Skip links

Was ist Device Onboarding?

Oftmals auch ZTO – zero touch onboarding genannt.

Das IIoT (Industrial Internet of Things) stellt neue ernsthafte Sicherheitsherausforderungen dar, die sich mit zunehmendem Umfang und Ausmaß der IIoT-Systeme weiter verschärfen. IIoT-Geräte sind häufig bereits bei der Inbetriebnahme mit veralteter Software ausgestattet, bedürfen also eines Updates. Und sie müssen ihrer Aufgabe gemäß sich mit einem Server (Cloud) verbinden, um Daten auszutauschen. Dazu müssen sich die Geräte eindeutig kennzeichnen lassen und mit einem dedizierten Server verbinden können.

Aus Sicherheitsgründen gilt: die Verbindung zwischen Server und IIoT darf erst aufgebaut werden, wenn sich beide Seiten eindeutig authentifizieren konnten.

Eine Lösung hierfür ist das Secure Device Onboarding, auch Zero-Touch-Onboarding genannt. Hierdurch können IoT-Geräte mit Einstellungen konfiguriert werden, die in einem zentralen Server gespeichert sind. Sobald ein Gerät aktiv wird, verbindet es sich mit diesem Server und es werden seine Konfigurationseinstellungen automatisch installiert, ohne dass ein Techniker eingreifen muss. Dies ermöglicht den Betreibern eine wesentlich schnellere Onboarding-Methode und minimiert gleichzeitig die Angriffsfläche auf die Geräte.

Unabhängig von der verwendeten Methode des ZTO ist, mit Ausnahme des SDO Verfahrens (siehe weiter unten), immer ein Austausch von Informationen zwischen Produktion und Server basierter Anmeldung notwendig.

Eine sichere Verbindung zum (Cloud-) Server verlangt vom IIoT Gerät eine Authentifizierung am Cloud-Backend. Dies kann auf verschiedenen Verfahren aufsetzen.

  • Nur in seltenen Fällen wird eine "einfache" Authentifizierung mittels 128-Bit-Zahlen gemäß universally unique device identifiers (UUID) ausreichen. Auch die Kombination von UUID und einem Schlüsselpaar wird nur selten ausreichend sein. Besser geeignet ist hier eine Hardware-ID, die in die Firmware eingebrannt ist.

  • Meist wird die Verwendung eines HSM, TPM oder fTPM1 die bevorzugte Lösung2 darstellen, wahlweise nur mit Schlüsseln oder in Kombination mit X.509 Zertifikaten. Unter anderem setzen OPC UA sowie viele große Cloud Anbieter (beispielsweise MS Azure3) auf diesen Ansatz. Die Verwendung eines TPM (fTPM) hat zugleich noch den Vorteil, dass man einen Secure/Measured Boot durchführen kann, wodurch nicht nur eine Authentifizierung, sondern auch eine Attestation Abfrage durchführbar ist.

  • Alternativ könnte auch ein Challenge / Response Verfahren zum Einsatz kommen. Anfragen von Clients werden durch den Server mit einer zufälligen Byte-Sequenz, der sogenannten Challenge, und einem Identifier, das ist eine Zufallszahl, beantwortet. Der Client muss die Anforderung korrekt beantworten indem er sie mit einem Passwort, das Server und Client bekannt ist, verbindet und daraus mittels einer Hashfunktion einen Hashwert errechnet, den er an den Server zurückschickt. Dieser errechnet aus den Daten ebenfalls einen Hashwert und vergleicht ihn mit dem vom Client geschickten. Bei Übereinstimmung wird die Anfrage ausgeführt.

All diesen Lösungen ist gemein, dass sie eine eindeutige Zuordnung von Geräten, die rückverfolgbar bis auf den aktuellen Nutzer ist, erlauben. Hier setzt das Secure Device On-Board Verfahren an, das ursprünglich von Intel unter dem Namen EPID (Enhanced Privacy ID) entwickelt wurde. Seit Februar 2020 ist diese Lösung eine Open Source Lösung, die von der Linux Foundation4 gehosted wird. Das Onboarding muss hier über einen dedizierten Rendezvous Server laufen, dessen Code ebenfalls von Intel zur Verfügung gestellt wurde. Der Vorteil dieses Ansatzes ist, neben dem verbesserten Schutz der Privatspäre, die Tatsache, dass zum Zeitpunkt der Produktion die Targetplattform (Cloud-Server) nicht bekannt sein muss.Die wichtigsten Vorteile von Secure Device Onboard sind:Ermöglicht Build-to-Plan Model - ODMs können identische IIoT Geräte in hohen Stückzahlen unter Verwendung eines standardisierten Fertigungsprozesses bauen. Reduziert Lagerbestände, Lieferzykluszeiten und Kosten.SDO Late Binding - ermöglicht die Auswahl der Zielplattform des Geräts "spät" in der Lieferkette, beim ersten Einschalten.It's Open - bedeutet, dass der Service und die Cloud unabhängig sind. Die Geräte werden bei der Installation an das gewünschte Ökosystem angebunden. Funktioniert mit bestehenden Cloud-Diensten, ersetzt diese aber nicht. Das folgende Bild gibt einen Überblick über die Vertrauenskette bei diesem SDO Verfahren:

Frequently Asked Questions (FAQ)

Passionate about solving problems through creative communications. Offering affordable goods.

Passionate about solving problems through creative communications. Offering affordable goods.

Passionate about solving problems through creative communications. Offering affordable goods.

Passionate about solving problems through creative communications. Offering affordable goods.

Passionate about solving problems through creative communications. Offering affordable goods.

Passionate about solving problems through creative communications. Offering affordable goods.