Unabdingbare Sicherheitskomponenten einer Trusted Edge-Plattform

Secunet Edge Plattform

Als Plattform bringt Secunet Edge eine flexible, aber gleichzeitig sichere Anwendungsumgebung an den Rand der digitalen Infrastrukturen (Quelle: Secunet)

Vertrauenswürdig sichere (Trusted) Edge-Plattformen müssen angesichts der Risiken zwingend mit schützenden Funktionen ausgestattet sein. Darunter fällt unter anderem eine industriegerechte Firewall, welche die in der OT verwendeten Kommunikationsprotokolle beherrscht. Nur so ist es möglich, klare Leitplanken für die Netzwerkkommunikation (Allow- und Deny- Listen) zu entwickeln, die für industrielle Zwecke angepasst sind. Ein Trusted Edge kann darüber hinaus auch die OT – zumindest teilweise – weiter von der IT und deren Gefährdungslage abschirmen, erlaubt zugleich aber eine selektive Kommunikation. Um diese Funktion erfüllen zu können, muss die Plattform selbst geschützt sein, unter anderem durch eine Härtung des Betriebssystems oder eine integrierte Angriffserkennung. Idealerweise haben die Plattformen dedizierte Sicherheitstechnologien wie ein Secure Element (SE) integriert. Dieses ermöglicht die Verwahrung von kryptografischen Schlüsseln innerhalb eines manipulationssicheren Chips. Sicherheitsfunktionen dieser Art sollten gleichermaßen für eigene wie auch für Drittanwendungen nutzbar sein – idealerweise über Schnittstellen (API). So sind nicht nur Datenverschlüsselungen und Integritätsschutz etwa von Sensordaten auf hohem Niveau umsetzbar, sondern beispielsweise auch Authentifizierungsfunktionen für Fernzugriffe.

Edge-Security als Gesamtlösung

Industrie 4.0, IIoT und Edge-Computing sind auf vielen Ebenen mit komplexen sicherheitsrelevanten Herausforderungen konfrontiert. Für proaktiven Schutz ist daher ein ganzheitlicher Lösungsansatz wichtig. Eine umfassende Nachrüstung in Form eines Digitalisierungs- und Sicherheits-Retrofits lässt sich am besten im Rahmen einer Trusted Edge-Plattform realisieren, zum Beispiel mit der Secunet Edge. Sie vereint drei bisher getrennte Produktkategorien in einer Lösung:

  • Als Sicherheitskomponente sorgt sie für Verschlüsselung, Firewalling, Sicherheits- Updates und Verwaltbarkeit durch IT-Organisationen.
  • Sie ermöglicht eingehende und ausgehende Konnektivität beispielsweise zu Industrie-Clouds sowie innerhalb der Edge-Infrastrukturen, unter anderem über eine patentierte Protokollübersetzung für maschinenübergreifende Kommunikation.
  • Als leistungsstarker und robuster Industrie-PC übernimmt Secunet Edge rechenintensive Computing-Aufgaben, beispielsweise für Edge-Analytik und zentral gesteuerte Funktions-Updates ( Pay-per-use-Modelle, künstliche Intelligenz).

Darüber hinaus bietet Secunet Edge begleitende IT-Services, etwa eine kontinuierliche Überwachung und ein zuverlässiges Patch-Management. Durch den Einsatz einer offenen Plattform sinkt zudem das Risiko eines Vendor Lock-in. Die Nutzer der Plattform machen sich damit nicht von einzelnen Sondertechnologien abhängig und sind zugleich gut für die Zukunft gerüstet. Mit der Gesamtlösung können Industrieunternehmen zudem hohe Sicherheitsstandards und moderne Funktionsanforderungen in Digitalisierungsprojekten umsetzen. Die Plattform wird darüber hinaus mit Blick auf das Konzept der kritischen Kernkomponenten des Bundesamts für Sicherheit in der Informationstechnik für den Einsatz in Kritis bzw. Unternehmen im besonderen öffentlichen Interesse (Unböfi) entwickelt.

In der Praxis bewährt

Giesecke+Devrient (G+D) hat Secunet Edge bereits seit mehreren Jahren im Einsatz. G+D ist ein internationaler Konzern für Sicherheitstechnologie mit Hauptsitz in München. Das Unternehmen ist unter anderem weltweit führender Hersteller von Banknoten und Anbieter von Banknotenbearbeitungssystemen. In diesem besonders sensiblen Umfeld spielt IT-Sicherheit eine tragende Rolle. G+D nutzt die Edge-Plattform von Secunet deshalb zur Absicherung von Maschinen in der Banknotenbearbeitung, beispielsweise bei nationalen Zentralbanken in Europa. Die Funktionsweisen unterscheiden sich dabei nicht grundsätzlich von denen in der Industrie. Denn auch hier digitalisieren und vernetzen die Verantwortlichen zunehmend alle am Bearbeitungsprozess beteiligten Komponenten, um den wachsenden Ansprüchen hinsichtlich Effizienz und Wirtschaftlichkeit beizukommen.

Je nach Kunde stehen für G+D unterschiedliche Funktionen im Vordergrund: Neben einer Maschinen-Firewall und Network Access Control (NAC) sind das etwa Kommunikationsverschlüsselung, Protokollübersetzung und digitale Abschirmungs- Mechanismen, die ältere Anlagen über eine Informationskapselung verbergen (Prinzip „Tarnkappe“) sowie vor unberechtigtem Zugriff schützen (Prinzip „Deflektor-Schild“). Die Retrofit- Funktionalität von Secunet Edge sorgt für einen sicheren Betrieb, auch über den ursprünglich geplanten Lebenszyklus der Systeme hinaus. Durch die flexible Architektur der Plattform kann G+D zudem neue Sicherheitsmaßnahmen und Funktionalitäten über das bisherige Niveau hinaus realisieren. Die Gesamtlösung ermöglicht es so, Equipment an weitere Anwendungen wie eine sichere Fernwartung oder das Internet der Dinge (IoT) zu koppeln – mit zusätzlichem Mehrwert für G+D und seine Endkunden.

Jan Tiedemann
2 / 2