IT-Matchmaker news

Digitale Zertifikate sichern Produktionsanlagen

Die Sicherheitsarchitektur für die Digitale Fabrik verändert sich gerade grundlegend: Digitale Zertifikate lösen die Netzwerk-basierten Zugriffe und die Validierung von Protokollen ab. Im Fokus steht nun die Public Key Infrastructure.

Public Key Infrastructure Industrie
©LeoWolfert | istockphoto.com

Public-Key-Infrastructure in der Industrie: Noch vor 20 Jahren war es vergleichsweise einfach, eine Produktionsanlage abzusichern. Meist umgaben Zäune und gesicherte Tore das Gelände. Physisch isolierte Netzwerke und statische Hardware an festen Standorten erschwerten Cyberangriffe von außen erheblich. Cloudumgebungen mit Remote-Zugriff existierten damals noch nicht. Jeder, der Zutritt zum Netzwerk hatte, wurde als vertrauenswürdig eingestuft. Bald kam dieses Konzept an seine Grenzen. Mit virtualisierten Steuerungen, Cloud-Anbindungen, containerisierten Services und dynamisch bereitgestellten Assets hat sich die industrielle Infrastruktur grundlegend verändert. Zugriffsmöglichkeiten lassen sich nicht länger an einen physischen Ort koppeln.

In der Operational Technology (OT) entsteht deshalb der Bedarf für eine neue Architektur, die Sicherheit auf Basis von Krypto-Identitäten erzeugt. Warum die Verwaltung von kryptografischen Identitäten über eine Public-Key-Infrastruktur (PKI) in modernen Produktionsumgebungen sinnvoll ist, lässt sich am besten nachvollziehen, wenn man die Entwicklungsschritte betrachtet, die Sicherheitskonzepte in der Industrie durchlaufen haben. Die drei nachfolgend skizzierten Phasen dienen der Veranschaulichung. Je nach Branche oder Produktionsumgebung lassen sich die Phasen nicht trennscharf unterscheiden.

1. Die Ära des netzwerkbasierten Vertrauens

Die erste Generation industrieller Sicherheitskonzepte beruhte auf netzwerkbasiertem Zugriff. Neben einer physischen Segmentierung durch Air-Gaps und dedizierter Verkabelung bestanden die Sicherheitsmaßnahmen im Einsatz von virtuellen Netzwerken (VLANs) und statischen Access Control Lists (ACLs). Die Logik war simpel: Wer sich innerhalb des Netzwerksegments auf dem richtigen Port befand, galt als vertrauenswürdig.

Dieses Konzept funktionierte, solange Produktionsumgebungen statisch blieben. Angesichts der zunehmenden Vernetzung wurden die Grenzen dieses Ansatzes offensichtlich. Innerhalb einer Zone existierte häufig pauschales Vertrauen. Geräteidentitäten und kryptografische Nachweise spielten keine Rolle. Skalierbarkeit für Cloud- oder Remote-Szenarien war praktisch nicht vorgesehen.

2. Die protokollbasierte Umsetzung

Im nächsten Schritt rückten Deep Packet Inspection inklusive Payload-Analyse und Protokollvalidierungen wie Modbus, OPC Unified Architecture und DNP3 in den Fokus. Auf der Anwendungsebene kamen Firewalls zum Einsatz, die nicht mehr nur IP-Adressen und Ports analysierten, sondern ungültige Methodenaufrufe innerhalb des OSI-7-Schichtenmodells blockieren konnten. Auch dieser Ansatz blieb netzwerkzentriert. Die physische oder logische Position eines Geräts bestimmte weiterhin die Zugriffsmöglichkeiten. Identität war noch kein zentrales Sicherheitsprinzip. In verteilten oder cloudbasierten Architekturen stießen klassische physische Inspektionspunkte schnell an technische und organisatorische Grenzen.

3. Die identitätsbasierte Kommunikation

Heute vollzieht sich ein grundlegender Paradigmenwechsel. Produktionsanlagen sind über mehrere Standorte hinweg vernetzt. Moderne Umgebungen für Produktionsanlagen setzen auf virtualisierte Controller, containerisierte Dienste, mit der Cloud verbundene Geräte und dynamisch bereitgestellte Ressourcen. Netzwerkbasiertes Vertrauen reicht in so einem Szenario nicht mehr aus. Der Fokus liegt stattdessen auf identitätsbasierter Kommunikation. Dabei entscheiden mehrere Fragen darüber, ob eine Kommunikation vertrauenswürdig ist:

  • Handelt es sich um ein aktuell gültiges Zertifikat?
  • Handelt es sich um den autorisierten Client?
  • Ist die Identität kryptografisch nachgewiesen?
  • Ist die gegenseitige Authentifizierung abgeschlossen?

 

Zu den Vorteilen identitätsbasierter Kommunikation gehört eine sehr feine Granularität bei der Zugriffskontrolle. Das ermöglicht die zentrale Steuerung einer Produktionsanlage von einem Remote-Standort aus. Damit Unternehmen in vollem Umfang von diesem Sicherheitskonzept profitieren, benötigt jede speicherprogrammierbare Steuereinheit (SPS) eine vertrauenswürdige Identität, Telemetrieverbindungen müssen authentifiziert werden, Software-Updates signiert, Verbindungen gegenseitig verifiziert und Zertifikate kontinuierlich erneuert werden.

Die Public-Key-Infrastructure in der Industrie wird zum Enabler

Diese Entwicklung verändert auch die Wahrnehmung von Sicherheitsfragen in der Industrie. Jahrzehntelang galt Security als notwendiges Übel. Bei der identitätsbasierten Kommunikation wird die Public-Key-Infrastruktur zum Enabler. Zertifikate schaffen die Vertrauensbasis für verteilte Steuerung, sichere Fernwartung und skalierbare Digitalisierung. Sicherheit ist nicht mehr nur Schutzmechanismus, sondern Voraussetzung für moderne Betriebsmodelle. jf

Vertiefung
Datenintegration Produktion

Sichere Digitalisierung der Produktion

Mit der zunehmenden Vernetzung von Maschinen, Anlagen und IT-Systemen steigen die Anforderungen an Sicherheit, Transparenz und Kontrolle in der Produktion. Moderne Smart-Factory-Konzepte setzen deshalb auf durchgängige Datenflüsse, sichere Kommunikation und eine belastbare IT-Architektur.

Der Fachbeitrag „Smart Factory in der Praxis“ von Christian Müller und Rolf Kipp, MES-Experten, zeigt, wie Unternehmen ihre Produktions-IT integrieren, Daten sicher nutzen und die Grundlage für eine zukunftsfähige, digital vernetzte Fertigung schaffen.

Die Autorin

Verwandte Artikel

Der IT-Matchmaker® Newsletter erscheint alle 14 Tage und informiert Sie über Neues und Interessantes rund um den Einsatz von Business Software.

Aktuelle Marktübersichten

IT-Matchmaker®.guide KI-Lösungen für Business Software 2026

IT-Matchmaker®.guide ERP-Lösungen 2026

IT-Matchmaker®.guide Industrie 4.0 Lösungen 2026

Abschluss der Webinaranmeldung

Ihre gewählten Webinare

Information

Vielen Dank für Ihre Webinaranmeldung.

Wir prüfen die Verfügbarkeit und senden Ihnen in Kürze eine Mail mit den Webinardaten.

Anmeldung Webinare

Sie haben die folgenden Webinare ausgewählt:

Sie wollen Sich für mehrere Webinare gleichzeitig anmelden? Dann klicken Sie auf 'Weitere Webinare anzeigen‘ und setzen für jeden Termin einen Haken.

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Anmeldung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zur Vollendung der Anmeldung für unser Webinar.

Fehler

Der Link ist nicht mehr gültig

Bitte starten Sie die Registrierung / Anmeldung erneut.

Information

Alle Downloads sind jetzt freigeschaltet.

Wir haben Ihnen soeben einen Freischaltlink geschickt, mit dem Sie in Zukunft ohne erneute Registrierung auf alle Downloads zugreifen können.

Abschluss der Registrierung
Download-Freischaltung

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Registrierung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zum Abschluss der Registrierung für unser Download-Center.