Konzepte zur Vernetzung von Maschinen und Transportsystemen in Produktionsumgebungen setzen voraus, dass sich die Komponenten „kennen“ und einander vertrauen. Dafür braucht jedes System eine digitale Identität. Im Idealfall erfolgt diese Zuteilung bereits direkt bei der Produktion – mithilfe von digitalen Zertifikaten.
Informationstechnik (IT) und Betriebstechnik (Operational Technology, OT) in Fabriken und Kraftwerken wachsen immer stärker zusammen. Das belegt eine Studie des Hamburger Marktforschungsunternehmens IoT Analytics:
Demnach ist 2020 bereits etwa die Hälfte aller produzierten Komponenten in der Fabrik mit Systemen verbunden, die Daten sammeln und auswerten. Entwicklungen wie Industrie 4.0 und Predictive Maintenance von Produktionssystemen und Anlagen zur Energieerzeugung und Trinkwasserversorgung erfordern eine solche Kommunikation. Maschinen, Anlagen, Transportsysteme und Produkte tauschen in den Umgebungen miteinander und mit Back-Office-Systemen Informationen aus. Dazu gehören MES (Manufacturing Execution Systems), PLM-Lösungen (Product Lifecycle Management), Warehousing-Lösungen und ERP-Systeme (Enterprise Resource Planning).
Solange IT und OT separate Welten waren und kaum miteinander kommunizierten, bestand keine Notwendigkeit, Komponenten in Fertigungsumgebungen mit einer digitalen Identität zu versehen. Das hat sich durch das Internet of Things und Industrie 4.0 geändert. Nun haben beispielsweise ERP-Lösungen von Anbietern wie SAP, Oracle und Salesforce sowie Big Data & Analytics-Programme Zugriff auf Daten, die von Maschinen, Förderzeugen und Mess-Systemen generiert werden. Hinzu kommt, dass Unternehmen und deren Fertigungsumgebungen keine „Inseln“ mehr sind. Der Trend geht hin zu verteilten Produktionsumgebungen, in die Zulieferer, Partnerunternehmen und Kunden in unterschiedlichen Regionen oder Ländern mit einbezogen werden.
Warum digitale Identitäten so wichtig sind
Eine digitale Identität umfasst alle Attribute, mit denen sich Komponenten wie beispielsweise Steuereinheiten einer Werkzeugmaschine oder eines Smart Meter zweifelsfrei beschreiben lassen. Solche Attribute können unter anderem Seriennummern sein. Eine digitale Identität ermöglicht es somit, den gesamten Lebenslauf eines Produkts zu verfolgen, von der Herstellung über den Transport und Einsatz bis zur Entsorgung und Wiederverwertung. Dadurch können Hersteller Produkte während des gesamten Lebenszyklus mit neuen Software-Versionen und Patches versorgen. Das erfolgt teilweise „Over the Air“, also über Funkverbindungen.
Des Weiteren ermöglicht gerade die Vernetzung und die Erreichbarkeit von Steuereinheiten oder Messsystemen neue Geschäftsmodelle wie Pay-per-Use: Der Nutzer bezahlt in diesem Fall für die Zahl der Werkstücke, die er mit einer Maschine hergestellt hat oder einfach die aufgewendeten Betriebsstunden. Die Daten werden für jede Maschine von IoT-Sensoren ermittelt und an den Hersteller weitergeleitet.
Identitäten vor Ort übertragen
Die grundlegende Frage ist jedoch, wie sich eine Steuerung oder ein smartes Messgerät mit einer fälschungssicheren, digitalen „Erstidentität“ ausstatten lässt. Hier tritt ein klassisches Henne-Ei-Problem auf: Es stellt sich die Frage, was zuerst vorhanden sein muss: ein System, dem eine bestimmte Identität zugeordnet wurde, oder das Zertifikat einer unabhängigen Certificate Authority, das zweifelsfrei bestätigt, dass das System tatsächlich die angegebene Identität besitzt. Es reicht nicht aus, eine Steuerung, eine Maschine oder die Turbine eines Kraftwerks mit einem Trusted Platform Modules (TPM) -Sicherheitschip auszustatten. Denn das allein bedeutet nicht automatisch, dass sich eine Steuereinheit dadurch in eine vertrauenswürdige IoT-Komponente verwandelt. Denn zum Zeitpunkt, an dem das initiale Schlüsselpaar innerhalb des TPM generiert wird, ist dieses Gerät mit seinem Security-Chip noch unbekannt.
Speziell in vernetzten Produktionsumgebungen ist es deshalb hilfreich, wenn die hergestellten Komponenten direkt während des Fertigungsprozesses eine elektronische Identität erhalten. Das übernehmen Lösungen wie beispielsweise der Identity Authority Manager – Industrial von PrimeKey. Sie stellen dem Hersteller einen Werkzeugkasten zur Verfügung, um diesen Prozess in den Fertigungsablauf zu integrieren und jederzeit selbstständig zu adaptieren, ohne jedes Mal aufs Neue das gesamte Sicherheitskonzept zu überarbeiten.
Ganz klassisch beantragt dabei eine vertrauenswürdige Registrierungsautorität, in diesem Fall der Identity Authority Manager – Industrial, bei einem Dienst für Zertifikaterstellung (Certification Authority) ein entsprechendes Gerätezertifikat. Diese Beantragung kann über die bekannten Standardprotokolle, wie zum Beispiel CMP (Certificate Management Protocol) durchgeführt werden. Neu ist jedoch, dass sich die Registrierungsautorität dabei direkt an der Produktionslinie befindet und hier im Rahmen der Fertigung die Identitätsfeststellung durchführt. Henne und Ei erblicken so gleichzeitig das Licht der Welt.
Fazit
Ein effektives und funktionales IIoT mit vernetzten Produktionsumgebungen benötigt hochwertige digitale Zertifikate. Sie erst ermöglichen eine reibungslose Kommunikation zwischen IT und Betriebstechnik, die alle Sicherheitsaspekte zufriedenstellend abdeckt. Doch das gelingt nur dann, wenn die digitalen Zertifikate bereits während des Fertigungsprozesses ausgestellt werden und so die Komponenten jederzeit begleiten. Moderne Lösungen ermöglichen genau das. Es liegt also an den Unternehmen, sie möglichst schnell zu adaptieren und in ihre Produktion einzubinden.