Digitale Identitäten: Schutz von Maschinenidentitäten
Digitale Identitäten müssen geschützt werden – gerade in Hinblick auf die Corona-Pandemie: Vielen Unternehmen ist es gelungen, ihre Arbeit in die digitale Welt zu verlagern. IT-Sicherheit im Allgemeinen und der Schutz von Maschinenidentitäten im Besonderen erlangen neue Relevanz.
Die Identität einer Maschine
Zahlreiche Cyberattacken haben zum Ziel, die Identität eines Nutzers auszuspionieren und übernehmen zu können. Weit begehrter sind Administrationsidentitäten, denn derartige Identitäten sind mit weitreichenden Rechten ausgestattet. Wird vor Identitätsmissbrauch gewarnt, müssen aber nicht zwangsläufig Nutzer oder Admins damit gemeint sein. Denn auch Maschinen besitzen Identitäten, die mit Privilegien im Berechtigungssystem ausgestattet sind.
Was ist eine Maschinenidentität?
Maschinelle oder auch digitale Identitäten zeichnen sich – ähnlich wie wir Menschen – durch verschiedene Eigenschaften und Merkmale aus, die sie voneinander unterscheidbar machen. Kryptografische Schlüssel, aber auch digitale Zertifikate sind prominente Beispiele digitaler Identitäten. Somit zeigt sich, dass Maschinenidentitäten heutzutage im Wettbewerb, jedoch auch in der Sicherheit von Unternehmen maßgebliche Rollen spielen.
Digitale Identitäten bilden die Grundlage dafür, dass zwischen verschiedenen Maschinen im World Wide Web Vertrauen hergestellt werden kann. Wie schützenswert digitale Identitäten sind, zeigt beispielsweise unser Beitrag „Darknet: Digitale Zertifikate gestohlen“. Dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) jüngst einen Sicherheitskatalog für digitale Identitäten veröffentlichte (wir berichteten), zeigt, wie hochgradig relevant die Thematik für die heutige Geschäftswelt ist.
In diesem Zusammenhang seien auch die X.509-Zertifikate erwähnt: Diese digitalen Dateien sind zur SSL-Verschlüsselung verwendbar. X.509-Zertifikate erfüllen zwei wesentliche Funktionen: Zum einen verschlüsseln sie Informationen, die über Websites ausgetauscht werden, wie Sie es sicher von gängigen SSL-/TLS-Zertifikaten kennen. Zum anderen dienen sie jedoch auch der Authentifizierung sowie der Verifizierung von Identitäten von Hosts oder Websites. Damit sind X.509-Zertifikate ein wesentlicher Bestandteil von digitalen Identitäten.
Der Einsatz von Maschinenidentitäten
Gerade in den Bereichen Industrie 4.0 und Industrial IoT (IIoT) sind digitale Identitäten wichtig: Um automatisiert arbeiten zu können, kommunizieren die Maschinen direkt miteinander – sie müssen einander also nicht nur „kennen“, sondern sich vertrauen. Sie verteilen eigenständig anfallende Aufgaben und besitzen die dafür erforderlichen Rechte. Um das gewährleisten zu können, benötigt jedes System eine digitale Identität.
Maschinen, Anlagen, Produkte oder Transportsysteme dieser Art finden wir in nahezu allen Produktionsstätten und in vielen weiteren Unternehmen. Sie kommunizieren in der jeweiligen Umgebung jedoch nicht nur miteinander, sondern auch mit Back-Office-Systemen wie MES, PLM- und ERP-Systemen oder Warehousing-Lösungen. Das zeigt, wie nahe sich Informationstechnik (IT) und Betriebstechnik (Operational Technology, OT) mittlerweile sind – als getrennte Felder lassen sie sich kaum noch betrachten. ERP-Lösungen haben genauso wie Big Data-Programme Zugriff auf jene Daten, die von den Maschinen selbst, von Messsystemen oder Förderzeugen generiert werden.
5G verspricht mehr Zuverlässigkeit und Geschwindigkeit gegenüber vorhergehenden Mobilfunkgenerationen. Das stellt in Aussicht, dass Maschinen und Anlagen künftig noch mehr Möglichkeiten erhalten. Das IIoT wird sich verstärkt auf den mobilen Sektor ausweiten und sich auf bisher eher schlecht angebundene Regionen erweitern. Das klingt gut, erhöht jedoch auch die Angriffsflächen.
Zum jetzigen Zeitpunkt sind digitale Identitäten also nahezu überall zu finden – in kleineren Unternehmen genauso wie in Großkonzernen und überall dazwischen. Doch gut geschützt sind sie nicht, die Maschinenidentitäten. So kam es im vergangenen Jahr zu einem massiven Diebstahl zahlreicher Zertifikate, mit denen unter anderem Fake-Shops erstellt wurden. Update-Services wurden für die Verteilung von Malware missbraucht oder dazu, Ransomware zu verteilen oder sich einen SSH-Zugang zu verschaffen. All das ist Realität – schon heute, wo wir vom IIoT noch nicht gänzlich umgeben sind. Mit 5G und dem Fortschreiten von IIoT sowie Industrie 4.0 wird der Schutz digitaler Identitäten massiv an Bedeutung gewinnen.
Digitale Identitäten sicher verwalten
Angesichts dieser Faktenlage kommt man kaum umhin, sich zu fragen, wie digitale Identitäten effizient geschützt werden können. Es gibt verschiedene Ansätze:
Das Identity- and Access-Management (IAM) rückt wichtige Fragen in den Fokus: Wer tut wann was im Netzwerk? Eine reine Authentifizierung genügt dem Ansatz nicht, eine zweifelsfreie Identifikation ist das Ziel. Es geht also darum, nur den identifizierten Anwender selbst handeln zu lassen – und keinen unbefugten Dritten, der sich als Anwender ausgibt. Oder in unserem Fall: nur die identifizierte Maschine, keine unbefugte dritte Identität. Der IAM-Ansatz zeigt als Dreh- und Angelpunkt einen Identity-Provider. Der menschliche Anwender steuert diesen Identity-Provider mittels Geräts an. Das anfragende Gerät erhält sodann einen Access-Token. Das Individuum hat über einen Directory-Zugang Zutritt erhalten. Ein Access-Manager achtet darauf, dass entsprechende Richtlinien eingehalten werden, während weitere Access-Tokens eng an diesen Kontext angebunden sind.
Daraus wird deutlich, dass Geräte dank IAM ihre Funktionsfähigkeit erst dann aufnehmen, wenn die entsprechenden Nutzer eindeutig identifiziert sind. Erst die Inbetriebnahme durch eine zweifelsfrei identifizierte Person schafft es, dass das Gerät eine digitale Identität wird. Im Namen dieser identifizierten Person kann das Gerät dann unterschiedliche Zugangsrechte zu APIs oder Webverbindungen geltend machen – je nachdem, welche Berechtigungen der User selbst hat. Diese Berechtigungen sind jedoch nicht rollen-, sondern identitätsbasiert.
Eine Alternative zu diesem Ansatz ist die Public Key Infratructure (PKI): Der Aufbau der notwendigen Vertrauenskette startet mit einer gerätebezogenen Identitätsfeststellung. Die digitale Identität soll in diesem Fall als Zertifikat im X.509-Format erstellt werden – genau das also, was eine PKI leistet. Die Vertrauenswürdigkeit des digitalen Zertifikats wird durch die Certificate Authority (CA), also die Zertifizierungsstelle gewährleistet. Validiert wird ein solches X.509-Zertifikat durch den öffentlichen Schlüssel des Zertifikatinhabers. Wird dieses vorhandene PKI-Konzept erweitert, kann das mehr IIoT-Sicherheit bringen: Die Registration Authority (RA) der PKI wird in die vernetzte Produktionsumgebung verlagert.
Es entsteht ein „local Registration Point“, der nicht nur die Identität des Geräts validiert, die durch das Zertifikat angefragt wird, sondern auch ein vertrauenswürdiges Zertifikats-Request zum Beantragen des Gerätezertifikats bei der CA erstellt. So kann es gelingen, Komponenten schon im Fertigungsprozess digitalen Identitäten zuzuweisen.
Das ist beim Schutz digitaler Identitäten zu beachten
Um digitale Identitäten schützen zu können, ist es lohnenswert, sich zunächst einen Überblick über die Maschinenidentitäten zu verschaffen, die genutzt werden. Um Identitäten zu schützen, ist Verschlüsselung ein probates Mittel. SSL-Zertifikate für die Web- und S/MIME-Zertifikate für die E-Mail-Sicherheit sind unverzichtbare Bestandteile des Schutzkonzepts digitaler Identitäten. Bedenken Sie: Ist ein unbefugter Dritter im Besitz Ihrer E-Mail-Zugangsdaten, kann er Ihre Identität dazu nutzen, in Ihrem Namen E-Mails zu versenden. Signieren Sie Ihre E-Mails hingegen digital mit Ihrer Identität, wäre zweifelsfrei klar, dass Sie – und nur Sie – die E-Mail versandt haben können.
Gerade für Ihre Mitarbeiter, die aufgrund der Corona-Pandemie im Home-Office arbeiten, lohnt sich eine Bestandsaufnahme all jener Geräte, die mit dem Netzwerk verbunden sind. Doch auch direkt im Unternehmen lohnt dieser kritische Blick ins Netzwerk, denn: Sie können nur absichern, was Sie auch kennen. Kategorisieren Sie jene Geräte, die Sie identifizieren konnten, als persönliche oder unternehmenseigene. So haben Sie die Möglichkeit, Sicherheitsrichtlinien für BYOD-Geräte anzuwenden. In der Folge können Sie deren Verhalten sowie Netzwerkverkehr monitoren.
Überprüfen Sie Geräte grundsätzlich, bevor sie im Netzwerk zugelassen werden. Gerade die Frage, ob die Geräte mit aktuellen Sicherheitsupdates gepatcht sind, ist interessant. Existiert auch nur ein einziges nicht-konformes bzw. gar kompromittiertes Gerät in Ihrem Netzwerk, kann exakt dies den Einstiegspunkt für Cyberkriminelle darstellen.
Setzen Sie Zugriffskontrollen sowie Segmentierungsrichtlinien durch – gerade in der Home-Office-Zeit, aber natürlich auch darüber hinaus. Eignen Sie sich Praxen an, die sich bewährt haben:
- Zugänge mit den geringstmöglichen Privilegien
- Automatische Benachrichtigungen über Probleme beim Einhalten von Richtlinien
- Kontrolle von Netzwerkaktivitäten von Home-Office-Geräten zum Erkennen von Normabweichungen
Das Feststellen digitaler Identitäten direkt an der Produktionslinie wäre begrüßenswert. Weitere Empfehlungen zum Schutz von Maschinenidentitäten sind:
- Überwachen Sie aktiv die Maschinenidentitäten, um eine fortwährende Transparenz zu gewährleisten.
- Stellen Sie für jede Maschinenidentität fest, ob sie den Sicherheitsrichtlinien entspricht (s. o.: Updates, Berechtigungen, usw.).
- Mit Automatisierung reagieren Sie am besten auf Geschwindigkeit und Umfang möglicher Änderungen der digitalen Identitäten.
- Verstehen Sie den Schutz digitaler Identitäten als fortlaufenden und skalierbaren Prozess, der auf zügige Änderungen der Maschinenidentität eingehen kann.
Digitale Identitäten sind zentraler Bestandteil der IT-Sicherheit
Die Entwicklung der Digitalisierung durch die Corona-Pandemie, die weitere Entwicklung von Industrie 4.0, aber auch des IIoT zeigen, dass Maschinenidentitäten an Relevanz gewinnen. Wir alle gehen mit digitalen Identitäten um – ganz selbstverständlich, sowohl im privaten als auch im geschäftlichen Umfeld. Doch ihr Schutz ist noch sehr ausbaufähig. Gehen die Entwicklungen in den Bereichen IIoT und Industrie 4.0 ähnlich rasant weiter, wovon auszugehen ist, können Authentifikation und Identifikation von Maschinen bald wichtiger sein als die des Anwenders. Für die Netzwerksicherheit, den Datenschutz und die generelle IT-Sicherheit steht eines jedoch fest: Das effiziente Sichern digitaler Identitäten ist bereits heute unumgänglich.
Schreibe einen Kommentar