standardisierung in der gesamten Branche. 

Podcast Interview

Heute werfen wir einen Blick darauf, wie die Firma CLAAS, einer der führenden Hersteller von Landmaschinen, ihr kennt sie vielleicht vom Feld, diese grünen Mähdrescher, gemeinsam mit ihrem IoT-Partner secunet eine sichere und effiziente Maschinenkommunikation aufgebaut haben. Wie schaffen sie es, hunderttausende vernetzte Maschinen vor unbefugtem Zugriff und möglichen Angriffen zu schützen? Wie funktioniert das Device Management und die Registrierung einer neuen CLAAS-Maschine im Netz? In dieser Episode erfahrt ihr von CLAAS, wie sie das gemacht haben, mit spannenden Einblicken, die auch für euren Betrieb relevant sein können.

Heute habe ich dafür Lars Wältermann eingeladen, er ist IoT Security Manager bei CLAAS. Mit dabei sind auch Friedemann Wulff-Woesten und Björn Jansen von secunet. Außerdem befinden wir uns im Security Special Oktober, passend zur it-sa Expo&Kongress, einer Messe für IT-Sicherheit, die vom 22. bis 24. Oktober in Nürnberg stattfindet. Wenn ihr mehr Infos wollt, schaut in die Folgenbeschreibung. In der letzten Folge hatten wir das Thema Security Use Cases im Bereich der Energienetze, und nächste Woche gehen wir auf den Shopfloor. Jetzt hören wir aber erstmal rein, wie Claas das gemacht hat. Let’s go!

Hallo Friedemann, hallo Lars, hallo Björn. Schön, dass ihr heute dabei seid. Wie geht’s euch? Wo seid ihr gerade? Friedemann, wo bist du?

Friedemann

Ich bin gerade in Dresden, im Mobile Office, nicht am Standort. Ich habe es mir hier eingerichtet.

Sehr schön. Grüße nach Dresden. Lars, wo bist du? Ich sehe da eine Art Garage. Erklär mal für die Hörer, was man da bei dir sieht.

Lars

Ich bin im Homeoffice, in der Nähe unseres Hauptstandorts in Harsewinkel, und gerade im Keller, wo ich manchmal an 3D-Druckern oder anderen Projekten arbeite.

Alles klar, sehr schön. Für die Zuhörer: Ihr seht es nicht, aber Lars hat einen 3D-Drucker im Hintergrund. Vielleicht sprechen wir später noch darüber. Lars, in welchem Bundesland bist du genau?

Lars

Harsewinkel liegt in NRW, in der Nähe von Münster, Bielefeld und Osnabrück, also in OWL.

Alles klar. Liebe Grüße auch in die Region. Björn, wo bist du gerade? Man sieht bei dir im Hintergrund nichts, du bist wohl im Homeoffice. Wo bist du gerade?

Björn

Ja, genau. Ich bin im Mobile Office und arbeite heute von dort aus.

Sehr schön. Dann lasst uns locker einsteigen. Es wäre super, wenn ihr euch kurz vorstellen könntet. Lars, vielleicht fangen wir mit dir an. Was genau machst du bei CLAAS? Ich habe es im Intro kurz angesprochen, aber erklär doch mal genauer, welche Position du bei CLAAS hast.

Lars

Gerne. Ich bin in der zentralen IT im IT Security Management tätig, genauer gesagt als IoT Security Manager. Ich bin regelmäßig im Austausch mit unserer Entwicklung, um zu prüfen, welche Projekte anstehen, welche Steuergeräte entwickelt werden sollen und wie wir diese absichern können. Dazu gehören auch Security-Analysen und die Bereitstellung von Schlüsselmaterialien, um am Ende des Tages sichere Produkte für unsere Kunden anzubieten. Außerdem kümmern wir uns aus Security-Perspektive um eine sichere Produktionsumgebung, also das Thema OT-Security. Wir stellen sicher, dass die CLAAS-Gruppe auch hier gut aufgestellt ist, vor allem im Hinblick auf NIS2. Das sind die Bereiche, mit denen ich mich täglich bei CLAAS beschäftige.

Du hast schon Kunden und Produkte erwähnt. Kannst du kurz erklären, wer eure typischen Kunden sind und welche Produkte du im Zusammenhang mit IT-Security genau meinst?

Lars

Unsere Produkte sind zum einen die klassischen Maschinen, die man anfassen kann, wie Mähdrescher, Häcksler und Traktoren, die unsere Kunden – Landwirte – auf den Feldern nutzen, um Ernteprozesse abzudecken. Darüber hinaus gibt es aber inzwischen auch viele digitale Produkte. Ein Beispiel ist CLAAS connect, eine Plattform, die wir neu aufgesetzt haben. Sie ermöglicht unseren Kunden, also den Landwirten, Flottenmanagement und Felderanalysen durchzuführen. Das machen wir zwar schon seit Jahren, aber jetzt mit einem komplett neuen, modernen Benutzererlebnis. Landwirte können damit zum Beispiel den Ertrag des Jahres sehen und analysieren, welche Düngung im nächsten Jahr besser wäre – bis auf den Quadratmeter genau, oder sogar noch präziser, dank spezieller Verstärkungssignale. Das sind die Produkte, von denen wir bei CLAAS sprechen.

Sehr spannend. Ich habe gerade eure Website offen und werde den Link in die Show Notes packen. CLAAS connect sieht wirklich interessant aus, schaut gerne mal rein. Jetzt muss ich noch mal nachfragen: Ihr seid hier zu dritt – wie ist diese Runde heute eigentlich zustande gekommen? Friedemann, Björn, wie habt ihr Lars kennengelernt und wie arbeitet ihr zusammen?

Lars

Das Thema Security auf unseren Maschinen und Produkten ist schon eine längere Geschichte. Vor über neun bis zehn Jahren haben wir begonnen, weil wir sicherstellen wollten, dass unsere Maschinen sicher kommunizieren. In diesem Zuge brauchten wir digitale Identitäten und Zertifikate. secunet hat uns mit ihrem eID PKI-Produkt eine Lösung angeboten, die genau unseren Anforderungen entspricht, um Identitäten für unsere Maschinen bereitzustellen. So hat sich die Zusammenarbeit entwickelt, und aktuell arbeiten wir an weiteren Themen zusammen. Es geht nicht nur darum, Identitäten bereitzustellen, sondern auch um den Lifecycle-Prozess dahinter – also wie wir Zertifikate oder Identitäten erneuern und die entsprechenden Prozesse aufbauen, um die Lebensdauer unserer Fahrzeuge und Produkte zu verlängern. Das ist das Projekt, an dem wir gerade arbeiten.

Wenn ich das richtig verstehe, geht es bei den digitalen Zertifikaten um das Onboarding, dass, sobald sich eine Maschine im System anmeldet und mit euch kommunizieren oder Daten austauschen möchte, das sicher abläuft. Ihr habt Tausende von Geräten bei Kunden im Einsatz, die ihr so verbindet und sicherstellt, dass sie entsprechend sicher angebunden sind. Stimmt das so?

Lars

Ganz genau. Wir bei CLAAS wollen sicherstellen, dass wir wissen, mit wem wir kommunizieren. Das bedeutet, wir benötigen die Echtheit der Maschine, die mit uns kommunizieren möchte. Das gilt auch für zukünftige Anwendungsfälle wie die Maschine-zu-Maschine-Kommunikation. Wir müssen sicherstellen, dass kein Angreifer zum Beispiel einen Mähdrescher fernsteuern kann. Dafür brauchen wir vertrauenswürdige Identitäten, und genau das sind diese Identitäten, von denen wir sprechen.

Vielleicht noch eine kleine Anschlussfrage: Was mich interessiert, ist die ganzheitliche Vision von CLAAS. Was ist eure Vision im Bereich IoT und Security – sowohl für euch als auch für eure Kunden?

Lars

Unsere Vision bei CLAAS ist es, unseren Kunden Produkte bereitzustellen, damit sie die Besten im Feld sind. Das ist der Kern, den wir mit unseren Plattformen verfolgen. Die Daten, die unsere Maschinen erheben, wollen wir natürlich auch unseren Kunden zur Verfügung stellen – abgesichert und datenschutzkonform. Unser Ziel ist es, unseren Kunden die besten Werkzeuge zu geben, um in ihrer Arbeit führend zu sein. Das ist die Idee hinter den IoT-Daten und unseren Produktdaten, die wir bereitstellen.

[08:38] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus

Friedemann, wie ist das bei euch von secunet? Ihr arbeitet ja schon länger zusammen. Um welches Projekt geht es hier genau und was macht ihr gemeinsam?

Friedemann

Lars hat ja schon gesagt, secunet stellt Produkte wie die eID PKI Suite bereit, zu der wir auch Produktberatung anbieten.  Diese Software wird von secunet entwickelt und kann kundenspezifisch angepasst werden. Es gibt verschiedene Module. Was Lars und ich konkret zusammen machen, ist einerseits die Arbeit mit der Software, aber auch die Prozesse rund um eine PKI, die ja oft komplexer sind. Die Software stellt ein Zertifikat aus, aber der eigentliche, komplexere Teil eines PKI-Projekts besteht darin, die genauen Prozesse zu definieren: Welche Maschinen brauchen welche Identitäten? Dazu beraten wir ebenfalls – also eine allgemeine IT-Sicherheits- und PKI-Beratung. Das sind die zwei Aspekte unserer Arbeit bei secunet, auch für andere Produkte.

Wir haben jetzt das Stichwort digitale Zertifikate erwähnt. Kannst du vielleicht erklären, was das genau bedeutet? Wie funktioniert das, wenn ich eine neue Maschine registrieren und ihr eine Identität geben möchte? Hast du ein Beispiel, um das greifbar zu machen?

Friedemann

Ein einfaches Beispiel aus der nicht-digitalen Welt wäre unser Personalausweis. Man kann ihn sich wie ein Zertifikat vorstellen. Woher bekommt man den Personalausweis? Vom Bürgeramt, das wäre in der PKI-Welt die sogenannte Registration Authority, oder RA, also die Registrierungsstelle. Das Bürgeramt druckt den Ausweis aber nicht selbst, das macht in Deutschland die Bundesdruckerei, die man sich als Zertifizierungsstelle, bzw. Certificate Authority, oder CA, vorstellen kann. Das ist im Grunde der Ablauf. Dann gibt es bei einer PKI immer die Frage, wie der Erstantrag funktioniert. In Deutschland hat man eine Geburtsurkunde, geht damit zu einer staatlichen Stelle und bekommt den Personalausweis. Wenn der Personalausweis abläuft, geht man einfach wieder zum Bürgeramt und bekommt auf Grundlage des alten Ausweises einen neuen. Genauso hat auch ein Zertifikat ein Ablaufdatum, ähnlich wie ein Personalausweis. Das ist die Analogie.

Vielleicht können wir diese Analogie weiter nutzen, um die technische Erklärung besser zu verstehen. Vorher aber noch eine Verständnisfrage: Warum ist das überhaupt wichtig? Ich frage das bewusst, um den Business Case herauszuarbeiten und zu verstehen, warum es für CLAAS wichtig ist, diese Maschinenidentitäten aufzubauen. Könnt ihr darüber sprechen, was das Warum hinter dem Projekt ist?

Lars

Historisch gesehen hatten Maschinen nur eine Seriennummer, die man lokal identifizieren konnte. Heutzutage wollen wir durch Plattformen wie CLAAS connect genau wissen, welche Maschine welche Daten gesammelt hat und zu wem sie gehört. Für diese digitalen Anwendungsfälle brauchen wir digitale Identitäten.
Wie Friedemann schon sagte, bekommt man bei der Geburt seine Geburtsurkunde. Ähnlich läuft es bei uns mit den Maschinenidentitäten. Unsere Steuergeräte kommen von Zulieferern, und erst auf der Produktionsstraße, wenn das Steuergerät einer Maschine zugeordnet wird, erhält diese CLAAS-Maschine ihre eigene CLAAS-Identität. Ab diesem Zeitpunkt wissen wir, dass die physische Seriennummer dieser Maschine genau zu dieser einen digitalen Identität gehört. Wenn das Fahrzeug dann das Werk verlässt und auf den Feldern arbeitet, haben wir ein 1:1-Mapping zwischen der physischen Maschine und ihrer digitalen Identität.
Das ermöglicht uns nicht nur digitale Anwendungsfälle, sondern auch praktische Dinge wie die Identifikation defekter Teile. Zum Beispiel können wir über Telemetriedaten und Sensoren frühzeitig erkennen, wenn ein Ersatzteil benötigt wird, und dieses rechtzeitig im Ernteprozess bereitstellen – weltweit.

Okay, und Telemetriedaten können verschiedene Arten von Daten sein, wie Jobdaten vom Feld, was der Landwirt gerade produziert, oder GPS-Daten, also jegliche Daten, die erhoben werden.

Lars

Genau, ja. Und viele dieser Daten sind für den Kunden sehr sensibel, wie zum Beispiel personenbezogene oder Standortdaten. Deshalb brauchen wir eine sichere Kommunikation zwischen der Maschine und dem Backend, aber auch in Zukunft zwischen Maschinen. Deswegen sind diese digitalen Identitäten so wichtig.

Bleiben wir beim Business Case. Könnt ihr näher erklären, welche geschäftlichen Herausforderungen dahinterstecken? Du hast schon erwähnt, dass es darum geht zu wissen, mit wem die Maschine kommuniziert. Was wäre der Worst Case, wenn das nicht funktioniert? Welche Herausforderungen hattet ihr auf geschäftlicher Ebene?

Lars

Ich würde hier unsere Chefin zitieren, die oft das Horror-Szenario des ferngesteuerten Mähdreschers beschreibt, der in einen Kindergarten fährt. Das ist ein sehr plakatives Beispiel, aber es verdeutlicht das Problem. Wenn wir nicht sicherstellen können, wer mit der Maschine kommuniziert – sei es der autorisierte Backend-Service von CLAAS oder jemand, der direkt neben der Maschine steht oder sogar jemand, der zu Hause auf dem Sofa sitzt – könnte diese Person die Maschine wie ein ferngesteuertes Auto steuern. Sie könnte der Maschine sagen, links oder rechts zu fahren. Das ist das greifbarste Szenario, das zeigt, warum wir sichere Gerätekommunikation benötigen.

Also, eine Art Manipulationssicherheit. Und im schlimmsten Fall sind Menschenleben gefährdet. Das ist ein sehr anschauliches Beispiel, das jeder gut verstehen kann. Gibt es noch weitere Business Cases, gerade im Zusammenhang mit den Zertifikaten? Es geht ja letztlich um eine Art Device-Management, um all diese Maschinen zu vernetzen. Was würde passieren, wenn ihr das nicht automatisiert machen würdet? Wie viel Zeit und Geld würde das kosten, überspitzt gesagt?

Lars

Ohne PKI hätten wir das manuell gar nicht bewältigen können, mit der aktuellen Personalkapazität bei CLAAS. Wir haben schon über 300.000 Zertifikate und Schlüsselmaterialien mit der PKI ausgestellt. Wenn wir das alles per Hand machen müssten, vielleicht mit Excel-Mappings, würden wir überhaupt nicht hinterherkommen.

Da steckt ja auch eine enorme Fehleranfälligkeit bei solchen manuellen Vorgängen.

Friedemann

Genau. Technisch gesehen machen wir hier im Grunde ein Mapping von einer Identität auf Public Keys. In der Kryptographie gibt es symmetrische und asymmetrische Verschlüsselung, und bei Zertifikaten sprechen wir von asymmetrischer Kryptographie. Hierbei gibt es einen privaten Schlüssel, den man geheim hält, und einen öffentlichen Schlüssel, der veröffentlicht werden kann. Das Mapping, das wir durchführen, verknüpft die Maschinenidentität, also die Seriennummer, mit einem Public Key.
Das ist vergleichbar mit dem Personalausweis: Dort wird die Identität einer Person mit bestimmten Informationen verknüpft. Genauso machen wir es mit Maschinen. Das geschieht automatisiert über die PKI und nicht manuell in Excel. So wissen wir, wenn die Maschine mit dem Backend kommuniziert, dass beide Seiten sich gegenseitig authentifizieren können – das nennt man Mutual TLS oder mTLS. Das ist das Ziel, das wir damit erreichen wollen.

Vielleicht können wir an dieser Stelle noch einmal die Begrifflichkeiten klären. Wer aus der Security-Branche kommt, kennt diese Begriffe wahrscheinlich, aber für alle anderen wäre es hilfreich, eine Einordnung zu bekommen. Björn, kannst du erklären, was PKI und Identitäten genau bedeuten und wie dieses Mapping funktioniert? 

Björn

Grundsätzlich kann man sagen, dass eine PKI ein integriertes Vertrauenssystem für unsere Kunden bildet, die entsprechende Systeme bei sich aufbauen.
Sie umfasst zum einen den technischen Teil, also die Ausstellung von Zertifikaten direkt am Band, wie zum Beispiel für Kunden wie CLAAS. Dabei wird das Schlüsselmaterial, das in den Zertifikaten enthalten ist, so gemappt, dass es den einzelnen Zertifikaten und Geräten zugeordnet werden kann. Zum anderen gibt es den prozessualen Teil, den sowohl Friedemann als auch Lars hervorgehoben haben: die Verlässlichkeit der Ausstellung solcher Zertifikate. So kann man in automatisierten Prozessen sicherstellen, dass derjenige, der ein Zertifikat vorweist, auch tatsächlich der Inhaber dieses Zertifikats ist. Letztlich entsteht dadurch eine Vertrauensbeziehung zwischen Sender und Empfänger.

Lars, wir haben vorhin schon über Datentypen gesprochen, wie etwa Jobs, die erledigt werden müssen. Welche typischen Daten werden in euren Use Cases verarbeitet, beispielsweise über CLAAS connect oder das PKI-System? Kannst du uns aus der Praxis berichten, welche Daten ihr benötigt und verarbeitet? Du hast bereits Seriennummern erwähnt, das sind vermutlich solche Daten.

Lars

Es gibt maschineneigene Daten wie Seriennummern oder Telemetriedaten, zum Beispiel wie viel Korn mit welchem Verbrauch geerntet wurde. Das sind Metadaten der Maschine selbst, die über CLAAS connect gesammelt, verarbeitet und dem Kunden bereitgestellt werden. Zusätzlich gibt es eigene Daten für die Maschine, wie Software-Update-Pakete für die Steuergeräte. Auch hier nutzen wir Schlüsselmaterialien, um sicherzustellen, dass die Software-Updates digital signiert sind. Das bedeutet, die Maschine oder das Steuergerät kann verifizieren, dass das Update von einer vertrauenswürdigen CLAAS-Instanz stammt und unterwegs nicht manipuliert wurde. Das verhindert beispielsweise, dass ein Angreifer eine Backdoor in die Software integriert, um Remote-Zugriff zu bekommen. Wir sichern das durch digitale Signaturen ab, indem wir einen Hash über die Firmware erstellen und diesen Hash digital mit einem privaten Schlüssel signieren, der in unserer PKI abgesichert ist, einschließlich Hardware Security Modules. So reduzieren wir das Risiko, dass jemand nicht-vertrauenswürdige Software auf unseren Maschinen lauffähig macht.

Ihr setzt ja auch secunet-Produkte ein. Kannst du kurz erklären, welche secunet-Produkte ihr verwendet, um genau das zu tun, was du gerade beschrieben hast?

Lars

Ja, wir nutzen die secunet eID PKI als Plattform. Diese Plattform ist mit verschiedenen Zusatzmodulen und API-Schnittstellen ausgestattet. Über eine API-Schnittstelle können wir beispielsweise die Software-Signaturen erstellen. Der Entwickler erstellt die Software, und während des Entwicklungsprozesses wird ein Hash gebildet, der an die PKI geschickt und dort digital signiert wird. Das ist ein Anwendungsfall, den wir mit der eID PKI abdecken. Neu dazu kommt das EST-Protokoll, Enrollment over Secure Transport, mit dem wir Zertifikate für bestehende Maschinen erneuern wollen. Auch das ist ein Modul der eID PKI. Man kann sich die eID PKI wie einen Baukasten vorstellen, und wir haben uns die API-Schnittstellen und das EST-Protokoll ausgesucht, weil sie am besten zu unseren Anforderungen passen und wir damit flexibel mit den Steuergeräten arbeiten können.

Okay, also ich glaube, der Business Case liegt auf der Hand – es geht um die Verhinderung von Manipulationen, die potenziell Menschenleben gefährden könnten, und um das Thema Device Management und Zertifikatsverwaltung. Das manuelle Vorgehen mit Excel-Tabellen wäre hier nicht praktikabel, weshalb ihr auf eine automatisierte Lösung mit secunet setzt.

 

[22:33] Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien

 

Jetzt würde ich gerne verstehen, wie das Ganze in der Praxis funktioniert. Friedemann, kannst du bitte erklären, was die Gesamtlösung ist, die ihr CLAAS zur Verfügung gestellt habt? Wie funktioniert das genau? Vielleicht kannst du das kurz umreißen, und dann würde ich tiefer nachfragen, wie ihr das konkret macht.

Friedemann

Die eID PKI Suite ist eine Software mit verschiedenen Modulen. Bei CLAAS haben wir die eID PKI Suite installiert und konfiguriert. Diese Suite gibt es in drei verschiedenen Varianten, und bei CLAAS nutzen wir die On-Premise-Variante. Das bedeutet, die Software läuft direkt vor Ort bei CLAAS, und das Schlüsselmaterial wird in HSMs, also Hardware Security Modules, vor Ort gespeichert. Das ist die höchste Sicherheitsstufe, da der Kunde die volle Kontrolle über das Schlüsselmaterial hat.
Es gibt allerdings auch andere Deployment-Möglichkeiten. Zum Beispiel könnte man die Software als Container, via Docker oder Kubernetes, betreiben. Eine weitere Option wäre, dass unsere Tochterfirma SysEleven, ein Cloud-Provider, das Hosting übernimmt. Diese drei Varianten stehen zur Verfügung.
Bei CLAAS haben wir die On-Premise-Variante gewählt und die verschiedenen Module der eID PKI Suite als RPM-Pakete installiert, jeweils auf den speziellen Use Case bei CLAAS zugeschnitten. Wie Lars schon gesagt hat, gibt es beispielsweise für die Zertifikatserneuerung das CMP-Modul, Certificate Management Protocol, das jedoch sehr komplex ist. In diesem Fall haben wir uns für EST entschieden, da es einfacher und flexibler ist und auf HTTPS basiert. Wenn andere Kunden jedoch CMP, ACME oder ein anderes Protokoll benötigen, kann die eID PKI Suite entsprechend angepasst werden.

Und die Docker-Container-Architektur, nur nachgefragt: Ihr nutzt das wahrscheinlich, um die Geräteverwaltung effizienter zu machen, richtig? Das hält die Verwaltung ja im Grunde automatisiert und effizient.

Friedemann

Die Docker-Container-Architektur bezieht sich in diesem Fall nur auf das Deployment der eID PKI Suite selbst. Wir hätten die Software bei CLAAS auch mit Docker-Containern bereitstellen können, haben uns aber entschieden, die Pakete direkt zu installieren. Docker-Container sind einfach ein Weg, um sicherzustellen, dass alle Abhängigkeiten der Software, wie bestimmte Java-Versionen, in einem Image enthalten sind. Das ist nur eine Methode, um die Software zu installieren, aber es hat nichts mit der Maschinenverwaltung selbst zu tun. Es geht nur darum, wie die Software, die die Zertifikate ausstellt, installiert wird.

Verstehe. Lars, am Ende könnt ihr mit diesem Produkt sowohl die Maschinenidentifikation als auch die Zertifikatserneuerung über den gesamten Lebenszyklus hinweg durchführen. Das ist der technische Anwendungsfall, den ihr mit dem Produkt umsetzt, richtig?

Lars

Genau. Aus Security-Sicht möchten wir auch die Laufzeiten von digitalen Identitäten verkürzen, ähnlich wie es bei Zertifikaten für Web-Services passiert, wo Laufzeiten von 12 bis 13 Monaten üblich sind und man überlegt, auf 3 Monate zu reduzieren. Das Gleiche gilt für den Personalausweis, der auch regelmäßig erneuert werden muss. Wir wollen sicherstellen, dass die Identität der Maschine zwischendurch erneuert wird, damit wir garantieren können, dass es immer noch dieselbe Maschine ist. Deshalb ist die Zertifikatserneuerungsfunktion in der eID PKI für uns wichtig.

Okay, das habe ich verstanden. Und vielleicht als letzte Frage in Richtung Technik: Wir hatten vorhin über das Mapping der Daten gesprochen. Friedemann, Björn, könnt ihr erklären, wie dieses Mapping in eurem Produkt funktioniert? Wie wird das genau gemacht?

Friedemann

Wie Lars bereits erwähnt hat, wird beim Erstantrag einer neuen Maschine ein Zertifikat ausgestellt. In der Web-Oberfläche der eID PKI Suite kann man alle Zertifikate, die von einer bestimmten Certificate Authority ausgestellt wurden, filtern und einsehen. Man sieht, wann das Zertifikat ausgestellt wurde und wie lange es gültig ist. Jedes Zertifikat enthält neben dem Public Key auch einen Identifier, in diesem Fall den sogenannten Common Name. Diese Zertifikate sind im X.509-Format und in diesem Format gibt es Felder, wie eben diesen Common Name, oder CN, der quasi den Namen der Maschine darstellt – ähnlich wie Vor- und Nachname auf einem Personalausweis. So kann man genau nachvollziehen, welches Zertifikat wann ausgestellt wurde.

Verstehe. Das bedeutet, dass die Verbindung der Maschinen und die Vergabe von Identitäten auch skalierbar ist, selbst bei Tausenden oder Hunderttausenden Geräten. Das System bleibt flexibel, egal wie viele Maschinen verwaltet werden müssen. Habt ihr typischerweise Kunden, die so viele Geräte wie CLAAS haben, oder gibt es auch Kunden mit weniger Geräten, vielleicht im Bereich von Hunderten?

Friedemann

Das hängt ganz von den Geräten ab. Die eID PKI Suite wird zum Beispiel von Automotive OEMs genutzt, die PKWs herstellen – da sind die Stückzahlen noch höher als bei CLAAS, weil PKWs in größeren Mengen produziert werden als Nutzfahrzeuge. Es gibt aber auch Versorger, die sie für Smart Meter einsetzen. Es kommt also auf die Art der Produkte an, die abgesichert werden. PKI ist im Grunde nur ein Tool, um Ziele wie die Verhinderung von Man-in-the-Middle-Angriffen zu erreichen. Björn, kannst du vielleicht noch etwas zu verschiedenen Kundengruppen der eID PKI Suite sagen?

Björn

Wir haben über 350 Installationen bei unseren Kunden, und das Einsatzspektrum ist sehr vielfältig. Es lässt sich daher nicht auf eine bestimmte Stückzahl an ausgestellten Zertifikaten oder Endgeräten festlegen. Wie Friedemann schon gesagt hat, hängt es von der Art der Geräte ab, die damit ausgestattet werden. Der Kernpunkt ist immer, das Vertrauen zwischen den Geräten sicherzustellen. Wenn man eine bestimmte Anzahl an Geräten hat und Wert auf Sicherheit legt, wird es wichtig, den Prozess zu automatisieren – und das kann schon ab etwa zehn Schlüsseln sinnvoll sein. Die Vorteile liegen im Komfort, denn man kann sowohl auf jedes einzelne Gerät granular zugreifen als auch Software zentral für alle Geräte signieren, wie Lars beschrieben hat. Jedes Gerät weiß dann, dass die Software aus einer vertrauenswürdigen Quelle stammt, was einen großen Vorteil darstellt.

Ja, genau. Der Use Case ist eigentlich immer ähnlich – es geht um den Schutz vor Manipulationen, wie etwa Man-in-the-Middle-Angriffe, und um Device Management und Zertifikatsverwaltung. Der Grundgedanke hinter den Use Cases eurer Kunden bleibt also relativ gleich.

Friedemann

Genau. Vielleicht noch als Ergänzung zur Frage nach der genauen Anzahl: Bei CLAAS ist die eID PKI Suite on-premise installiert, das heißt, secunet selbst – also Björn und ich – können gar nicht sehen, wie viele Zertifikate ausgestellt wurden. Das bleibt vollständig unter der Kontrolle von CLAAS und ist vertraulich. Wir haben also keinen Einblick in die genauen Stückzahlen, und das ist auch gut so, da es den Kunden vorbehalten ist.

Ja, das macht total Sinn. Falls jemand zuhört und einen ähnlichen Anwendungsfall hat oder das Thema angehen möchte, würde ich, wenn es für euch okay ist, eure Kontakte in den Show Notes verlinken. Dann können Interessierte nachträglich Kontakt zu euch aufnehmen und ihren eigenen Use Case besprechen, um die Vorteile zu nutzen. Ich werde auch noch weitere Details zu dem Projekt in die Show Notes packen, damit ihr nachlesen könnt. Für meine letzte Frage heute möchte ich noch einen Blick in die Zukunft werfen. Lars, wo siehst du die größten Herausforderungen und Chancen in der Zukunft der vernetzten Landmaschinen, basierend auf dem, was wir heute besprochen haben? Welche Herausforderungen könnten auf euch oder die Branche zukommen?

Lars

Aus der CLAAS-Perspektive ist eine der größten Herausforderungen definitiv die Implementierung der Lifecycle-Prozesse für alle Fahrzeuge und Maschinen. Generell für die Branche wird es aber auch eine Herausforderung sein, wie wir die verschiedenen Hersteller miteinander vernetzen. Dafür gibt es ja die AIF als Arbeitsgruppe. Wenn zum Beispiel ein John Deere Traktor neben einem CLAAS Mähdrescher fährt und man das Korn abtanken möchte, könnte es zukünftig Kommunikations-Use-Cases geben. Ich denke, die Herausforderung wird nicht nur die technische Umsetzung sein, sondern auch, das Vertrauensmodell, das wir für unsere Maschinen nutzen, branchenweit zu etablieren.

Also geht es auch um die Standardisierung zwischen den Herstellern, was wahrscheinlich die Aufgabe der Arbeitsgruppe ist, die du erwähnt hast. Das klingt sehr sinnvoll. Spannend, dass du das ansprichst, weil ich mich auch gefragt habe, wie die Zusammenarbeit zwischen den Wettbewerbern in der Branche funktioniert. Es ist ein interessanter Ausblick, dass es darum geht, die Daten der Kunden oder Dienstleister ganzheitlich zu integrieren. Vielen Dank von meiner Seite für die Einblicke, die ihr heute geteilt habt. Ich habe noch viele weitere Fragen, aber das können wir gerne auch nachträglich besprechen. Nehmt einfach Kontakt zu Björn, Friedemann oder dir, Lars, auf, und dann könnt ihr das in Ruhe besprechen. Vielen Dank, dass ihr heute dabei wart und einen konkreten Kunden-Case vorgestellt habt, wie CLAAS das angeht. Ich übergebe euch das letzte Wort, danke nochmal, dass ihr heute mitgemacht habt.

Friedemann

Ja, vielen Dank. Hat mir Spaß gemacht. Freue mich auch, dass du, Lars, dabei warst und es geklappt hat. Finde ich super. Danke.

Lars

Kann ich nur zurückgeben. Vielen Dank, war eine tolle Erfahrung, hat Spaß gemacht. Danke.

Björn

Auch von meiner Seite vielen Dank für den guten Austausch.

Super, vielen Dank und euch noch eine schöne Restwoche. Macht’s gut, ciao!

Friedemann

Danke. Ciao!

Für Rückfragen stehe ich Ihnen gern zur Verfügung.

Questions? Contact Madeleine Mickeleit

Ing. Madeleine Mickeleit

Host & Geschäftsführerin
IoT Use Case Podcast