Das Projekt
SRC und achelos realisierten für Phoenix Contact eine unternehmenseigene Public-Key-Infrastruktur. Der international agierende Anbieter von innovativen Produkten, Lösungen und Digitalisierungskompetenzen für die Elektrifizierung, Vernetzung und Automatisierung wird so in die Lage versetzt, in seinem Portfolio standardisierte Cybersicherheit anzubieten. Phoenix Contact ist damit seiner Zeit voraus und erfüllt schon heute neue von der Europäischen Union angekündigte höhere Sicherheitsanforderungen. Besonderheit des gemeinsamen Projekts von achelos und SRC: Im Industrieumfeld gibt es noch nicht so viele ausgeprägte regulatorische Vorgaben. SRC und achelos haben darum Expertise aus anderen Branchen für dieses Projekt zusammengezogen und im Ergebnis Neues geschaffen.
Phoenix Contact ist das, was man schlechthin einen „hidden champion“ nennt. Das Familienunternehmen mit rund 21.700 Mitarbeitenden aus dem westfälischen Blomberg ist in mehr als 100 Ländern präsent und erwirtschaftete 2023 3,4 Milliarden Euro Jahresumsatz.
Gegen Angriffe schützen
Für einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen ist es mehr denn je unerlässlich, dass diese gegen Angriffe von außen geschützt werden. In Blomberg weiß man, dass wegen der zunehmenden Vernetzung und der Fusion von IT (Information Technology) und OT (Operational Technology) zunehmend zusätzliche erweiterte Angriffs-oberflächen in Unternehmens-netzwerken entstehen. Phoenix Contact hat sich zum Ziel gesetzt, diese Risiken zu minimieren.
Phoenix Contact setzt beim Nachweis der Echtheit von Hardware- und Software-Produkten auf hochwertige elektronische Zertifikate und digitale Signaturen. Phoenix Contact hatte das Ziel, eine unternehmenseigene PKI aufzubauen, die das angestrebte hohe Schutzniveau dauerhaft erfüllen kann. Dabei war es eine wichtige Anforderung, die Geräteregistrierung nahtlos in einen industriellen Produktionsprozess zu integrieren. Zertifikate sollen nicht nur ausgestellt und signiert werden, sondern es sollte auch die Prüfung der Anfrage durch eine Registration Authority (RA) vorgenommen werden.
Phoenix Contact betraute mit dem Aufbau der PKI die Sicherheitsexperten von achelos. Der IT-Dienstleister war für die IT- und sicherheitstechnische Planung, Installation, Konfiguration und die Inbetriebnahme des Systems verantwortlich.
Noch keine strengen Regularien
Aufgabe von SRC war es, die umfangreichen regulatorischen und formalen Aspekte des Projektes zu betreuen. Die Expertise der Verfahrensspezialisten aus Bonn war gefragt, weil unternehmensinterne Public-Key-Infrastrukturen im industriellen Umfeld noch keinen strengen regulatorischen Vorgaben unterliegen, es viele Freiheiten und Variablen gibt und das Wissen um die theoretische regulatorische Ausformung eines solchen Projekts deswegen von Partnern wie SRC kommen muss, die viel Erfahrung und Best-Practice-Wissen aus anderen Projekten und Branchen beisteuern können. Dr.-Ing. Michael Jahnich, Projektleiter auf Seiten von achelos: „SRC hat in diesem Sektor viel Know-how. Das war wertvoll für unser Projekt.“
Während achelos sich um die technische Umsetzung kümmerte, war es Aufgabe von SRC, die entsprechenden standardisierten Dokumente zu erstellen und zu liefern. Im Projekt-Dreiklang beriet SRC über die Gestaltung einer PKI, etwa über den Einsatz der kryptographischen Algorithmen, der zugehörigen Schlüssel und Zertifikate sowie deren Management. SRC hat in diesem Projekt die Certificate Policy (CP) und die Certification Practice Statements (CPS) nach dem RFC 3647-Standard für die PKI erstellt.