Do you want to see our content in English?

x
x

PKI im Einsatz bei Techem

IoT Use Case - ECOS Technology + Techem
9 Minuten Lesezeit
9 Minuten Lesezeit

Bei der Übertragung von Ablese- und Verbrauchswerten aus Millionen von Immobilien ist der führende Serviceanbieter für smarte und nachhaltige Gebäude Techem auf eine sicher verschlüsselte Datenkommunikation angewiesen.

Mit der ECOS TrustManagementAppliance (TMA) konnte das Unternehmen eine leistungsfähige PKI-Infrastruktur für die Erstellung und das Management von Zertifikaten einführen.

Diese sorgt für einen jederzeit geschützten Datenaustausch zwischen den Funkerfassungsgeräten, einer IoT-Cloud-Plattform sowie dem Techem-Rechenzentrum.

»Die PKI hat es uns ermöglicht, sicher verschlüsselte Kommunikationswege zwischen den Smart Readern, der IoT-Cloud und dem Rechenzentrum zu schaffen.«

Über Techem

Die Techem GmbH ist einer der führenden Energiedienstleister rund um Immobilien. Mit ca. 3.750 Mitarbeitern und Mitarbeiterinnen betreut das Unternehmen mehr als zwölf Millionen Wohnungen und agiert dabei als Partner für Vermieter in Bereichen wie Betriebskostenabrechnung, Verbrauchserfassung, Wohngesundheit sowie Energiemanagement und Ressourcenschutz. Zu den Kunden zählen Eigentümerinnen und Eigentümer ebenso wie Wohnungsbaugesellschaften, Investoren und Genossenschaften. In der Funkfernerfassung des Energieverbrauchs in Wohnungen tritt Techem als Marktführer auf.

Mit dem Komplettpaket „Smart System“ hat der Anbieter eine umfassende Lösung für die Digitalisierung der Erfassungs- und Abrechnungsprozesse in Immobilien im Portfolio.

Dabei senden die an den Heizkörpern und Wasserzählern platzierten Erfassungsgeräte ihre gemessenen Verbrauchswerte an sogenannte Smart Reader, die als Master-Datensammler fungieren und in einem Mehrfamilienhaus beispielsweise im Treppenhaus installiert sind. Sowohl die regelmäßige Ablesung als auch Funktionsprüfungen können somit effizient und einfach aus der Ferne erfolgen. Durch solche vernetzten, digitalen Lösungen leistet das Unternehmen gleichzeitig einen Beitrag zu einer nachhaltigen, umweltfreundlichen Immobilienbewirtschaftung. Insgesamt betreibt Techem mehr als 52 Millionen Funkerfassungsgeräte.

Absicherung des Datenverkehrs der Ableseinfrastruktur

Eine sichere Übertragung der von diesen Geräten erfassten Ablese- und Verbrauchswerte ist für Techem gleich aus mehreren Gründen entscheidend. Zum einen spielen hier rechtliche Aspekte eine wichtige Rolle. Die Daten gelten per Definition als personenbezogene Daten und müssen als solche entsprechend behandelt und geschützt werden. Zum anderen muss der Energiedienstleister schon in eigenem Interesse jedoch auch dafür Sorge tragen, dass Dritte keine Möglichkeit erhalten, die Funkprotokolle mitzulesen beziehungsweise Daten zu manipulieren. Denn dies würde theoretisch auch Veränderungen der Ablesewerte (und somit der Abrechnung) ermöglichen.

Techem war deshalb auf der Suche nach einer geeigneten Lösung, um insbesondere den Datenverkehr von den Master-Datensammlern an eine IoT-Cloud-Plattform sowie weiter von der Cloud in das Backend des Rechenzentrums abzusichern. Um diese Ableseinfrastruktur hinsichtlich Aspekten wie Verschlüsselung und Authentifizierung sicher managen zu können, sollte eine PKI (Public-Key-Infrastruktur) eingeführt werden.

»Relativ schnell war für uns klar, dass wir die Absicherung der Ableseinfrastruktur aus Sicherheitsgründen ganz bewusst von den sonstigen Zertifikaten trennen wollten, die bei uns IT-seitig genutzt werden«, erklärt Sebastian Fingerloos, Head of Information Security bei der Techem Energy Services GmbH. »Hinzu kam hier auch, dass die meisten sonstigen Zertifikate über eine Active Directory Certification Authority ausgestellt werden. Im vorliegenden Szenario hatten wir es aber mit einer IoT-Infrastruktur ohne AD-Anbindung zu tun, was den Vorgang sehr komplex gemacht hätte.«

Auswahl einer geeigneten PKI-Lösung per Ausschreibung

Im Zuge eines Ausschreibungsverfahrens prüfte Techem eine Reihe von Angeboten zur Umsetzung einer entsprechenden PKI-Lösung. Dabei lief die Entscheidungsfindung in der finalen Runde auf ein sehr umfangreiches System des bestehenden, generellen IT-Providers sowie die ECOS TrustManagementAppliance (TMA) von ECOS Technology hinaus, die beide funktional überzeugen konnten.

ECOS konnte hier zum einen als Hersteller aus Deutschland punkten. Zum anderen war seitens der IT-Leitung von Techem bewusst gewünscht, security-relevante Informationen nach Möglichkeit von Anbietern der operativen IT-Systeme zu trennen. Da auch der Umfang der Lösung exakt den Anforderungen bei Techem entsprach, fiel vor diesem Hintergrund die Entscheidung zur Einführung der TMA von ECOS.

Implementierung der ECOS TrustManagement- Appliance

Die Trust Management Appliance ist generell für die Bereiche PKI und Key-Management sowie die Absicherung von unterschiedlichsten Endgeräten, mobilen Devices, Sensoren, Steuergeräten usw. im IoT-Umfeld auslegt. Bei Techem wurde die TMA in einer virtuellen Umgebung installiert und gemeinsam mit dem ECOS Partner Devoteam individuell konfiguriert. Aus Praktikabilitätsgründen hat sich Techem dabei für eine asymmetrische Verschlüsselung entschieden. Die TMA bietet optional auch einen sicheren Keystore-Speicher für symmetrische Schlüssel – ein Feature, das für die ursprüngliche Auswahl mit ausschlaggebend war. Techem setzt heute im operativen Betrieb zwei Sub-CAs ein, die unterschiedliche Verschlüsselungs-Algorithmen benutzen: Eine CA verwendet ECC-Algorithmen (Elliptische-Kurven-Kryptografie), die andere CA arbeitet auf RSA-Basis (Rivest-Shamir-Adleman-Verfahren).

Erstellung, Erneuerung und Verwaltung von Zertifikaten

Die Hauptaufgabe der PKI-Lösung von ECOS ist die regelmäßige Erstellung von Sicherheitszertifikaten für die von Techem eingesetzten Master-Datensammler (Smart Reader). Erforderlich ist dies intervallweise vor allem dann, wenn durch den jeweiligen Hersteller eine neue Charge an Smart Readern produziert wird. Über die PKI erstellt Techem dann beispielsweise 50.000 Zertifikate, die an den Hersteller gesendet und im Produktionsprozess auf die Master-Datensammler aufgespielt werden. Die erstellten Zertifikate sichern auf diese Weise die Kommunikation der Fernableseinfrastruktur ab.

Die turnusmäßige Erneuerung der Zertifikate, die festgelegte Laufzeiten haben, ist bei Techem über eine eigene Certificate Policy geregelt. Ermöglicht wird durch die TMA darüber hinaus auch der Umgang mit ausgegebenen Zertifikaten, die zurückgezogen werden müssen. Hierzu wird mit einer Zertifikatssperrliste beziehungsweise einer Certificate Revocation List über die Cloud gearbeitet. Das Sperren oder Zurückziehen von ausgestellten Zertifikaten ist zum Beispiel dann erforderlich, wenn ein Kunde den Anbieter wechselt oder ein Smart Reader einen Defekt aufweist, kompromittiert wurde oder nicht mehr auffindbar ist.

»Die Zufriedenheit mit der TrustManagementAppliance von ECOS ist sehr hoch«, sagt Sebastian Fingerloos. »Die PKI hat es uns ermöglicht, sicher verschlüsselte Kommunikationswege zwischen den Smart Readern, der IoT-Cloud und dem Rechenzentrum zu schaffen. Ein wichtiger Aspekt für uns ist, dass das System, das primär per API angesprochen wird, bei uns vollkommen störungsfrei läuft und keine Eingriffe erforderlich sind. Dies ist nun bereits über mehrere Jahre hinweg der Fall. Aktuell planen wir gemeinsam mit ECOS ein größeres Upgrade und Update, um die PKI hinsichtlich Performance, Sicherheit und Funktionalität noch weiter zu optimieren.«

Aufgrund der positiven Erfahrungen mit der TMA als PKI-Lösung hat Techem den Anwendungs- bereich zwischenzeitlich auch über das ur- sprüngliche Szenario hinaus erweitert.

So wird die Lösung von ECOS Technology inzwischen auch erfolgreich für die Erstellung einiger interner Server-Zertifikate eingesetzt.

devoteam Logo

ECOS Partner Devoteam

Devoteam ist ein führendes Beratungsunternehmen mit Schwerpunkt auf digitaler Strategie, Plattform-Technologien, Cybersecurity und Business Transformation. Die Umsetzung der ECOS PKI bei der Techem GmbH wurde von Devoteam initiiert, begleitet und umgesetzt.

Text vom Original übernommen – ECOS Technology 

In Anwendung

Jetzt IoT Use Case Update erhalten

Erhalten Sie monatlich exklusive Einblicke in unsere Use Cases, Aktivitäten und News aus dem Netzwerk - Jetzt kostenlos anmelden.