Digitale Identit\u00e4ten m\u00fcssen gesch\u00fctzt werden \u2013 gerade in Hinblick auf die Corona-Pandemie: Vielen Unternehmen ist es gelungen, ihre Arbeit in die digitale Welt zu verlagern. IT-Sicherheit im Allgemeinen und der Schutz von Maschinenidentit\u00e4ten im Besonderen erlangen neue Relevanz.<\/p>\n
Zahlreiche Cyberattacken haben zum Ziel, die Identit\u00e4t eines Nutzers auszuspionieren und \u00fcbernehmen zu k\u00f6nnen. Weit begehrter sind Administrationsidentit\u00e4ten, denn derartige Identit\u00e4ten sind mit weitreichenden Rechten ausgestattet. Wird vor Identit\u00e4tsmissbrauch gewarnt, m\u00fcssen aber nicht zwangsl\u00e4ufig Nutzer oder Admins damit gemeint sein. Denn auch Maschinen besitzen Identit\u00e4ten, die mit Privilegien im Berechtigungssystem ausgestattet sind.<\/p>\n
Maschinelle oder auch digitale Identit\u00e4ten zeichnen sich \u2013 \u00e4hnlich wie wir Menschen \u2013 durch verschiedene Eigenschaften und Merkmale aus, die sie voneinander unterscheidbar machen. Kryptografische Schl\u00fcssel, aber auch digitale Zertifikate sind prominente Beispiele digitaler Identit\u00e4ten. Somit zeigt sich, dass Maschinenidentit\u00e4ten heutzutage im Wettbewerb, jedoch auch in der Sicherheit von Unternehmen ma\u00dfgebliche Rollen spielen.<\/p>\n
Digitale Identit\u00e4ten bilden die Grundlage daf\u00fcr, dass zwischen verschiedenen Maschinen im World Wide Web Vertrauen hergestellt werden kann. Wie sch\u00fctzenswert digitale Identit\u00e4ten sind, zeigt beispielsweise unser Beitrag \u201eDarknet: Digitale Zertifikate gestohlen\u201c<\/a>. Dass das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) j\u00fcngst einen Sicherheitskatalog f\u00fcr digitale Identit\u00e4ten ver\u00f6ffentlichte (wir berichteten<\/a>), zeigt, wie hochgradig relevant die Thematik f\u00fcr die heutige Gesch\u00e4ftswelt ist.<\/p>\n In diesem Zusammenhang seien auch die X.509-Zertifikate erw\u00e4hnt: Diese digitalen Dateien sind zur SSL-Verschl\u00fcsselung verwendbar. X.509-Zertifikate erf\u00fcllen zwei wesentliche Funktionen: Zum einen verschl\u00fcsseln sie Informationen, die \u00fcber Websites ausgetauscht werden, wie Sie es sicher von g\u00e4ngigen SSL-\/TLS-Zertifikaten kennen. Zum anderen dienen sie jedoch auch der Authentifizierung sowie der Verifizierung von Identit\u00e4ten von Hosts oder Websites. Damit sind X.509-Zertifikate ein wesentlicher Bestandteil von digitalen Identit\u00e4ten.<\/p>\n Gerade in den Bereichen Industrie 4.0 und Industrial IoT (IIoT) sind digitale Identit\u00e4ten wichtig: Um automatisiert arbeiten zu k\u00f6nnen, kommunizieren die Maschinen direkt miteinander \u2013 sie m\u00fcssen einander also nicht nur \u201ekennen\u201c, sondern sich vertrauen. Sie verteilen eigenst\u00e4ndig anfallende Aufgaben und besitzen die daf\u00fcr erforderlichen Rechte. Um das gew\u00e4hrleisten zu k\u00f6nnen, ben\u00f6tigt jedes System eine digitale Identit\u00e4t.<\/p>\n Maschinen, Anlagen, Produkte oder Transportsysteme dieser Art finden wir in nahezu allen Produktionsst\u00e4tten und in vielen weiteren Unternehmen. Sie kommunizieren in der jeweiligen Umgebung jedoch nicht nur miteinander, sondern auch mit Back-Office-Systemen wie MES, PLM- und ERP-Systemen oder Warehousing-L\u00f6sungen. Das zeigt, wie nahe sich Informationstechnik (IT) und Betriebstechnik (Operational Technology, OT) mittlerweile sind \u2013 als getrennte Felder lassen sie sich kaum noch betrachten. ERP-L\u00f6sungen haben genauso wie Big Data-Programme Zugriff auf jene Daten, die von den Maschinen selbst, von Messsystemen oder F\u00f6rderzeugen generiert werden.<\/p>\n 5G verspricht mehr Zuverl\u00e4ssigkeit und Geschwindigkeit gegen\u00fcber vorhergehenden Mobilfunkgenerationen. Das stellt in Aussicht, dass Maschinen und Anlagen k\u00fcnftig noch mehr M\u00f6glichkeiten erhalten. Das IIoT wird sich verst\u00e4rkt auf den mobilen Sektor ausweiten und sich auf bisher eher schlecht angebundene Regionen erweitern. Das klingt gut, erh\u00f6ht jedoch auch die Angriffsfl\u00e4chen.<\/p>\n Zum jetzigen Zeitpunkt sind digitale Identit\u00e4ten also nahezu \u00fcberall zu finden \u2013 in kleineren Unternehmen genauso wie in Gro\u00dfkonzernen und \u00fcberall dazwischen. Doch gut gesch\u00fctzt sind sie nicht, die Maschinenidentit\u00e4ten. So kam es im vergangenen Jahr zu einem massiven Diebstahl zahlreicher Zertifikate, mit denen unter anderem Fake-Shops erstellt wurden. Update-Services wurden f\u00fcr die Verteilung von Malware missbraucht oder dazu, Ransomware zu verteilen oder sich einen SSH-Zugang zu verschaffen. All das ist Realit\u00e4t \u2013 schon heute, wo wir vom IIoT noch nicht g\u00e4nzlich umgeben sind. Mit 5G und dem Fortschreiten von IIoT sowie Industrie 4.0 wird der Schutz digitaler Identit\u00e4ten massiv an Bedeutung gewinnen.<\/p>\n Angesichts dieser Faktenlage kommt man kaum umhin, sich zu fragen, wie digitale Identit\u00e4ten effizient gesch\u00fctzt werden k\u00f6nnen. Es gibt verschiedene Ans\u00e4tze:<\/p>\n Das Identity- and Access-Management (IAM) r\u00fcckt wichtige Fragen in den Fokus: Wer tut wann was im Netzwerk? Eine reine Authentifizierung gen\u00fcgt dem Ansatz nicht, eine zweifelsfreie Identifikation ist das Ziel. Es geht also darum, nur den identifizierten Anwender selbst handeln zu lassen \u2013 und keinen unbefugten Dritten, der sich als Anwender ausgibt. Oder in unserem Fall: nur die identifizierte Maschine, keine unbefugte dritte Identit\u00e4t. Der IAM-Ansatz zeigt als Dreh- und Angelpunkt einen Identity-Provider. Der menschliche Anwender steuert diesen Identity-Provider mittels Ger\u00e4ts an. Das anfragende Ger\u00e4t erh\u00e4lt sodann einen Access-Token. Das Individuum hat \u00fcber einen Directory-Zugang Zutritt erhalten. Ein Access-Manager achtet darauf, dass entsprechende Richtlinien eingehalten werden, w\u00e4hrend weitere Access-Tokens eng an diesen Kontext angebunden sind.<\/p>\n Daraus wird deutlich, dass Ger\u00e4te dank IAM ihre Funktionsf\u00e4higkeit erst dann aufnehmen, wenn die entsprechenden Nutzer eindeutig identifiziert sind. Erst die Inbetriebnahme durch eine zweifelsfrei identifizierte Person schafft es, dass das Ger\u00e4t eine digitale Identit\u00e4t wird. Im Namen dieser identifizierten Person kann das Ger\u00e4t dann unterschiedliche Zugangsrechte zu APIs oder Webverbindungen geltend machen \u2013 je nachdem, welche Berechtigungen der User selbst hat. Diese Berechtigungen sind jedoch nicht rollen-, sondern identit\u00e4tsbasiert.<\/p>\n Eine Alternative zu diesem Ansatz ist die Public Key Infratructure (PKI): Der Aufbau der notwendigen Vertrauenskette startet mit einer ger\u00e4tebezogenen Identit\u00e4tsfeststellung. Die digitale Identit\u00e4t soll in diesem Fall als Zertifikat im X.509-Format erstellt werden \u2013 genau das also, was eine PKI leistet. Die Vertrauensw\u00fcrdigkeit des digitalen Zertifikats wird durch die Certificate Authority (CA), also die Zertifizierungsstelle gew\u00e4hrleistet. Validiert wird ein solches X.509-Zertifikat durch den \u00f6ffentlichen Schl\u00fcssel des Zertifikatinhabers. Wird dieses vorhandene PKI-Konzept erweitert, kann das mehr IIoT-Sicherheit bringen: Die Registration Authority (RA) der PKI wird in die vernetzte Produktionsumgebung verlagert.<\/p>\n Es entsteht ein \u201elocal Registration Point\u201c, der nicht nur die Identit\u00e4t des Ger\u00e4ts validiert, die durch das Zertifikat angefragt wird, sondern auch ein vertrauensw\u00fcrdiges Zertifikats-Request zum Beantragen des Ger\u00e4tezertifikats bei der CA erstellt. So kann es gelingen, Komponenten schon im Fertigungsprozess digitalen Identit\u00e4ten zuzuweisen.<\/p>\n Um digitale Identit\u00e4ten sch\u00fctzen zu k\u00f6nnen, ist es lohnenswert, sich zun\u00e4chst einen \u00dcberblick \u00fcber die Maschinenidentit\u00e4ten zu verschaffen, die genutzt werden. Um Identit\u00e4ten zu sch\u00fctzen, ist Verschl\u00fcsselung ein probates Mittel. SSL-Zertifikate<\/a> f\u00fcr die Web- und S\/MIME-Zertifikate<\/a> f\u00fcr die E-Mail-Sicherheit sind unverzichtbare Bestandteile des Schutzkonzepts digitaler Identit\u00e4ten. Bedenken Sie: Ist ein unbefugter Dritter im Besitz Ihrer E-Mail-Zugangsdaten, kann er Ihre Identit\u00e4t dazu nutzen, in Ihrem Namen E-Mails zu versenden. Signieren Sie Ihre E-Mails hingegen digital mit Ihrer Identit\u00e4t, w\u00e4re zweifelsfrei klar, dass Sie \u2013 und nur Sie \u2013 die E-Mail versandt haben k\u00f6nnen.<\/p>\n Gerade f\u00fcr Ihre Mitarbeiter, die aufgrund der Corona-Pandemie im Home-Office arbeiten, lohnt sich eine Bestandsaufnahme all jener Ger\u00e4te, die mit dem Netzwerk verbunden sind. Doch auch direkt im Unternehmen lohnt dieser kritische Blick ins Netzwerk, denn: Sie k\u00f6nnen nur absichern, was Sie auch kennen. Kategorisieren Sie jene Ger\u00e4te, die Sie identifizieren konnten, als pers\u00f6nliche oder unternehmenseigene. So haben Sie die M\u00f6glichkeit, Sicherheitsrichtlinien f\u00fcr BYOD-Ger\u00e4te anzuwenden. In der Folge k\u00f6nnen Sie deren Verhalten sowie Netzwerkverkehr monitoren.<\/p>\n \u00dcberpr\u00fcfen Sie Ger\u00e4te grunds\u00e4tzlich, bevor sie im Netzwerk zugelassen werden. Gerade die Frage, ob die Ger\u00e4te mit aktuellen Sicherheitsupdates gepatcht sind, ist interessant. Existiert auch nur ein einziges nicht-konformes bzw. gar kompromittiertes Ger\u00e4t in Ihrem Netzwerk, kann exakt dies den Einstiegspunkt f\u00fcr Cyberkriminelle darstellen.<\/p>\n Setzen Sie Zugriffskontrollen sowie Segmentierungsrichtlinien durch \u2013 gerade in der Home-Office-Zeit, aber nat\u00fcrlich auch dar\u00fcber hinaus. Eignen Sie sich Praxen an, die sich bew\u00e4hrt haben:<\/p>\n Das Feststellen digitaler Identit\u00e4ten direkt an der Produktionslinie w\u00e4re begr\u00fc\u00dfenswert. Weitere Empfehlungen zum Schutz von Maschinenidentit\u00e4ten sind:<\/p>\n Die Entwicklung der Digitalisierung durch die Corona-Pandemie, die weitere Entwicklung von Industrie 4.0, aber auch des IIoT zeigen, dass Maschinenidentit\u00e4ten an Relevanz gewinnen. Wir alle gehen mit digitalen Identit\u00e4ten um \u2013 ganz selbstverst\u00e4ndlich, sowohl im privaten als auch im gesch\u00e4ftlichen Umfeld. Doch ihr Schutz ist noch sehr ausbauf\u00e4hig. Gehen die Entwicklungen in den Bereichen IIoT und Industrie 4.0 \u00e4hnlich rasant weiter, wovon auszugehen ist, k\u00f6nnen Authentifikation und Identifikation von Maschinen bald wichtiger sein als die des Anwenders. F\u00fcr die Netzwerksicherheit, den Datenschutz und die generelle IT-Sicherheit steht eines jedoch fest: Das effiziente Sichern digitaler Identit\u00e4ten ist bereits heute unumg\u00e4nglich.<\/p>\nDer Einsatz von Maschinenidentit\u00e4ten<\/h3>\n
Digitale Identit\u00e4ten sicher verwalten<\/h2>\n
Das ist beim Schutz digitaler Identit\u00e4ten zu beachten<\/h2>\n
\n
\n
Digitale Identit\u00e4ten sind zentraler Bestandteil der IT-Sicherheit<\/h2>\n