Security für Industrie 4.0 –
Industrial Internet of Things (IIoT)

SECURE COMMUNICATION – hochsichere Datenkommunikation für Maschinen und Produktionssysteme

Industrie 4.0 und Industrial Internet of Things (IIoT) stehen synonym für die Digitalisierung aller Prozesse entlang der Wertschöpfungskette sowie die Vernetzung der darin enthaltenen Elemente. Die klassische IT wird mit der Operational Technology (OT) in der Produktion verzahnt. Hierdurch verändern sich der Aufbau und auch die Zuständigkeiten in den ehemals strikt voneinander getrennten Welten.

In der IT-Sicherheit muss nun auch die Produktion mit in die Überlegungen einbezogen werden. Inzwischen gibt es ganz neue Angriffsszenarien auf vernetzte Maschinen, die durch die IT überwacht und abgesichert werden müssen. Für Szenarien im IIoT-Umfeld bieten die zentralen Software-Komponenten von NCP eine zuverlässige und bewährte Möglichkeit zur Absicherung der Datenkommunikation.

Ein maßgeblicher Unterschied bei NCP Secure Communications ist die
Management-Komponente, die einen Einblick in sämtliche IIoT Komponenten bietet.

– Jason Reed, Senior Cybersecurity Analyst at Frost & Sullivan.

Zielgruppe - Lösungsanbieter und Endanwender

Lösungsanbieter haben durch die Verwendung der NCP Komponenten den Vorteil, dass sie sich nicht selbst um die Implementierung einer sicheren Fernwartungslösung kümmern müssen. Über definierte Schnittstellen zwischen dem System des Anbieters und den Komponenten von NCP können automatisierte Lösungen aufgesetzt werden. Der Kunde bedient ausschließlich seine gewohnte, vom Anbieter erstellte Applikation. Über eine Schnittstelle wird im Hintergrund das Backend von NCP gesteuert und ein sicherer Verbindungsaufbau gewährleistet. Neben Gateways und Management kann auf Wunsch auch ein individualisierter Client zum Einsatz kommen.

Neben Lösungsanbietern können Endanwender auch direkt die einzelnen Softwarekomponenten von NCP erhalten und diese in Ihre individuelle Umgebung implementieren. Dabei spielt der Anwendungszweck keine Rolle. Von Industriemaschinen über Edge-Devices bis hin zu Ladeinfrastruktur für E-Mobility sind alle Möglichkeiten gegeben.

Gemeinsames Management für IT und OT

Bei der Verzahnung von IT und OT kann eine zentrale Verwaltungskomponente wie das NCP Management eine sichere Brücke schlagen, um die Kommunikation innerhalb der Produktion, der IT und den verbundenen Anlagen abzusichern. Hier ergeben sich durch die Ansätze von Industrie 4.0 neue Einfallstore für Angriffe, so spielt inzwischen beispielsweise auch die Kommunikation zwischen Maschinen und einer Cloud eine Rolle.

IIoT Inseln

Ein hoher Schutz für die Produktion des Unternehmens und eine Eingrenzung von Angriffsvektoren können nur durch eine „IIoT-Segmentierung“ etabliert werden. Hierfür werden Gruppen sogenannter „IIoT-Inseln“ aus logisch zusammenhängenden Maschinen und Anlagen gebildet, die zentral verwaltet, sicherheitstechnisch gesteuert (ID-Management, Updates, etc.) und überwacht werden.

Neben einer sauberen Struktur ist das Eindämmen von Cyberangriffen oder Incidents auf die jeweilige Insel ein weiterer Mehrwert. Auf diese Weise wird ein Vorfall isoliert und die Verbreitung von möglichem Schadcode massiv eingeschränkt. Die restliche Produktion bleibt davon unberührt, wodurch ein möglicher Schaden geringer ausfällt und gleichzeitig eine schnellere Wiederherstellung der betroffenen Anlagen gelingt. Ein zentrales Management wie das IIoT Management von NCP ist zur Steuerung und Überwachung der Infrastruktur unerlässlich.

Sichere Verbindungen

Sämtliche Verbindungen zwischen den Endgeräten und dem IIoT Remote Gateway bzw. zwischen dem zentralen IIoT Gateway und dem IIoT Remote Gateway sind mit modernsten Algorithmen (z. B. Suite B Cryptography) verschlüsselt. Weitere Security Features sind zentral verwaltbare Maschinen-Zertifikate in einer Public Key Infrastructure (PKI). Dadurch wird eine eindeutige Authentifizierung aller Endgeräte gewährleistet. Die Gültigkeit von Zertifikaten wird bei jedem Verbindungsaufbau anhand von Sperrlisten offline oder online gegenüber der Certification Authority (CA) überprüft.

Mandantenfähigkeit

Das Management System ist prädestiniert für den Einsatz in Cloud-Umgebungen oder in Industrie 4.0-Strukturen, innerhalb derer mehrere Produktionsstandorte gemeinsam eine Plattform nutzen. Dies erfolgt durch Gruppenzuordnung und eine komfortable Rechtevergabe. Die Administratoren werden so angelegt, dass jeder ausschließlich Zugriff auf seinen Produktionsstandort und die zu verwaltenden Einheiten hat. Ein Übergriff auf Daten anderer Zellen in deren geschützten Bereichen ist ausgeschlossen.

Auszug realisierter Projekte

Connected Cars – Flottensteuerung

Die Anforderung eines elektronischen Fahrtenbuches für die Außendienstmitarbeiter wurde in Form einer Blackbox mit Linux und Verbindung zum Backend umgesetzt. Über VPN sind Blackbox und Endgerät des Mitarbeiters (z.B. Tablet) in der Lage, Daten wie km-Stände aus dem Fahrzeug sowie Auftragsdaten sicher an die Firmenzentrale zu kommunizieren.

Bankautomaten

Die komplette Kommunikation von Bankautomaten muss verschlüsselt stattfinden, da es sich um besonders sensible Finanzdaten der Kunden handelt. Gelöst wurde diese Anforderung durch VPN Clients auf den Automaten, die im headless Betrieb ohne Oberflächen dem Kunden verborgen bleiben, aber für die nötige Verschlüsselung und Sicherheit sorgen.

Digital Signage

Gefordert war eine sichere Lösung für mobile Infoscreens in Supermärkten, die es den Mitarbeitern erlaubt ohne technischen Aufwand den Standort derselben zu wechseln. Ermöglicht wurde dies durch VPN Clients mit der Seamless Roaming Funktion, die auch bei einem Wechsel der Verbindungsart (LAN / WLAN / 3G / 4G) die sichere VPN-Verbindung unterbrechungsfrei hält. Dieses Beispiel ist übertragbar auf alle Bereiche von Digital Signage – z.B. in Hotels, Arztpraxen, Apotheken und Displaywerbung jeglicher Art.