Zugriffsschutz für Industriegeräte

Industriegeräte und Anlagen sind wertvolle Güter, von deren einwandfreier Funktion in einem Betrieb oft die gesamte Wertschöpfungskette abhängt. Geeignete Schutzmechanismen sollten daher hohe Priorität haben. Viele Geräte bieten klassische Arten des Zugriffsschutzes wie Schlüssel oder PINs. Zusätzlich setzen Unternehmen oft Zugangskarten für den Zutritt zum Betriebsgelände oder zu bestimmten Räumen ein. Eine Chipkarte öffnet dem Mitarbeiter die Tür, ein Schlüssel authentifiziert ihn an der Anlagensteuerung, ein Gerät wie eine CNC-Fräse wird per PIN-Eingabe freigeschaltet, am Computerterminal loggt sich der Mitarbeiter mit seinem Passwort ein. Alltagsabläufe wie diese sind uns allen bekannt, genauso alltäglich sind allerdings auch die Sicherheitsschwach­stellen: An der CNC-Fräse verwenden alle Mitarbeiter die selbe PIN, Passwörter werden sehr kurz gewählt um sich diese merken zu können und dem Kollegen, der den Schlüssel vergessen hat, leiht man kurz seinen eigenen, wenn er nicht vielleicht sogar den ganzen Tag über am Gerät steckt. Hinzu kommt die Verwaltung all dieser Berechtigungen, zeitaufwändige Ausgaben und Rücknahmen sowie die Dokumentation, die vielleicht nicht immer akkurat den Stand der Dinge abbildet. Bei der Verwendung von Schlüsseln stellt sich auch die Frage, wie im Falle des Verlusts eines Schlüssels verfahren wird. Oft gibt es nur zwei Möglichkeiten: Den Austausch des Schließzylinders des Gerätes und den Tausch aller zugehörigen Schlüssel oder, sollten die Kosten dafür zu hoch sein und das Sicherheitsrisiko zu niedrig scheinen, schlicht und einfach das Anfertigen eines Ersatzschlüssels und die Inkaufnahme der Sicherheitslücke. Oft wird bei dieser Vorgehensweise bewusst gegen die Sicherheitsrichtlinien gehandelt. Für den Compliance Manager oder den Sicherheitsbeauftragten im Betrieb sind diese Szenarien entweder ein Albtraum, oder auch er stimmt der etwas \’lockereren\‘ Vorgehensweise in sicherheitsrelevanten Szenarien zu. Während sich die Produktionsanlagen vieler Unternehmen heute auf einem Top-Stand der Technik befinden und mit den neuesten Methoden und effizientesten Verfahren gearbeitet wird, so kann das von der Authentifizierung nicht behauptet werden. Technologien wie Chipkarten und PIN-Codes sind seit Jahrzehnten im Einsatz, wer sich dafür interessiert, wie alt die Sicherheitstechnologie des Schlüssels ist, kann dies mit einer Enzyklopädie schnell in Erfahrung bringen. Soviel sei gesagt, die Technologie ist alt. In einer Zeit, in der Produktionsabläufe auf höchste Effizienz und Sicherheit optimiert werden, befinden sich Authentifizierungsverfahren und das Rechtemanagement oft auf einem Stand von vor Jahrzehnten. Großes Prozessoptimierungs- und Effizienzsteigerungspotenzial ist durch neue Technologien vorhanden, wird aber kaum genutzt. Der digitale Schlüsselbund Der Weg zu einer effizienten Verwaltung von Zugangsrechten, bei gleichzeitig einfach zu bereinigenden Verlustszenarien, führt über den digitalen Schlüsselbund. Dieser ermöglicht es, PIN-Eingaben, Passwörter, Chipkarten und Schlüssel zu ersetzen, mit vielen Vorteilen, die nur durch die digitale Technologie möglich werden. Für Wohnungen, Häuser und Büros ist der digitale Schlüsselbund in Form der BlueID-Technologie bereits seit längerem erhältlich. Der Träger der Schlüssel ist dabei das Handy, das heute fast jeder von uns immer bei sich hat. Die industrielle Anwendung der Technologie ist nun mit dem neuen BlueID Rail Module erstmals möglich. Bei dem Modul handelt es sich um ein M36 DIN-Hutschienenmodul, das speziell für den Einsatz im industriellen Bereich entwickelt wurde, also in Automaten, Geräten, Anlagen sowie in zugangsregelnden Systemen und an Türen. Das BlueID Rail Module hat eine Breite von 9 Normeinheiten (157mm), kann so in Schaltschränke integriert werden und benötigt eine Stromversorgung von 7 bis 32Volt DC. Diese lässt sich auch mit dem mitgelieferten Netzteil bereitstellen (Breite: eine Normeinheit). Mit dem Modul lassen sich über dessen potenzialfreie Relais bis zu vier Geräte oder Türen steuern. Diese können auf Knopfdruck mit dem Handy nach erfolgter Berechtigungsprüfung kurzfristig oder dauerhaft freigegeben und wieder gesperrt werden. Die Statusabfrage über vier potenzialfreie Eingänge ist ebenfalls möglich. Auf Wunsch kann das BlueID Rail Module das Ergebnis der Berechtigungsprüfung auch digital über verschiedene Schnittstellen und Protokolle weitergeben. Dies ist dann sinnvoll, wenn Geräte die Möglichkeit zur Freischaltung über bestimmte Bus-Systeme unterstützen. Möglich ist die Weitergabe von Kommandos über die Schnittstellen RS232, RS485, Ethernet und USB. Verwendet werden eine Reihe von Protokollen, unter anderem SNMP, CAN, TCP/IP und UDP. Logdaten können auf Wunsch aufgezeichnet und auch übertragen werden. Zugangsberechtigungen für die verschiedenen Benutzer werden sowohl verschlüsselt im Handy, als auch zum Backup im bankensicheren Rechenzentrum, dem BlueID Trust Center, gespeichert. Im Mittelpunkt: Der Benutzer Wie gestaltet sich nun die Verwendung des digitalen Schlüsselbunds für den Benutzer? Nach Installation des BlueID Rail Modules kann der Administrator über ein Web-Interface beginnen, Berechtigungen zu vergeben: Prozesse, wie früher das Beauftragen der Anfertigung von Schlüsseln, das Beschreiben von Chipkarten und die Verteilung von Kuverts mit PINs und Passwörtern entfallen komplett. Egal, ob es sich um die Zutrittsberechtigung für die Tür einer Werkhalle handelt, um die Berechtigung ein Drehkreuz oder eine Schranke zu passieren oder um die Autorisierung zur Verwendung einer CNC-Fräse: Die Ausgabe der Berechtigung erfolgt immer mit wenigen Mausklicks im Blue­ID Ticket Manager, dem Web-Interface des BlueID Trust Centers. Das Anbinden neuer gesicherter Objekte ist ebenso einfach. Der Preis für die Ausstellung eines digitalen Schlüssels, eines BlueID Tickets, bewegt sich zwischen 0,24 Euro für eine eintägig gültige Berechtigung und 8,39 Euro (exkl. MwSt.) für eine fünf Jahre gültige Berechtigung. Darüber hinaus entstehen keine weiteren Kosten, auch nicht für das durchgehende Bereithalten einer Sicherungskopie der Berechtigung im BlueID Trust Center. Nach der Ausstellung erhält der Benutzer einen Link zu dem BlueID Ticket per SMS an sein Handy gesendet. Mit diesem Link lädt er beim Erhalt der ersten Berechtigung seinen digitalen Schlüsselring, den ­BlueID Mobile Client, auf sein Mobiltelefon. In diesem einmaligen Prozess wird eine Applikation installiert, die von nun an alle Schlüssel des Benutzers (mit RSA/AES-Verschlüsselung gesichert) beinhaltet. Kompatibel mit dem BlueID Mobile Client sind viele herkömmliche Mobiltelefone sowie die meisten modernen Smartphones. Das Apple iPhone ist ebenso für die Nutzung geeignet. In der Praxis kann der Benutzer nun an alle Geräte und Türen, die mit BlueID ausgestattet sind, auf Knopfdruck mit dem Handy freigeben und wieder sperren. Im Idealfall entsteht so ein Alltagsablauf, der komplett ohne Schlüssel, Zugangskarten und PIN-Eingaben auskommt. Direkt am Gerät kommuniziert das Handy über eine Bluetooth-Verbindung mit dem BlueID Rail Module, eine Steuerung von Geräten aus der Ferne über die mobile Internetverbindung des Handys ist ebenfalls möglich, wenn der Administrator dies zulässt und das Modul online am Blue-ID Trust Center angebunden ist. Unabhängig vom Übertragungsweg sind Verbindungen zu jeder Zeit RSA/AES-verschlüsselt. Fazit Durch den digitalen Schlüsselbund eröffnen sich für die Verwaltung von Zugangsberechtigungen im industriellen Bereich völlig neue Möglichkeiten. Die Authentifizierung erfolgt per Knopfdruck auf dem Handy, bei der Verwaltung bietet sich ein großes Einsparungspotenzial. Arbeitsabläufe können durch die Remote-Authentifizierung und -Berechtigungsvergabe anders gestaltet werden, letztlich wohl immer mit dem Ziel einer Effizienzsteigerung bei gleichzeitig erhöhtem Sicherheitsniveau. Die Blue-ID-Technologie ist zudem über alle Bereiche hinweg kompatibel. Das bedeutet, dass Mitarbeiter sich mit ihrem digitalen Schlüsselbund sowohl in der Arbeit authentifizieren können, als auch ein mit BlueID ausgestattetes Garagentor oder ihre Wohnungstür öffnen können. Die entsprechenden Produkte dazu sind bereits im Handel verfügbar. Auch der Einsatz von BlueID in Fahrzeugen ist in Vorbereitung – in absehbarer Zukunft werden sich Autos und Nutzfahrzeuge mit dem digitalen Schlüssel öffnen lassen. Maßgeblich an der Entwicklung beteiligt ist der Automobilzulieferer Marquardt, der auch der Partner für die Fertigung des Blue-ID Rail Modules ist.