Der IDS Connector – Vertrauensanker für das industrielle Internet der Dinge

Von Ralf Keuper

Die Gretchenfrage im Industriellen Internet der Dinge ist, wie sichergestellt werden kann, dass die Daten, die zwischen den Unternehmen und Geräten getauscht werden, in die richtigen Hände geraten und vom richtigen Absender stammen.

Bislang fehlt es an entsprechenden Standards sowie Lösungen mit hoher Marktabdeckung mit entsprechendem Vertrauensvorschuss. Die Hoffnungen richten sich auf die Blockchain-Technologie, welche das nötige Verbindungsstück sein könnte.

Die deutsche Wirtschaft steht angesichts der Amazonifikation im B2B-Segment vor der Herausforderung, die eigene Datenhoheit zu behaupten, ohne dabei auf Geschäft verzichten zu müssen. Um dieses Dilemma für die europäische Wirtschaft aus der Welt zu schaffen, hat die International Data Space Association mit Sitz in Dortmund eine Referenzarchitektur entworfen, deren Kernelement wiederum der Trusted Connector bzw. der IDS Connector ist.

Zum Funktionsumfang:

Der Trusted Connector („Konnektor“) bietet hierbei einen Software-Stack für vertrauenswürdige Edge-Gateways, die sowohl im Industrial Data Space, aber auch in anderen IIoT-Infrastrukturen eingesetzt werden können. Je nach Ausprägung kann der Trusted Connector-Stack zum Aufbau von sicheren eingebetteten Edge-Devices mit oder ohne Hardware-Vertrauensanker oder als ressourcenstarker Cloud-Dienst für das Hosting anspruchsvoller Datenanalyse-Anwendungen eingesetzt werden. Er wurde im Hinblick auf typische Sicherheitsanforderungen des IIoT entworfen und bietet Lösungen für das Identitätsmanagement von Teilnehmern und Gateways, geschützte Ausführungsumgebungen für Anwendungen, sowie eine benutzerzentrische Kontrolle über den Zugriff auf Daten und die Art und Weise ihrer Nutzung (in: Datensouveränität im Internet der Dinge – Der Trusted Connector im Industrial Data Space).

Zum Identitäts- und Attributenmanagement mit mehren Stufen bzw. Vertrauenslevel:

Eine Identität im Industrial Data Space bezeichnet einen Trusted Connector und seinen Betreiber. Sie besteht aus mehreren Komponenten, durch die eine zunehmend starke Identifizierung realisiert wird. Zunächst werden Konnektoren über ein X509v3-Zertifikat identifiziert, das an ihren Hostnamen gebunden ist. Für Konnektoren, die über das Internet erreichbar sind, können diese Zertifikate durch einen öffentlichen ACME-Dienst erstellt werden, für interne Konnektoren können unternehmensinterne ACME-Server oder selbst generierte und mit einer eigenen CA signierte Zertifikate verwendet werden. Auf dieser Stufe ist bereits eine vertrauliche und authentische Kommunikation zwischen Konnektoren möglich, allerdings sind noch keine weitergehenden Informationen über die Eigenschaften des Konnektors oder seines Betreibers verfügbar.

Wichtige Bestandteile des Trusted Connectors sind der Container Management Layer (CML) und die Core Plattform:

Oberhalb des Kernels befindet sich das Container Management Layer (CML), das den Lebenszyklus der Container, die Verifikation von Container-Images, sowie das Nachladen von Containern aus dem App-Store übernimmt. Der Trusted Connector unterstützt zwei CMLImplementierungen: Docker und trust-me.

Zur Core Plattform:

Die Core Platform ist der einzige Container, der ein Netzwerkinterface mit externem Zugriff erhält und mit jedem einzelnen App-Container über eine Netzwerk-Bridge kommunizieren kann. Somit muss jede Kommunikation innerhalb eines Trusted Connector über die Core Platform laufen. Innerhalb der Core Platform befinden sich Mechanismen zur Datenflusskontrolle, das IDS-Protokoll, über das Verbindungen mit externen Trusted Connectors aufgebaut werden können, sowie die ManagementSchnittstellen, über die die Einstellungen des CML verwaltet werden können.

Die Prüfung der Integrität der jeweiligen Software-Stacks erfolgt durch Remote Attestation. Verwendet wird dabei der Secure Boot Prozess der Trusted Computing Group.

Mittlerweile hat die IDSA ein Positionspapier zum Einsatz der Blockchain-Technologie veröffentlicht.

Offene Fragen:

A key challenge which still needs to be addressed in detail in use cases is the topic of identity management. Preferably such an identity management schema is linked between the distributed ledger and the IDS Connector environment. For instance: the usage of the same certificate scheme in both the blockchain and the IDS Connector environment. The Identity provider as defined in the IDS Reference Architecture can play an important role here.

Wie aus der Passage hervorgeht, könnte der Identity Provider eine Schlüsselstellung einnehmen. Wie diese Rolle ausgefüllt werden und wer sie übernehmen soll, ist noch offen. Denkbar ist m.E. eine spezielle Institution ähnlich einer Bank, die der Regulierung unterliegt. Das widerspricht zwar dem reinen Ansatz einer direkten Verbindung zwischen dem IoT und der Blockchain, dürfte aber auf mittlere Sicht die realistischere Alternative sein.

Kurz vor der Veröffentlichung steht der Standard DIN SPEC 27070.

DIN SPEC 27070 specifies the requirements to be met by a security gateway used for exchanging industrial manufacturing data and services, including the environment such a gateway can be used within. The gateway, which can be embedded in the IDS ecosystem and which has been specified in line with IDS certification rules, allows three different levels of security (Base, Trust, Trust+). These security levels comply with ISO/IEC 62443 (particularly ISO/IEC 62443–4‑2), but have been extended by including additional requirements deemed necessary for the IDS ecosystem.

Dieser Beitrag wurde unter Blockchain / Distributed Ledger Technology, Data Banking, Datensouveränität, Digitale Identitäten, eStandards, Internet der Dinge, Maschinendaten / M2M-Kommunikation veröffentlicht. Setze ein Lesezeichen auf den Permalink.