Do you want to see our content in English?

x
x

IoT-Geräte absichern und effizient verwalten – teure Fehler und Sicherheitsrisiken vermeiden

““

Klicken Sie auf den unteren Button, um den Inhalt von Spotify Player zu laden.

Inhalt laden

IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf anderen Plattformen anhören

IoT Use Case Podcast #147 - ECOS Technology + conplement

In dieser Episode erfährst du, wie Unternehmen ihre IIoT-Geräte durch effizientes Device Management und Sicherheitszertifikate vor Cyberangriffen schützen und teure manuelle Prozesse vermeiden können. Gerald Richter (ECOS Technology) und Sebastian Fischer (conplement AG) teilen praxisnahe Lösungen, um Sicherheitsrisiken zu minimieren und die Effizienz vernetzter Geräte in der Industrie zu steigern.

 

Podcast Zusammenfassung

In dieser Folge wird über die Herausforderungen und Lösungen im Bereich Device Management und Sicherheit für IIoT-Geräte gesprochen. Gerald Richter, Geschäftsführer von ECOS Technology, und Sebastian Fischer, Produktmanager für Device Management bei der conplement AG, erläutern, wie Unternehmen ihre IoT-Geräte effizient verwalten und absichern können. Die Experten teilen ihre Erfahrungen aus Projekten und zeigen auf, wie Sicherheitszertifikate, automatisierte Updates und ein sicheres Geräte-Management helfen, Risiken wie Cyberangriffe und Manipulationen zu minimieren. 

Es werden Use Cases vorgestellt, die zeigen, wie Unternehmen durch die Vermeidung manueller Prozesse Zeit und Kosten sparen und gleichzeitig die Sicherheit ihrer vernetzten Geräte gewährleisten können. Ein zentrales Thema ist dabei die Herausforderung, Geräte über ihren gesamten Lifecycle hinweg zu aktualisieren und die Compliance-Anforderungen zu erfüllen. Insbesondere für regulierte Branchen wie die Medizintechnik ist dies ein kritischer Punkt. 

Abschließend gehen die Gäste auf konkrete Technologien ein, die zum Einsatz kamen, und geben Einblicke in erfolgreiche Projekte sowie zukünftige Entwicklungen im Bereich IIoT und Sicherheitslösungen.

Podcast Interview

Wusstet ihr, dass manipulierte Daten in eure Produktionsabläufe einfließen und zu falschen Entscheidungen führen können? Oder wie viel Zeit und Ressourcen ihr durch manuelle Updates eurer Geräte, etwa über USB-Sticks, verliert? In dieser Folge erfahrt ihr, wie ihr diese Probleme vermeidet, indem ihr eure IoT-Geräte und Maschinen effizient und sicher verwaltet. Der Use Case hier: Device Management mit Schwerpunkt auf Security und Zertifikate.
Dafür habe ich mir heute zwei Experten eingeladen: Gerald Richter, Geschäftsführer der ECOS Technology, einem deutschen Softwarehersteller für IT-Security-Produkte, und Sebastian Fischer, Produktmanager bei der conplement AG, einem IT-Dienstleister unter anderem für Device-Management-Produkte. Alle weiteren Infos findet ihr wie immer in den Show Notes oder unter www.iotusecase.com. Viel Spaß bei dieser Folge!

Herzlich willkommen im IoT Use Case Podcast. Gerald und Sebastian, schön, dass ihr heute da seid. Gerald, wie geht es dir und wo bist du gerade?

Gerald

Mir geht’s gut, ich bin im Büro.

Sehr gut. Wo genau ist euer Büro?

Gerald

Unsere Firma ist in Oppenheim am Rhein, mitten in einer Weinbaugegend. Wenn ich aus dem Fenster schaue, sehe ich viele Weinberge. Auch wenn die Sonne gerade nicht scheint, ist es bei Sonnenschein sehr schön hier.

Fantastisch, liebe Grüße nach Rheinland-Pfalz! Und Sebastian, wo bist du gerade? Auch in der Region?

Sebastian

Ich bin etwas weiter südlich und habe mich heute ins gemütliche Homeoffice in der Metropolregion Nürnberg verzogen. Die conplement AG hat ihren Sitz in Nürnberg.

Ja, super, ich winke mal rüber! Privat lebe ich in Erlangen bei Nürnberg, wir sind also gar nicht so weit voneinander entfernt. Gerald, du bist Geschäftsführer – erzähl uns doch ein bisschen mehr über deinen Hintergrund und deine Rolle bei ECOS.

Gerald

Mein Background liegt in der Technik. Ich habe sehr früh angefangen zu programmieren, mittlerweile seit 45 Jahren. In dieser Zeit habe ich viele Programmiersprachen kommen und gehen sehen und auch viel eigenen Code geschrieben. Vor 20 Jahren hatte ich dann die Idee, gemeinsam mit einem Bekannten eine Firma zu gründen – das ist die ECOS, der ich als Geschäftsführer noch heute vorstehe. Früher, als wir noch kleiner waren, habe ich mich sehr intensiv um die Technik gekümmert, aber inzwischen decke ich als Geschäftsführer alle Bereiche ab – vom Vertrieb über Marketing bis hin zu kaufmännischen Themen. Technisch bin ich aber nach wie vor stark involviert, weil das einfach mein Ursprung ist.

Spannender Hintergrund und offensichtlich auch sehr erfolgreich. Wir erfahren heute noch mehr dazu. Sebastian, was machst du genau und wie sieht dein Background aus?

Sebastian

Ich habe auch mal als Softwareentwickler angefangen, und zwar im medizintechnischen Bereich – also in einer ganz anderen Welt. Irgendwann bin ich dann über den Product Owner zum Produktmanager gewechselt, zuletzt stark im industriellen Umfeld. Inzwischen bin ich bei der conplement AG als Produktmanager im Bereich Device Management tätig.

Sehr gut, du kennst ja auch viele Use Cases eurer Kunden. Dazu kommen wir gleich. Aber vielleicht zuerst: Wie kommt es, dass ihr beide heute hier seid? Woher kennen sich eure Firmen, und wie ist diese Runde zustande gekommen? Gerald, magst du aus Sicht von ECOS starten?

Gerald

Wir haben uns tatsächlich bei einer Veranstaltung der Open Industry 4.0 Alliance kennengelernt. Das ist ein Zusammenschluss von Firmen, größtenteils aus dem deutschsprachigen Raum, zunehmend aber auch international. Hier kommen vor allem Unternehmen aus der Industrie zusammen, die gemeinsame Lösungen für die Anforderungen von Industrie 4.0 erarbeiten wollen. Dabei geht es nicht um theoretische Konzepte, die am Ende doch nicht funktionieren, sondern um praktische Lösungen. Praktiker arbeiten hier zusammen, um vor der eigentlichen Konkurrenzsituation interoperable Lösungen zu entwickeln – was ja auch der Kern von Industrie 4.0 ist. Auf einer dieser Veranstaltungen haben Sebastian und ich uns kennengelernt und festgestellt, dass unsere Lösungen sich sehr gut ergänzen.

Fantastisch. Für alle, die die Open Industry 4.0 Alliance noch nicht kennen: Schaut mal in die Show Notes, ich habe sie dort verlinkt. An dieser Stelle auch herzliche Grüße an den Vorstand. Hans-Jürgen Huber war ja auch schon mal hier im Podcast, genauso wie Christian Liedtke. Liebe Grüße also in die Runde! Da wir uns heute aber nicht auf die Alliance konzentrieren, sondern auf eure gemeinsamen Projekte, schauen wir uns doch mal die Use Cases an und was ihr gemeinsam umsetzt.
Vielleicht mal die Frage: Wer von euch ist näher dran an den geschäftlichen Use Cases der Kunden? Habt ihr ein Beispiel? Sebastian, du hast erwähnt, dass ihr da ziemlich nah an den Projekten eurer Kunden dran seid, oder?

Sebastian

Genau, wir bei conplement verstehen uns als Digital Enabler. Das bedeutet, dass die vertrauensvolle Zusammenarbeit mit den Kunden für uns zentral ist. Wir schauen uns immer die Themen an, die die Kunden bewegen, und legen großen Wert darauf, alles sicher aufzubauen und zu gestalten. Sicherheit spielt in der Softwareentwicklung, besonders bei Embedded-Geräten, eine immer größere Rolle. Ein Schlüsselthema dabei ist das Zertifikatsmanagement, um sichere Lösungen auf Geräten zu implementieren, Verbindungen zu verschlüsseln etc. Genau deshalb ist die Verbindung zu ECOS so wichtig, denn es ist immer gut, einen lokalen Partner zu haben. Es gibt natürlich global agierende Unternehmen, aber in der deutschen Industrie gibt es oft Bedarf an spezialisierten Lösungen. Da ist es hilfreich, einen direkten Ansprechpartner zu haben, der schnell auf spezifische Anforderungen reagieren kann. Mit ECOS haben wir einen Partner, der nur einen Anruf entfernt ist und mit dem wir gemeinsam passgenaue Lösungen für unsere Kunden entwickeln können.

Wenn du sagst, für den Kunden – kannst du das ein bisschen eingrenzen? Welche Zielgruppe oder welche Kundenlandschaft betreut ihr? Ist das vor allem der Mittelstand? Und mit welchen Personen sprecht ihr da häufig, um das besser zu verstehen?

Sebastian

Genau, wir sehen uns als Digital Enabler für den Mittelstand, da hier aus unserer Sicht noch der größte Aufholbedarf besteht. Der omnect Secure OS lässt sich an nahezu jedes Gerät anpassen, sodass wir sowohl kleine, smarte IoT-Geräte als auch Edge-Gateways an Maschinen bedienen können. Manchmal handelt es sich dabei auch um Industriegeräte, die durch solche Gateways erst digital enabled werden.

Gerald

Zum Thema Mittelstand: Klassisch definiert umfasst der Mittelstand relativ kleine Firmen, aber ich denke, wir – und ich glaube, das gilt auch für conplement – richten uns nicht nur an Unternehmen mit bis zu 500 Mitarbeitern. Unsere Zielgruppe umfasst durchaus auch größere Unternehmen mit 1.000 bis 10.000 oder mehr Mitarbeitern, die international tätig sind, deren Führung aber in Deutschland sitzt. Das Wesentliche ist, dass diese Unternehmen oft Wert darauf legen, einen lokalen Ansprechpartner zu haben, wie Sebastian es bereits gesagt hat. Sie schätzen kurze Wege und den Austausch auf Augenhöhe, und ich denke, darin liegt für uns beide als Firmen ein großer Vorteil.

Heute geht es ja um den allgemeinen Use Case Device Management. Da steckt noch einiges mehr dahinter. Könnt ihr uns einen Überblick geben, welche Firmen das betrifft und welche Geräte dabei eine Rolle spielen? Eben ist das Stichwort Embedded Software auf den Geräten gefallen. Sind das Bestands- oder Neugeräte? Was beschäftigt eure Kunden im Bereich Device Management genau?

Sebastian

Es gibt eine große Vielfalt an Geräten im Markt. Ein Beispiel wären Netzverteilerstationen oder Windräder im Energiemanagement, die mit smarten Sensoren ausgestattet werden sollen. Gleichzeitig haben wir die großen Maschinenhallen im produzierenden Gewerbe, wo Unternehmen ihre Fertigung digitalisieren wollen, ohne ihre bestehenden Maschinen zu ersetzen. Hier kommen oft Gateways zum Einsatz, die von verschiedenen Herstellern stammen können, darunter viele gute deutsche Anbieter, mit denen wir zusammenarbeiten. Das Ziel ist es, eine passende Lösung zu finden, um die gewünschten Ergebnisse zu erzielen, wie z. B. Datengewinnung oder AI-Use Cases. Da gibt es kaum Grenzen.

Eure Firmen sind ja schon lange am Markt, aber das Thema IoT und Vernetzung spielt jetzt eine immer größere Rolle. Könnt ihr mich und die Zuhörer abholen, was eure Vision in Richtung Digitalisierung mit IoT und Live-Daten für eure Kunden ist? Wo wollt ihr hin, und was ist eure Vision für die Zukunft eurer Kunden?

Gerald

Bisher hatten wir im Industriebereich, speziell in der Fertigung, oft isolierte Insellösungen. Eine Werkshalle hat vielleicht ein eigenes Bussystem, das komplett abgeschottet ist. Doch mit der Digitalisierung verändert sich das. Wir kennen die klassische Automatisierungspyramide: Unten der Shopfloor, darüber verschiedene Systeme bis hin zu SAP, wobei jede Ebene immer nur mit der direkt darüberliegenden kommuniziert. Diese Struktur löst sich jetzt auf, besonders durch Industrie 4.0, wo die Vision lautet: Alles kommuniziert mit allem – Lieferanten, Kunden. Der erste Anlauf dazu ist vor etwa zehn Jahren gestartet, aber in der Praxis wurde das bisher nur an wenigen Stellen umgesetzt. Jetzt gibt es neue Initiativen, auch von der Bundesregierung und dem Wirtschaftsministerium, wie z. B. Factory-X, um diese Vision weiter voranzutreiben.
Gleichzeitig gewinnen digitale Zwillinge und künstliche Intelligenz an Bedeutung. Diese Technologien erfordern jedoch das Sammeln und Auswerten einer großen Menge an Daten – und dafür reichen klassische Methoden nicht mehr aus. Alles ist zunehmend vernetzt, was viele Vorteile bietet. Allerdings gibt es auch neue Gefahren, denn wo alles miteinander kommuniziert, entstehen Angriffsvektoren. In der Vergangenheit war IT-Security im Produktionsumfeld kaum ein Thema, weil die Anforderungen nicht da waren. Heute sieht das anders aus. Nicht nur in der Produktion, sondern auch bei den Produkten selbst – mittlerweile sind sogar Haushaltsgeräte wie Staubsauger, Spülmaschinen und Zahnbürsten vernetzt. Meine Zahnbürste könnte auch mit dem Internet kommunizieren, wenn ich das zulassen würde. Warum sie das tun sollte, verstehe ich allerdings noch nicht ganz – aber das ist ein anderes Thema. Jedenfalls: Mit dieser zunehmenden Vernetzung kommt ein ganz neuer Angriffsvektor, und den gilt es in den Griff zu bekommen. Dafür brauchen wir entsprechende Sicherheitsmaßnahmen.

[12:12] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus

Lass uns über den Business Case sprechen und das Warum dahinter. Du hast bereits das Thema Security angesprochen. Es geht aber auch um die Auflösung der Automatisierungspyramide. Die Geräte müssen möglicherweise standortübergreifend und über ihren gesamten Lifecycle hinweg auf dem neuesten Stand gehalten werden. Was ist der Business Case dahinter? Warum sollten Unternehmen sich damit beschäftigen? Was verlieren sie an Zeit und Geld, wenn sie es nicht tun?

Gerald

Ich bin seit 25 Jahren im Security-Geschäft und es ist immer eine Herausforderung, Security zu verkaufen, weil viele Geschäftsführer erstmal denken, das kostet nur Geld und bringt keinen direkten Mehrwert. Dabei wissen wir mittlerweile, dass Security extrem wichtig ist – auch gesellschaftlich. Gerade angesichts der aktuellen politischen Lage hat die EU mehrere Gesetze und Verordnungen erlassen, wie NIS2, das die Absicherung der Produktion fordert, und den Cyber Resilience Act, der digitale Produkte absichern soll. Diese Regelungen zwingen Unternehmen, sich mit IT-Security auseinanderzusetzen, weil die wirtschaftliche Motivation oft nicht ausreicht. Das ist zwar für einzelne Unternehmen unschön, da es Kosten verursacht, aber aus meiner Sicht eine sehr sinnvolle Maßnahme. Letztendlich ist Security wie eine Versicherung.
Natürlich könnte ich sagen, ich spare mir die Versicherung, weil bei mir schon niemand einbricht, wir wissen aber, dass Einbrüche überall vorkommen können. Deswegen haben wir eine Versicherung, und ähnlich ist es mit IT-Security. Man investiert Geld, um nicht irgendwann durch einen IT-Sicherheitsvorfall enorme Kosten zu haben. Ransomware und ähnliche Angriffe kosten viel Geld, und das Bewusstsein dafür wächst.

Du hast gerade den Cyber Resilience Act und die NIS2-Richtlinien angesprochen. Für alle, die sich tiefer in diese Themen einlesen möchten, werde ich die Quellen in die Shownotes packen. Außerdem haben wir in Folge 137 des IoT Use Case Podcasts über Factory X gesprochen – hört da mal rein.
Aber vielleicht können wir auch etwas praktischer werden: Sicherheitsrisiken wie Cyberangriffe oder die Manipulation von Daten können sehr konkrete Auswirkungen haben. Können wir darüber sprechen, was der Worst Case in der Praxis wäre? Ich denke da an unbefugte Geräte, die in ein Netzwerk eindringen und möglicherweise die gesamte Produktion lahmlegen, oder Geräte, die falsche Daten liefern, was zu fehlerhaften Entscheidungen führen kann. Was sind Praxisbeispiele eurer Kunden, bei denen solche Vorfälle zu Verlusten an Zeit und Geld führen, weil unbefugte Geräte plötzlich im Netzwerk auftauchen oder die Produktion stören?

Sebastian

Genau, alle von dir genannten Punkte sind entscheidend, wenn es um Sicherheit geht. Ein gutes Beispiel ist der Fall, wenn sich ein unbefugtes Gerät im Netzwerk anmeldet oder wenn ein Gerät kompromittiert wird und schnell aus dem Netzwerk ausgeschlossen werden muss. Hier ist eine zentrale Lösung besonders vorteilhaft. Wenn man das Ganze auf höchsten Sicherheitsstufen umsetzt, etwa zertifikatsbasiert, kann man Geräte nicht nur aus dem Netzwerk ausschließen, sondern auch sicherstellen, dass sie sich nicht woanders anmelden können. Sollte ein Angreifer versuchen, das kompromittierte Gerät erneut anzumelden, wird das verhindert, indem das Zertifikat widerrufen wird.
Aus der Sicht des Device Managements wird es immer wichtiger, da wir immer mehr Standorte und Geräte haben, die verwaltet werden müssen. Gleichzeitig haben wir einen Fachkräftemangel und zu wenig Personal, das all diese Aufgaben übernimmt. Hier ist eine zentralisierte, cloudbasierte Lösung ein großer Vorteil. Damit können wir über ein Dashboard mehrere Standorte überwachen und die Geräte verwalten.

Du hast recht, das Eindringen unbefugter Geräte ins Netzwerk stellt ein großes Sicherheitsrisiko dar und kann die Produktion stören oder falsche Daten liefern. Was du jetzt angesprochen hast, ist auch der Device Management Use Case. Bei vielen eurer Kunden gibt es ja Tausende Geräte, die gewartet und aktualisiert werden müssen. Kannst du uns mehr darüber erzählen, was es bedeutet, diese Prozesse manuell zu gestalten? Früher hat man vielleicht noch Updates per USB-Stick durchgeführt. Was bedeutet dieser Zeitverlust für die Unternehmen?

Sebastian

Ja, genau. Im Bereich Device Management ist Sicherheit nur eine Seite der Medaille. Wenn man zum Beispiel ein Linux-Betriebssystem hat, möchte man sicherstellen, dass es regelmäßig aktualisiert wird, möglicherweise auch mit Vulnerability Tracking und der Software Bill of Materials, SBOM, um bei Problemen schnell reagieren zu können. Auf der anderen Seite gibt es Geräte, die im Feld sind und eventuell einen Bugfix oder neue Features benötigen. Ähnlich wie bei unseren iPhones, wo regelmäßig neue iOS-Versionen und Funktionen bereitgestellt werden, kann das auch im industriellen Umfeld geschehen – obwohl das dort noch nicht so gängig ist, aber immer mehr an Bedeutung gewinnt.
Es lohnt sich auch, darüber nachzudenken, welche Mehrwerte man den Kunden nachträglich bieten kann, beispielsweise durch zusätzliche Services, die neue Funktionen oder Updates bereitstellen. Das lässt sich einfach umsetzen, wenn man per Klick Tausende Geräte aktualisieren kann, oder den Kunden entscheiden lässt, wann sie ihre Geräte updaten möchten. Ein gutes Beispiel dafür ist die FRITZ!Box von AVM. Dort kann der Nutzer selbst entscheiden, wann er das Update einspielt, aber es steht ihm sofort zur Verfügung – und genau das ist auch in der Industrie wichtig.

Gerald

Ich würde gerne noch einmal auf die Bedrohungsszenarien eingehen und ein paar Beispiele geben. Wenn wir uns den digitalen Zwilling anschauen, der prädiktive Wartung ermöglicht – das bedeutet, man versucht vorherzusagen, wann eine Maschine ausfallen könnte. Ein Beispiel: Wenn ein Sensor falsche Daten liefert, könnte man eine Maschine austauschen, die eigentlich noch in Ordnung ist. Noch schlimmer wäre es, wenn man sie nicht austauscht, obwohl man es hätte tun sollen, was zum Stillstand der Produktion führen könnte.
In der Energieversorgung gibt es ebenfalls ein gutes Beispiel, das in einem Roman beschrieben wird, leider fällt mir der Titel gerade nicht ein. Hier wird in einem SCADA-System die Turbinendrehzahl in einem Wasserkraftwerk manipuliert, sodass sie zu hoch angezeigt wird. Das führt zur automatischen Abschaltung des Kraftwerks, um Schäden an der Turbine zu vermeiden. Wenn man das in mehreren Kraftwerken gleichzeitig macht, hat man plötzlich keinen Strom mehr, was fatale Folgen hätte. Kleine Eingriffe können also große Auswirkungen haben. Das Gleiche könnte in einer privaten Heizungsanlage passieren: Wenn alle Smart Homes gleichzeitig ausfallen und die Leute in der Kälte sitzen, wäre das nicht nur schlecht für die Hersteller, sondern auch für die Bevölkerung. Das könnte sogar politische Unruhen auslösen. Das sind nur einige Beispiele, aber es gibt viele weitere solcher Szenarien.

Ja, es ist gut, dass ihr das noch einmal untermauert habt. Falls dir der Titel des Buchs noch einfällt, packe ich es gerne nachträglich in die Show Notes. Ich finde es immer spannend, wenn Technik in Romanen thematisiert wird.
Wir haben jetzt also einige Aspekte besprochen: klassische Sicherheitsrisiken wie Cyberangriffe, regulatorische Anforderungen und Compliance-Vorgaben der EU, reduzierte Betriebszeiten und teure manuelle Prozesse durch die Notwendigkeit, Tausende von Geräten auf dem neuesten Stand zu halten. Dazu kommt noch das Thema Manipulation, also die Gefahr, dass fehlerhafte Daten zu ineffizienten oder sogar falschen Entscheidungen führen können.
Ein Thema, das wir noch nicht so angesprochen haben, ist der Fachkräftemangel. Wie seht ihr das? Viele Unternehmen haben zwar zentrale IT-Abteilungen, aber nicht alle. Wie relevant ist dieses Thema, und was sind die größten Herausforderungen in diesem Zusammenhang?

Gerald

Ja, meistens gibt es eine zentrale IT-Abteilung, aber diese ist oft klar von der OT getrennt. Das sind zwei völlig unterschiedliche Welten. In der IT sind Dinge wie Zertifikate und IT-Security schon lange etabliert, weil es einfach notwendig war. In der Fertigung hingegen, wie schon erwähnt, hat man aufgrund der abgeschotteten Systeme diese Sicherheit bisher nicht gebraucht. Die OT verwaltet ihre Systeme meist selbst, da diese völlig anders funktionieren als die klassischen Office-Systeme. Die IT-Abteilungen wollen sich oft nicht um die OT kümmern, weil sie wissen, dass ein Fehler dort die Produktion lahmlegen kann und das enorme Kosten verursacht – ganz anders als in der IT, wo es „nur“ darum geht, dass jemand eine halbe Stunde keine E-Mails schreiben kann.
Die Anforderungen an die Verfügbarkeit und Sicherheit sind in der OT also ganz anders. Deshalb sind diese Systeme in den meisten Firmen voneinander getrennt. Das führt dazu, dass die IT-Erfahrungen, die in der Office-IT schon lange vorhanden sind, in der OT noch nicht so weit verbreitet sind. Hier gibt es eher klassische Ingenieure, die großartige Maschinen bauen und sehr viel von Safety verstehen. Sie wissen genau, wie man eine Maschine so konstruiert, dass sie im Notfall sicher gestoppt wird, damit niemand verletzt wird. Das ist Safety. Aber bei IT-Security gab es bisher keinen Bedarf, und deshalb entwickelt sich das jetzt erst. Durch die neuen Regularien wird es allerdings zunehmend gefordert, da erkannt wurde, dass ohne IT-Sicherheit große Probleme auf uns zukommen können.

Ja, bevor wir gleich zu den Vermeidungsstrategien und euren Lösungen kommen, habe ich noch eine Frage. Ihr habt schon das Thema Digitale Zertifikate angesprochen. Es braucht dafür ja auch technisches Know-how. Können wir das kurz einordnen und erklären? Ich kenne die Schlagworte natürlich, aber technisch ist das vielleicht nicht für jeden sofort klar. Können wir mal mit dem Thema Zertifikat anfangen? Wie ich das verstanden habe, braucht man so ein digitales Zertifikat, um Geräte und Maschinen zu authentifizieren und abzusichern. Dieses Zertifikat gibt dem Gerät quasi eine Identität, richtig? Es ist im Grunde genommen wie ein Dokument oder ein Stempel, der dem Gerät sagt: Du bist das. Ist das technisch korrekt?

Gerald

Ja, das ist im Grunde genommen richtig. Vielleicht können wir es noch etwas präzisieren. In der klassischen IT-Security gibt es drei grundlegende Schutzziele: Integrität, Authentizität und Vertraulichkeit. Integrität bedeutet, dass die Daten nicht manipuliert werden, also dass Sensordaten genauso ankommen, wie sie gesendet wurden. Authentizität bedeutet, dass man weiß, woher die Daten kommen – in diesem Fall von einem vertrauenswürdigen Sensor und nicht von einem Angreifer. Vertraulichkeit bedeutet, dass die Daten verschlüsselt übertragen werden, damit niemand, der unterwegs mithört, sie lesen kann, was ihm möglicherweise wertvolle Informationen für einen Angriff geben würde.
Um diese drei Schutzziele zu erreichen, setzt man Kryptografie ein, die auf digitalen Schlüsseln basiert. Es gibt symmetrische und asymmetrische Schlüssel. Symmetrische Schlüssel bedeuten, dass beide Seiten denselben Schlüssel haben müssen, um sicher miteinander zu kommunizieren oder die Integrität sicherzustellen. Das Problem dabei ist der sichere Schlüsselaustausch. Bei asymmetrischen Schlüsseln wird dieses Problem gelöst, da es einen öffentlichen und einen privaten Schlüssel gibt. Der öffentliche Schlüssel kann einfach übertragen werden. Zertifikate fügen diesen asymmetrischen Schlüsselpaaren zusätzliche Informationen hinzu und werden von einer Zertifizierungsstelle, kurz CA, signiert, um zu bestätigen, dass sie echt sind. So können Zertifikate auf unsicheren Wegen verteilt werden, und die zentrale Stelle, der man vertraut, bestätigt die Echtheit. Dadurch lässt sich eine Vertrauensbasis aufbauen, die notwendig ist, um die drei Schutzziele zu erfüllen.

Verstehe. Damit sind wir beim Thema PKI – Public Key Infrastructure – also der technischen Infrastruktur, um diese Zertifikate zu verwalten und zu managen. Das ist dann das andere Thema, richtig?

Gerald

Genau, PKI ist die Infrastruktur, die sicherstellt, dass es eine zentrale Stelle gibt, der man vertraut und die die Zertifikate ausstellt, die dann verifiziert werden können.

Zum Beispiel könnte ein Steuergerät ein Zertifikat von einem bestimmten Produktionssystem haben und dieses Zertifikat dann weiterleiten. Das wäre ein Beispiel für ein Zertifikat, das an ein Gerät gebunden ist.

Gerald

Die PKI stellt das Zertifikat aus, und alle Geräte vertrauen der CA, also der Zertifizierungsstelle, die Teil der PKI ist. Jedes Zertifikat, das von dieser PKI ausgestellt wird, kann dann überprüft werden, um festzustellen, ob es echt ist oder nicht. Wenn zwei Geräte sich gegenseitig überprüfen, ob ihre Zertifikate echt sind, können sie miteinander sicher kommunizieren, Daten verschlüsseln, sich authentifizieren und die Integrität der Daten sicherstellen.

Also, wie du es vorhin am Beispiel des Wasserwerks beschrieben hast, könnte ein digitales Zertifikat die Steuerung einer Anlage authentifizieren. Das Zertifikat bestätigt die Identität der Anlage, und dieses Zertifikat wird dann zur weiteren Kommunikation verwendet, richtig?

Gerald

Beim Wasserwerk in dem Roman ist es etwas anders. Dort wird die Software auf den SCADA-Steuerungen manipuliert, sodass sie falsche Werte liefert. Das kann man lösen, indem die Software mit einem Zertifikat signiert wird. Das Gerät, das das Update erhält, muss prüfen können, ob es die richtige Software ist. Der Vertrauensanker ist hier der öffentliche Schlüssel der CA. Mit diesem Schlüssel kann das Gerät die Signatur der Software überprüfen. Wenn die Software korrekt signiert ist, kann ein Angreifer keine falsche Software einspielen, weil er sie nicht signieren kann. Außerdem bekommt das Gerät ein Zertifikat, mit dem es die Daten signieren kann, die es an die nächste Steuerung schickt. So kann der Empfänger prüfen, dass die Daten nicht manipuliert wurden und vom richtigen Gerät stammen. Zudem können die Daten auch verschlüsselt werden.

Okay, perfekt, das hilft, es einzuordnen. Wenn ich es richtig verstanden habe, ist die PKI die technische Infrastruktur, die den sicheren Einsatz von Zertifikaten ermöglicht. Ein Zertifikat sorgt dabei für Integrität, Authentizität und Vertraulichkeit, um die Sicherheit der Geräte und Maschinen in IoT Use Cases zu gewährleisten, korrekt?

Gerald

Wir haben dazu auch verschiedene White Papers und Blogbeiträge auf unserer Website. Ich kann dir gerne ein paar Links schicken.

Super, die packe ich gerne in die Show Notes. Ich wollte keinen zu tiefen technischen Einblick, aber es ist wichtig, das an einem Beispiel greifbar zu machen.
Besonders im IoT-Kontext geht es ja um die Absicherung von Daten, egal ob es sich um Umgebungsdaten, Sensordaten oder Protokolle wie OPC-UA oder MQTT handelt, richtig?

Gerald

Genau, das ist unser Anwendungsfall, bei dem ECOS und conplement zusammenarbeiten. Wir bei ECOS haben uns darauf spezialisiert, IoT- und OT-Geräte mit Zertifikaten auszustatten. Das bedeutet, wir kümmern uns darum, wie die Zertifikate sicher auf die Geräte kommen. Hier bringt conplement die Lösung ein: Wir liefern die Zertifikate, und conplement sorgt dafür, dass sie sicher auf die Geräte gebracht und regelmäßig erneuert werden. Dadurch können die Geräte unterwegs sicher kommunizieren, Daten sicher übertragen und Updates überprüft werden – all die Dinge, die wir vorhin besprochen haben.

[30:29] Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien

Sebastian, könntest du das aus deiner Sicht noch etwas näher erläutern? Wie sorgt conplement dafür, dass die Zertifikate auf die Geräte kommen und dort verwaltet werden? Wie sieht eure Lösung aus?

Sebastian

Das Herzstück unseres omnect Device Management ist das omnect Secure OS, ein Yocto-basiertes Linux-System. Wenn der Kunde ein neues Gerät produziert oder ein Image dafür erstellt, holen wir uns das passende Zertifikat von ECOS oder einer anderen PKI und injizieren es auf das Gerät. Damit ist das Gerät bereit für ein sicheres Onboarding und kann sicher in das Netzwerk integriert werden, unter Berücksichtigung der drei Schlüssel-Faktoren.

Okay, also omnect Secure OS ist für das Device Management zuständig, richtig?

Sebastian

Das ist das Betriebssystem auf dem Gerät, und es gibt mehrere Services, die die Konnektivität sicherstellen, auch für die Update-Infrastruktur und besonders für sichere Updates. Das bedeutet, man hat ein Zertifikat oder ein signiertes Update, wie Gerald vorhin erwähnte, um sicherzugehen, dass das Update auch wirklich passt. So wird verhindert, dass jemand ein unerwünschtes Update einspielt und danach nichts mehr funktioniert. Zudem muss man die Zertifikate regelmäßig erneuern und die Verbindung zur PKI-Infrastruktur sicherstellen, um zu prüfen, ob es Geräte mit Zertifikaten gibt, denen man nicht mehr vertrauen kann. Wenn Probleme aufgetreten sind oder ein Schlüssel kompromittiert wurde, kann man solche Zertifikate auf eine Liste setzen für diejenigen, die nicht mehr vertrauenswürdig sind. Sollte eine Anfrage von einem solchen Zertifikat kommen oder ein OPC-UA-Server auftauchen, wird die Verbindung nicht aufgebaut, um die Sicherheit zu gewährleisten. Nur vertrauenswürdige Zertifikate werden akzeptiert.

Gerald, von euch kommt dann die gesamte Infrastruktur dahinter, damit könnt ihr Zertifikate erstellen, ausrollen, verschlüsseln und das gesamte Key Management übernehmen. Ihr habt auch diese ausstellende Instanz, die die Schlüssel erstellt. TrustManagementAppliance ist ein zertifizierter Begriff in diesem Zusammenhang und beschreibt den Teil, den ihr liefert.

Gerald

Ja, genau, das ist der Teil, der von uns kommt. Die TrustManagementAppliance ist unser konkretes Produkt, das das komplette Zertifikats- und Schlüsselmanagement übernimmt. Es sorgt dafür, dass die Schlüssel auf eine sichere Weise erstellt werden. Man kann zwar Zertifikate und Schlüssel mit Tools wie OpenSSL erstellen, aber das ist nicht sicher genug für professionelle Anwendungen. Wir stellen sicher, dass das Schlüsselmaterial sicher erzeugt und verwaltet wird, und dass die Zertifikate dann an das Device Management von conplement verteilt werden. Außerdem gibt es regelmäßige Berichte, damit man immer weiß, wann Zertifikate ablaufen und welche Zertifikate wo eingesetzt sind. Unsere Lösung ist auf den industriellen Betrieb zugeschnitten, sodass sie auch offline funktioniert, wenn in Produktionsstätten kein stabiles Internet verfügbar ist. So stellen wir sicher, dass die Produktion 24/7 läuft und das Schlüssel- und Zertifikatsmanagement reibungslos funktioniert.

Okay, damit habt ihr als Partner eine ganzheitliche IoT-Sicherheitslösung geschaffen, die genau den Business Case der Kunden löst. Ihr ermöglicht automatisierte Updates, Remote-Management und minimiert dadurch Ausfallzeiten, während ihr gleichzeitig fehleranfällige Prozesse ersetzt. Mit eurer Lösung können sichere IoT-Geräte eingesetzt werden, die durch die Integration digitaler Zertifikate vor Cyberangriffen geschützt sind. So werden gesicherte Verbindungen geschaffen, und die empfangenen und gesendeten Daten bleiben authentisch und unverfälscht – genau wie wir es beim Thema Datenintegrität und Manipulation besprochen haben. Das ist also eine umfassende Lösung, um den angesprochenen Business Case der Kunden zu lösen.

Gerald

Ja, das fasst es gut zusammen.

Sebastian

Genau.

Perfekt! Ich habe noch unzählige weitere Fragen, aber wenn jemand tiefer einsteigen möchte, werde ich einfach eure Kontakte in den Show Notes verlinken. Wenn ihr sagt, dass das spannend klingt und ihr einen ähnlichen oder sogar einen anderen Use Case habt, den ihr besprechen wollt, nehmt gerne Kontakt mit Gerald oder Sebastian auf. Schreibt auch gerne in die Kommentare, wie ihr das fandet. Vielleicht habt ihr andere Use-Cases, bei denen ihr euch fragt, ob diese Lösung dafür auch passt. Lasst es uns wissen, und ich gehe in einer der nächsten Folgen darauf ein.

Gerald

Wir konnten heute nur einen kleinen Teil anreißen. Man kann noch viel mehr mit den beiden Lösungen zusammen machen. Einfach nachfragen – das ist immer eine gute Idee.

Ja, das denke ich auch. Vielen Dank an euch beide! Ich glaube, anhand der konkreten Use Cases konnte man gut verstehen, wie viel Zeit und Geld man verliert, wenn man sich nicht mit diesen Themen beschäftigt, und warum es so wichtig ist, das zu tun – auch aus regulatorischen Gründen. Wenn ihr in Cyber-Sicherheit und IoT-Management investieren wollt, könnt ihr damit nicht nur Produktionsverluste und Cyberangriffe vermeiden, sondern auch rechtliche Konsequenzen und potenzielle Reputationsschäden. Jeder hat seinen eigenen Use Case, aber das ist definitiv der richtige Weg. Von meiner Seite aus vielen Dank, Gerald und Sebastian, für eure Zeit und die wertvollen Einblicke. Das letzte Wort gehört euch!

Gerald

Auch von meiner Seite herzlichen Dank fürs Zuhören! Nehmt gerne Kontakt mit uns auf, besucht uns auf der SPS, wo wir vertreten sind, oder über die IoT Open Industry 4.0 Alliance. Wir freuen uns auf eure Use Cases.

Sebastian

Dem kann ich nichts hinzufügen. Ich freue mich auf spannende Kontakte und interessante Use Cases!

Dann vielen Dank und euch noch eine schöne Woche! Macht’s gut, ciao.

Sebastian

Danke, ciao.

Gerald

Ciao!

 

Für Rückfragen stehe ich Ihnen gern zur Verfügung.

Questions? Contact Madeleine Mickeleit

Ing. Madeleine Mickeleit

Host & Geschäftsführerin
IoT Use Case Podcast