¶ºÒõ¹Ý

Gastautor 10-05-2020

Skalierbar und zeitgesteuert: Berechtigungen für Geräte und BenutzerÌý– PKI der neuesten Generation

David Bisson

Die Geräteidentität (quasi die „Geburtsurkunde“ des Geräts“) weist nach, was genau sich mit dem Netzwerk verbindet. Dies trägt zur allgemeinen Sicherheit von Unternehmen bei.

Geräteidentität in der Fertigung

Viele Fertigungsunternehmen betrachten das Ausstellen von „Geburtsurkunden“ für Geräte als besondere Herausforderung. Sie möchten Geräte ordnungsgemäß legitimieren, identifizieren, authentifizieren und aktualisieren.

Dabei ist die Implementierung an sich nicht so sehr das Problem. Doch um es richtig zu machen, brauchen Unternehmen eine moderne PKI.

Und hier fangen die Schwierigkeiten an. Lieferkettenverantwortliche schaffen es kaum, Geräte in großem Maßstab mit einer Identität auszustatten. Nehmen wir zum Beispiel an, ein Unternehmen erhält eine Lieferung Computerchips. Die sind möglicherweise legitimiert, doch ein Gerätehersteller stellt sie in der Regel nicht selbst her, sondern bezieht sie von einem Lieferanten.

Und dann ist da noch die Software, die auf die fraglichen Geräte aufgespielt wird. Diese Programme werden irgendwann unweigerlich Schwachstellen aufweisen. Also muss das Unternehmen den Verlauf dieser Software nachvollziehen und Patches implementieren können.

Unvollkommene ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô

Fertigungsunternehmen stellen sich den oben beschriebenen Problemen. So legitimieren sie ihre Erzeugnisse beispielsweise, indem sie die Geräte bei der Fertigung mit einer PKI-konformen Identität auf dem Chip ausstatten. Dennoch enthält das Gerät eine Drittanbieterkomponente. Deshalb müssen die Unternehmen wissen, dass sie die Identität bei Bedarf verwalten oder widerrufen können.

Zwei Arten von Geräten

Das eben Erwähnte muss ich leider einschränken: Es ist nicht immer möglich. Zum Teil liegt das an den unterschiedlichen Gerätetypen, die sich mit einem Netzwerk verbinden. Da sind zunächst einmal mit PKI-Zugangsdaten ausgestattete Geräte, die zwar aktiviert werden, sich aber selten beim Netzwerk zurückmelden. Solche Geräte müssen in der Regel von Hand und vor Ort aktualisiert werden. Das verantwortliche Unternehmen muss diesen Vorgang koordinieren und sicherstellen, dass nur autorisiertes Personal Verwaltungszugriff auf die Gerätezugangsdaten hat.

Daneben stehen die ausgeklügelteren Geräte, die sich häufiger mit dem Netzwerk verbinden und deren Zugangsdaten dynamisch sind.

Für sie gibt es ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô zur sicheren Verwaltung der PKI, Authentifizierung und Verschlüsselung. Hier ein Beispiel: Chiphersteller versuchen, Zugangsdaten auf ihre Chips aufzudrucken. Leider lässt das Maß an Authentifizierungssicherheit zu wünschen übrig und die PKI wird nicht optimal genutzt. Und nicht nur dasÌý– mehrere Wege führen zum Ziel.

PKI für Benutzer in Unternehmen

Bei Benutzern liegen die Dinge wieder ganz anders. Schließlich sind Benutzer keine standardisierten Geräte, sondern einzigartige Individuen.

Diese Dynamik geht mit einigen Schwierigkeiten einher. Unternehmen nutzen PKI heutzutage, um Geräte-, Homeoffice- und viele weitere Richtlinien zu erzwingen, die die digitale Transformation erleichtern. Bei der Automatisierung und Skalierung dieser Aufgabe können Unternehmen einige Systeme helfen. Doch sowohl die Benutzer als auch das Netzwerk wandeln sich. Eine lokale Serverfarm mit Active DirectoryÌý– das war einmal. Heute sind Umgebungen cloudbasiert, und damit verschiebt sich die Netzwerkgrenze.

Daher braucht es für die Authentifizierung von Cloudsystemen, bei denen die Netzwerkgrenze weniger trennscharf ist, entsprechende Authentifizierungs-Tools. Unternehmen könnten die Authentifizierung dann weiterhin im großen Stil automatisieren, indem sie auch Akteure außerhalb des UnternehmensÌý– Kunden, Partner, LieferantenÌý– transparent einbinden.

PKI als Lösung für Geräte und BenutzerÌý– eine kleine Einführung

Die PKI stellt sowohl für Geräte als auch für Benutzer eine flexible Lösung dar. Seit den ersten Protokollen, die die Registrierung und den Schlüsselaustausch regeln, hat sich einiges getan. Inzwischen gilt für Protokolle eine neue Anforderung: Kunden müssen damit gut arbeiten können. Dazu bedarf es eines „Meta-Protokolls“ mit Spezifikationen, welche Art der Registrierung zulässig ist. Durch die Kombination von Protokoll und Meta-Protokoll wächst aus Unternehmenssicht der Nutzen des Protokolls für die Geräteauthentifizierung, Integrität und andere Zwecke. Zentrale Voraussetzung ist dabei, dass solche Prozesse skalierbar sind.

Die Lösung des Problems sieht folgendermaßen aus: Zur Modernisierung der PKI werden führende cloudbasierte ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô benötigt, die sich mit Protokollen und Workflows so kombinieren lassen, dass der Kunde beliebig skalieren kann. Konkret bedeutet dies, dass die PKI auf ein nutzungsbasiertes Modell umgestellt wird, damit der Kunde sie seinen Anforderungen und Prozessen entsprechend einsetzen kann. Dieses Modell muss den Einsatz der ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô in der Cloud ermöglichen und eine ähnliche PKI-Geschwindigkeit bieten wie ein containerbasiertes Modell. Außerdem muss der Kunde die PKI für seine Umgebungen portieren und standardbasierte, zentralisierte Protokolle nutzen können, die umgebungsübergreifend eine einheitliche Verwaltung zulassen.

Vor dieser herausfordernden Aufgabe stehen zurzeit alle Unternehmen und Organisationen. Einen Vorteil haben hier große Anbieter, die Erfahrung mit dem Betrieb umfangreicher PKI für Unternehmens-, Web- und IoT-Anwendungen haben. Das trifft beispielsweise auf renommierte öffentliche Zertifizierungsstellen zu. Sie sind dafür prädestiniert, diese Veränderung in der nicht mehr allzu fernen Zukunft umzusetzen. Das Fundament für die Implementierung ist bereits gelegt.

UP NEXT
Sicherheit

Vereinfachtes Code Signing an Werk- und Feiertagen

5 Min

Im Blickpunkt

Digitales Vertrauen für die analoge Welt wird Wirklichkeit

Mit Zero Trust zum digitalen Vertrauen

Smart Homes sollen das Leben einfacher machen, aber da jedes Smart Home-Gerät eine eigene App benötigt, um es zu verwalten, war es für die Verbraucher nicht einfach, ihre verschiedenen Geräte zu verwalten. Lesen Sie hier mehr über Matter-Trusted Devices.Ìý