GlobalSign Blog

06 Mär 2019

So sichert Longview IoT die industriellen IoT Assets seiner Kunden

Sicherheitsverletzungen bei IoT-Geräten für Endverbraucher sind nervenaufreibend und sie haben Folgen. Betreffen sie aber industrielle, verbundene IoT-Geräte und Systeme sind die Konsequenzen noch drastischer. Dann betrifft ein Vorfall nicht nur einzelne Personen, sondern hat dauerhafte und weitreichende Konsequenzen für Unternehmen und deren Kundenstamm oder sogar ganze Gemeinschaften, wenn etwa ein Versorgungsunternehmen gehackt wird. Um verbundene Geräte, sowohl für Konsumenten als auch für industrielle Zwecke, abzusichern, ist es unabdingbar die Identitäten, Integrität und Privatsphäre aller IoT-Geräte/Endpunkte, Daten und Kommunikationen zu schützen.

GlobalSign und Carnegie Technologies haben deshalb gemeinsam nach einer fortschrittlichen Lösung für die sich gerade in der Entwicklung befindende Longview IoT-Plattform für industrielles Asset-Management gesucht. Die industrielle IoT Asset Management-Lösung wurde kürzlich auf den Markt gebracht und adressiert genau dieses Problem. Longview IoT kombiniert geeignete IoT-Technologien, um für seine Kunden eine einzige, sichere und optimierte Lösung zu entwickeln, die industrielle Komponenten überwacht und verwaltet. Die Ende-zu-Ende-IoT-Lösung ist für verschiedene Branchen vorkonfiguriert und so konzipiert, dass sie sofort einsatzfähig  ist.

Das Entwicklerteam hat die IoT-Plattform mit vier Hauptbereichen entwickelt: konzeptuelle Sicherheit, mehrere Sicherheitsebenen, eine gesicherte Wertschöpfungskette und Partnerschaften, die den Erfolg der Implementierung unterstützen.

Konzeptuelle Sicherheit

Entwickler von IoT-Software schenken konzeptueller Sicherheit inzwischen mehr Beachtung. Solche Sicherheitsmaßnahmen sind von Anfang an wichtige Funktionsbausteine innerhalb der Projektentwicklung.

Die Entwicklung der Longview IoT-Plattform ist ein Paradebeispiel für konzeptuelle Sicherheit. Als Startup benutzt Longview die Netzwerk-Architektur Long Range Wide Area Network (LoRaWAN) der Amazon Web Services (AWS) Cloud-Dienste.

Longview hat damit das Thema Sicherheit vorbildlich beim Prozess der Softwareentwicklung berücksichtigt. Potenzielle Sicherheitsprobleme hat das Unternehmen von Anfang an berücksichtigt und innerhalb seiner Lösung adressiert, Sicherheit wurde in diesem Framework von Grund auf als integrierter Bestandteil berücksichtigt und nicht wie oftmals üblich erst im Nachhinein.

Mehrere Sicherheitsebenen

Eine Sicherheitsebene einzuziehen ist ein guter Anfang, mehrere sind besser. Das aus drei Ebenen bestehende Sicherheitsframework von Longview ist eines der Hauptverkaufsargumente für die Firma.

Das Framework besteht aus der LoRaWAN nativen 128-Bit Verschlüsselung und der ‚Static Access Random Memory – Physical Unclonable Function‘ (SRAM PUF) Technologie für die Generierung von Schlüsseln speziell für Geräte. Dazu kommt als dritte Ebene die Bereitstellung von Zertifikaten durch die Zertifizierungsstelle (CA) GlobalSign. So wird jede Geräteidentität in der Wertschöpfungskette ebenso geschützt wie die im Netzwerk übertragenen Daten.

Die LoRa-Technologie sichert das Low-Power Wide-Area Netzwerk (LPWAN) und bietet eine erste Verschlüsselungsebene für das System. Das schützt die Kommunikation der Sensoren im Mesh-Netzwerk. Jeder einzelne Sensor braucht eine einmalige Identität. GlobalSign arbeitet an dieser Stelle mit Intrinsic ID zusammen, um per SRAM PUF-Technologie alle Sensoren der Longview IoT-Plattform zu identifizieren. Mit dieser PUF-Technologie kann man gerätespezifische Schlüssel generieren, die auf winzigen Abweichungen eines jeden Semiconductors, ähnlich wie ein menschlicher Fingerabdruck, basieren. So lassen sich sämtliche Longview-Sensoren identifizieren. Dies formt die zweite Schutzebene: jeder Sensor kann eindeutig identifiziert werden und erstellt ein unverwechselbares Schlüsselpaar. Das kann zum Beispiel zur Erstellung eines digitalen Zertifikats genutzt werden.

Als dritte Sicherheitsebene für ihr System integriert Longview GlobalSigns IoT Identity-Plattform. Das erlaubt es, zusätzlich die Fähigkeiten einer öffentlichen und einer benutzerspezifischen privaten Zertifizierungsstelle durch eine umfassende Registrierungsstelle (GlobalSigns IoT Edge Enroll) anzubieten. Die GlobalSign IoT Identity-Plattform basiert auf einer sicheren Public Key Infrastruktur (PKI), die einzelne Geräteidentitäten sichert. Die Plattform gewährleistet Integrität, Datenschutz (und Schutz bei der Datenübermittlung) durch Verschlüsselung, Authentifizierung und Autorisierung.

Die GlobalSign IoT-Lösung verbindet alle drei Ebenen der Longview-Sicherheitsarchitektur in einer Plattform.

Gesicherte Wertschöpfungskette

Longview war sich bewusst wie wichtig IoT-Sicherheit für seine IIoT Asset-Plattform ist. Genau deshalb sollte jedes Gateway-Gerät entlang der Wertschöpfungskette einzeln geschützt werden und nicht nur an einem beliebigen Punkt im Lebenszyklus. Um die Wertschöpfungskette der Gateway-Geräte während des  Produktionsvorgangs, beim ersten Einsatz und während der fortlaufenden Nutzung zu sichern, benötigt man digitale Zertifikate.

IoT Edge Enroll bietet eine umfassende Verwaltung der Lebenszyklen von Geräteidentitäten. Das erlaubt es Longview:

  • vorläufige Geräteidentitäten während der Produktion von Gateway-Geräten bereitzustellen (IDevID-Zertifikate)
  • lokale Geräteidentitäten beim Gateway-Einsatz bereitzustellen (LDevID-Zertifikate)
  • Geräteidentitäten über den gesamten Lebenszyklus hinweg zu verwalten (Lebenszyklusmanagement für Zertifikate)

Longviews Gateway-Geräte werden von einem Elektronikherstellungsdienst (EMS) produziert. Die von GlobalSign eingerichtete Longview Private CA gibt Longview IoT die Möglichkeit ursprüngliche Zertifikate (auch als Geburtszertifikate/ Lagerzertifikate/ IDevIDs bezeichnet) für jedes IoT Gateway-Gerät schon im Werk des EMS-Herstellers auszustellen.

Zusätzlich wird IoT Edge Enroll genutzt, um lokale, operative Geräteidentitäten (LDevIDs) beim Ersteinsatz des Geräts auszustellen und die Vergabe von operativen Zertifikaten zu diesem Zeitpunkt zu automatisieren. Über IoT Edge Enroll lassen sich Geräteidentitäten (also digitale Zertifikate) außerdem über den gesamten Lebenszyklus der Identitäten hinweg verwalten und erneuern.

Longview uses GlobalSign’s IoT Edge Enroll integration on our IoT Identity Platform to provision digital certificates and manage their Private CA and secure connectivity to their Amazon Web Services (AWS) cloud.

Partnering for Success

Für Carnegie/Longview lag die Herausforderung darin den richtigen Partner mit der passenden IoT-Sicherheitsplattform zu finden. Sie sollte es erlauben ein Drei-Ebenen-Sicherheitsframework zu entwickeln und die Wertschöpfungskette der Geräte zu sichern. Deshalb suchte man nach einer skalierbaren, automatisierten Plattform, die nur eine minimale manuelle Verwaltung der CA- und RA-Dienste benötigt. Die API sollte einfach zu nutzen und für das Entwicklerteam leicht zu integrieren sein. Zusätzlich sollte eine In-Field Sensoren-Identifizierung möglich sein. Man schaute sich also nach einem flexiblen Unternehmen um, mit dem man gemeinsam an einer umfassenden Lösung arbeiten wollte. Die IoT-Lösungen von GlobalSign und die seiner Partner konnten dann sämtliche der gestellten Anforderungen erfüllen.

Carnegie/Longview haben sich bei der Entwicklung an Best Practices orientiert. Eine Vorgehensweise, die sich auch im Erfolg widerspiegelt. Das Unternehmen verfügt über eine hochsichere Lösung für seine IoT Industrial Asset Management-Plattform. Das Unternehmen arbeitet inzwischen mit Schlüsselbranchen und –unternehmen zusammen, wenn es darum geht, industrielle Komponenten sicher mit dem Internet der Dinge zu verbinden.

Laden Sie die Longview IoT-Fallstudie hier herunter. Mehr Informationen zur IoT Identity-Plattform von GlobalSign finden Sie unter: http://globalsign.com/de-de/internet-of-things/

Die Autorin:

Diane Vautier ist eine erfahrene Marketingexpertin mit breitem Wissen im Bereich Hightech. Sie ist als IoT Produktmarketingmanagerin Teil des GlobalSign IoT-Teams. Zu ihren Aufgaben gehört der Aufbau von Geräteidentitäten, die sichere Kommunikationen zwischen verbundenen Geräten und der Schutz der betreffenden IoT- und IIoT-Plattformen.

Artikel teilen