Absicherung von Produktionsanlagen

Herausforderungen für Public-Key-Infrastructure in der Produktion

PKI

Die Implementierung einer Public-Key-Infrastructure in Produktionsumgebungen erfordert die Bewältigung spezifischer technologischer Herausforderungen.

Die Absicherung von vernetzten Produktionsanlagen über eine Public-Key-Infrastructure (PKI) unterscheidet sich maßgeblich von klassischen IT-Umgebungen. Ein zentrales Problem stellen ressourcenbeschränkte Komponenten dar. Viele Geräte der Operational Technology (OT) verfügen nur über geringe CPU-, RAM- und Speicherkapazitäten. Dies führt dazu, dass vollständige Zertifikatssperrlisten (CRLs) nicht in den Arbeitsspeicher passen oder zeitkritische TLS-Handshakes abgebrochen werden.

Anzeige

Zudem weisen viele OT-Netzwerkzonen eine stark eingeschränkte oder gar keine Verbindung zum Internet auf. Eine ständige Erreichbarkeit von externen Online Certificate Status Protocol (OCSP) Respondern oder Cloud-Diensten ist daher im laufenden Betrieb nicht gegeben. Das Management des Zertifikatslebenszyklus muss somit lokal und über isolierte Zonengrenzen hinweg zuverlässig funktionieren.

Anforderungen an Verfügbarkeit und Echtzeitkommunikation

In Produktionsumgebungen sind ungeplante Ausfallzeiten nicht tolerierbar, weshalb die Verfügbarkeit der Certificate Authority (CA) als Teil der kritischen Infrastruktur eingestuft wird. Fehler bei der Verteilung von Zertifikatssperrlisten stellen ein direktes operatives Risiko für die Stabilität der Anlagen dar.

Darüber hinaus verlangen industrielle Netzwerkprotokolle eine deterministische Kommunikation mit fest definierten Latenzen. Eine ungeeignete Validierung von Zertifikaten kann unvorhersehbare Verzögerungen beim Verbindungsaufbau verursachen, was die strikten Echtzeitanforderungen der industriellen Prozesse gefährdet. Die Zertifikatsprüfung darf Kommunikationszeiten daher weder verzögern noch unvorhersehbar variieren lassen.

Anzeige

Dimensionierung von Maschinenidentitäten und Vertrauensdomänen

Ein weiterer Unterschied zur traditionellen IT-Sicherheit ist die schiere Menge an Endpunkten. In der Fertigung benötigen Speicherprogrammierbare Steuerungen (SPS), Fernwirkeinheiten (RTU), Sensoren, Messgeräte und Edge-Gateways eigene kryptografische Identitäten. Die Anzahl dieser OT-Geräte erreicht schnell Dimensionen im siebenstelligen Bereich, wodurch eine automatisierte Verwaltung zwingend notwendig wird.

Zudem agieren in modernen Fabriken diverse Akteure wie interne Betriebsteams, externe Wartungsdienstleister und Erstausrüster (OEM) in komplexen, nebeneinander existierenden Vertrauensdomänen, was eine strikte Segmentierung und Auditierung aller Zugriffsberechtigungen erfordert.

(BxC/red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.