Die B2B-Beschaffungsplattform „Wer liefert was“ hat Mitte 2017 rund 1300 Einkäufer in Deutschland und der Schweiz zu ihren analogen versus digitalen Einkaufspräferenzen befragt. Die Ergebnisse bestätigen: Beschaffung funktioniert (noch) überwiegend persönlich. Demnach gaben fast 60 Prozent der Befragten an, dass ihnen der Direktkontakt am wichtigsten ist. Allerdings nutzen fast 54 Prozent Online-Shops und Plattformen – allerdings vor allem, um neue Lieferanten und alternative Produkte zu finden. Nur ein Drittel bestellt tatsächlich via Web. Der Vollständigkeit halber: Messen kommen bei der Geschäftsanbahnung auf 37 Prozent, Branchenverzeichnisse auf 28 und eigene Liefersysteme auf 11. Persönliche Empfehlungen liegen dagegen abgeschlagen im einstelligen Prozentbereich. Eine durch Europages zeitgleich durchgeführte Untersuchung im europäischen Rahmen kommt zu ähnlichen Ergebnissen.
Mit der Digitalisierung der Beschaffungsstrukturen erhebt sich die Frage nach der Authentifizierung von Personen wie auch von Dingen und Prozessen. Nur, wenn ich sicher sein kann, tatsächlich beim Hersteller meines Vertrauens zu bestellen beziehungsweise dass wirklich Original-Produkte im Lkw angeliefert werden, rechnet sich die digitale Bestellung.
Wer sind Sie?
Im analogen Leben ist eine Identifizierung einfach. Beim Einchecken am Flughafen legen Sie zum Beispiel Ihren Pass vor und schon weiß der Beamte über Sie und Teile Ihrer Historie Bescheid. Zumindest wenn der Ausweis echt ist und Sie wirklich der Besitzer sind. Womit schon ein Grundproblem offenbar wird: Jede Identität lässt sich fälschen – in der digitalen Welt noch einfacher als in der realen. Denn im Internet kann sich der Mensch nicht auf seine fünf Sinne verlassen, sondern muss auf die Sicherheit von IT-basierenden Systemen vertrauen. Wenn wir in Netzwerken kommunizieren, Bestellvorgänge auslösen und Bestätigungsmails verschicken, überall authentisieren wir uns mit unterschiedlichen Verfahren. Dabei werden einer Person bestimmte Attribute zugeordnet. Das sind im einfachsten Fall ein Benutzername sowie ein Passwort – fertig ist die digitale Identität.
Dass wir heute automatisiert bestellen können, setzt eine vollständige Digitalisierung des gesamten zugrundeliegenden Workflows voraus. Dabei können nur Sichere Digitale Identitäten sicherstellen, dass alle Informationen vertraulich bleiben und Dienstleistungen nur von autorisierten Personen in Anspruch genommen werden.
Mehr noch: In den Industrie-4.0-Prozessketten kommunizieren nicht nur Personen mit Unternehmen, sondern auch Menschen mit Maschinen, Maschinen mit Maschinen, Rohstoffe mit dem Lager und der Container mit dem Lkw, der ihn anliefert. Damit wird unter anderem sichergestellt, dass der Fuhrpark noch genügend Kapazitäten bietet – und gleichzeitig die Fahrroute automatisch optimiert. Die digitale Identität von Personen, Geräten und Dingen wird damit zum erfolgskritischen Faktor einer durchgehend digitalisierten Wertschöpfungskette. Mit einer eindeutigen Authentifizierung lassen sich alle Objekte eindeutig zu den jeweiligen Prozessschritten zuordnen und sind lokalisierbar; beispielsweise in der Logistik oder in der Produktion. Dabei sind nicht nur konkrete Dinge und Personen betroffen, sondern alle sinnvollen Entitäten. Eine Entität ist jedes konkret beschreibbare Objekt: ein Auto, ein Motorblock, ein Stück Rohstahl, aber zum Beispiel auch Patente, Webseiten, Software oder Datenpakete. Jede Entität besitzt eine individuelle Identität, die authentifiziert werden muss, damit es nicht zu Verwechslungen, Diebstahl, Spionage oder Sabotage kommen kann. Überwindet beispielsweise ein gefälschtes und damit zumeist minderwertiges Bauteil die Identitätsprüfung, kann es alle nachfolgenden Prozessschritte gefährden. Prozesse zu definieren, in dem Sichere Digitale Identitäten definiert und genutzt werden können, ist allerdings nicht trivial. Das zeigt schon die Vielzahl der möglichen Entitäten, die unterschiedliche Sicherungsmaßnahmen erfordern.
Zudem gilt es, das Sicherheitsrisiko gegenüber den Kosten und der Usability abzuwägen. Schließlich sollen die Prozesse nicht ausgebremst werden. Dabei muss zwischen der sicheren Identifizierung von Kommunikationspartnern, von Entitäten und von den eingesetzten Prozessen unterschieden werden:
1. Die persönliche Identität
Personen können sich mit unterschiedlichen Verfahren identifizieren. Die Bandbreite reicht von der einfachen Login/Passwort-Kombination bis hin zu personenbezogenen Daten in offiziellen Dokumenten, die von Behörden ausgestellt wurden. Grundsätzlich kommen drei unterschiedliche Verfahren zum Einsatz: wissensbasiert über Passwörter etc., besitzbasiert über Tokens oder Chip-Karten sowie merkmalbasiert auf Basis biometrischer Daten.
2. Die Netzwerk-Identität
Überall, wo Daten und Informationen digital im professionellen Umfeld ausgetauscht werden, ist es wichtig, den Absender eindeutig authentifizieren zu können. Dazu kommen digitale Zertifikate zum Einsatz. Jeder Internetnutzer profitiert täglich von ihnen. Allerdings kann nach einer Umfrage der Bundesdruckerei nur jeder vierte Anwender diesen Begriff auch erklären. „Digitale Zertifikate schützen die kryptografischen Schlüssel von Personen, Objekten oder Organisationen vor Fälschung und Manipulation. In der Smart Factory steuern sich die Maschinen selbst und tauschen Daten untereinander aus, umso wichtiger ist eine Absicherung ihrer Identitäten. Diese stellen sicher, dass eine Maschine auch tatsächlich diejenige ist, für die sie sich ausgibt. Wenn vernetzte Maschinen manipuliert werden, kann der Schaden für Unternehmen schnell groß werden“, warnt Jochen Felsner, Marketing-Leiter der Bundesdruckerei.
3. Objekt-Authentifizierung
Anwender erkennen den Einsatz digitaler Zertifikate anhand der Adresszeile ihres Browsers. Diese Zeile färbt sich grün, sobald der Absender einer Webseite als vertrauenswürdig eingeschätzt wird. Dazu prüfen Vertrauensdiensteanbieter vorab die Seriosität des Absenders und vergeben ein Transport-Layer-Security-Zertifikat (TLS-Zertifikat). Beim Aufruf der Seite überprüft der Browser des Nutzers zwei Dinge: Ist das Zertifikat von einem vertrauenswürdigen Dienst ausgestellt und ist es noch gültig? Sobald die Prüfungen erfolgreich bestanden wurden, schaltet der Browser auf Grün.
Ähnlich funktioniert die Authentifizierung von Maschinen. Auch für sie kann ein Zertifikat angefordert werden – zum Beispiel bei der Bundesdruckerei; nach eigenen Aussagen einer der größten Herausgeber Sicherer Digitaler Identitäten in Europa. Das Zertifikat wird kryptografisch geschützt und dann mit der Identität der Maschine verknüpft. Danach kann sich die Maschine bei der nächsten Interaktion gegenüber anderen Maschinen oder IT-Anwendungen eindeutig ausweisen; zum Beispiel, wenn Maschinendaten in die Cloud übertragen werden sollen. Diese Sicherheit ist vor allem dann unabdingbar, wenn die Objekte über Unternehmensgrenzen hinweg mit anderen Systemen kommunizieren.
Für die Bestätigung einer sicheren Identität von Objekten kommt eine Vielzahl von Verfahren zum Einsatz. Das beginnt mit einem einfachen Barcode-Aufkleber oder einem RDIF-Chip. Wesentlich manipulationssicherer ist allerdings der Einsatz von kryptografiefähigen Authentifikations-Chips, sogenannten Hardware Security Moduls (HMS), zum Beispiel Dongles oder Token. Diese gibt es mittlerweile sogar schon für die Entität Mensch: Das schwedische Start-up Epicenter Routine bietet seinen Mitarbeitern an, sich einen Chip in Reiskorngröße einpflanzen zu lassen. Die Chips arbeiten wie die Identifikationskarten, wie sie in vielen Unternehmen verbreitet sind – nur eben unter der menschlichen Haut. Mit einer Wischbewegung lassen sich dann Türen öffnen, Drucker bedienen und der Espresso in der Cafeteria bezahlen. Der Vorteil: nie mehr die Karte vergessen. Der Nachteil: totale Kontrolle über Wege, Pausen und Aktivitäten. Bei der Entität Motorblock wäre aber gerade dies gefordert und auch wünschenswert.
4. Prozesssicherheit via Blockchain
Die Blockchain gilt deshalb als besonders sicher, weil sie nicht auf kryptografischen Verfahren basiert, die im Zweifelsfall mit entsprechendem Aufwand geknackt werden könnten. Das Sicherheitskonzept der Blockchain sieht dagegen vor, dass jeder Beteiligte die aktuelle Chain besitzt und mit allen anderen vergleichen kann. Fälschungen einer Chain würden bei diesem Abgleich sofort auffallen und von den anderen Nutzern abgelehnt werden. Ursprünglich wurde das Blockchain-Verfahren für die Kryptowährung Bitcoin entwickelt. Die Funktionsweise am Beispiel der digitalen Währung: Jede Transaktion, also jeder Kauf oder Verkauf, erzeugt einen Datenblock. Dieser Block besteht aus einem Datensatz, der in einer Prüfsumme zusammengefasst wird. Diese Prüfsumme wird in den nächsten Block aufgenommen. So entsteht eine wachsende Datenkette, deren einzelne Glieder jeweils die Prüfsumme der vorangegangenen Transaktion enthalten – und so konsistent aufeinander aufbaut. Daher der Name Blockchain. Die aktuelle Bitcoin-Blockchain ist ungefähr 166 GB groß, beginnt mit dem allerersten Bitcoin im Jahre 2009 und endet mit der letzten Transaktion, die gerade eben irgendwo auf dem Globus getätigt wurde. Momentan löst sich die Blockchain von ihrem ursprünglichen Anwendungsfall Kryptowährung und entwickelt sich zu einer technischen Lösung für transaktionsbasierende Prozesse.
Der Vorteil: Mit einer Blockchain lässt sich zu jedem Zeitpunkt ein nachvollziehbarer, überprüfter und ganzheitlicher Systemzustand belegen. Mit anderen Worten: Jeder weiß sofort über alles Bescheid. Damit werden eine Vielzahl neuer Einsatzgebiete denkbar: vom Monitoring einer Kühlkette über die Fälschungssicherheit von Ersatzteilen bis hin zum Supply Chain Management. Bei der Transaktionsverfolgung werden die Prüfsummen aus den relevanten Dokumenten berechnet und nacheinander in der Blockchain gespeichert. Damit kann lückenlos festgehalten werden, welches Dokument zu welchem Zeitpunkt mit welchem Inhalt wem vorlag. Eine Blockchain kann aber mehr als „nur“ einen Systemzustand fälschungssicher zu dokumentieren. Es können Bedingungen in die Chain geschrieben werden. Zum Beispiel: Pünktlich zwei Wochen nach der Lieferung und abhängig von der Qualitätssicherung erfolgt automatisiert eine Zahlung. Oder andersherum: Bleibt beispielsweise eine Zahlung von einem Lkw-Leasingnehmer aus, kann die Chain im ersten Schritt die Motorleistung drosseln. Bleibt der Nutzer weiterhin im Verzug, können die elektronischen Wagenschlüssel gesperrt werden – bis zum Ausgleich des Zahlungsverzugs. Man spricht dabei von Smart Contracts. Auch das Rollen- und Rechtemanagement in der realen wie digitalen Welt lässt sich mit der Blockchain realtime managen. Wird ein Recht entzogen, wird dies in der Chain vermerkt und ab sofort nicht mehr berücksichtigt. So lassen sich auch unternehmensübergreifend Rechte und Identitäten managen.
Standards fehlen
Momentan existiert eine Vielzahl von Verfahren auf dem Markt. Sie kommen nicht nur branchen- und unternehmensspezifisch zum Einsatz, üblicherweise gibt es sogar innerhalb eines Betriebes andere Verfahren für unterschiedliche Anwendungen. Es ist offensichtlich, dass Authentifizierungsprozesse einen der Hauptvorteile von Industrie-4.0 infrage stellt: die länder-, unternehmens- und prozessübergreifende Zusammenarbeit innerhalb des gesamten Workflows eines Produktes oder einer Dienstleistung. Dies kann nur auf Basis gemeinsamer Standards und Normen gelingen. Dazu liegen zwar schon erste technische und organisatorische Lösungen, Vorschriften und Spezifikationen vor – eine einheitliche Authentifizierungs-Architektur gibt es allerdings noch nicht. Erste Schritte aber sind getan: Als Meilenstein zählt zum Beispiel das „Vertrauensdienstegesetz“; verabschiedet 2017. Es regelt die Zuständigkeiten und Befugnisse beteiligter Behörden wie der Bundesnetzagentur, des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Deutschen Akkreditierungsstelle. Dazu kommt die eIDAS-Verordnung. Sie enthält verbindliche europaweite Regelungen in den Bereichen „Elektronische Identifizierung“ und „Elektronische Vertrauensdienste“. Mit der Verordnung werden einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste geschaffen. Die ersten Ergebnisse der Standardisierung dürfen aber nicht darüber hinwegtäuschen, dass der Markt noch von Insellösungen und mangelnder Interoperabilität bestimmt wird. Verschärfend kommt hinzu, dass die aktuellen und signifikanten Informationstechnologien und -strukturen außerhalb Europas entwickelt werden – vor allem von den amerikanischen Big Five: Google, Microsoft, Apple, Amazon und Facebook. Es besteht die Gefahr, dass die zentralen Player zukünftig proprietäre Lösungen durchsetzen und die Interessen der europäischen Wirtschaft und Gesellschaft auf der Strecke bleiben. So werden in Deutschland zum Beispiel die Persönlichkeitsrechte stärker gewichtet als in anderen Ländern. Es ist daher im vitalen Interesse der deutschen Politik und Wirtschaft, dass IT-Sicherheitstechnologien auch unter Berücksichtigung der deutschen Sichtweise definiert werden.
Übersicht
Einsatzbereiche
Hersteller, Integratoren und Betreiber sind auf unternehmensübergreifende Identitäten angewiesen. Zum Beispiel für folgende Anwendungen:
- Prüfung der Berechtigung von Zugriffen
- Prüfung der Systemintegrität von Komponenten oder Maschinen
- Echtheitsprüfung von Komponenten und Ersatzteilen
- Fernwartung und Predictive Maintenance
- Qualitätssicherung im Produktionsprozess
- Inventarisierung von Produkten, Maschinen und Anlagen
- Sicherung von Compliance- und Dokumentationsvorschriften
- Herkunftsnachweisanforderungen
Definition
Bandbreite der Identitäten
In digitalen Systemen gibt es verschiedene Ausprägungen von Identitäten. Sie lassen sich teilweise nicht klar voneinander abgrenzen und vermischen sich.
Anonyme Identität
Sie werden vor allem für einmalige Identifizierungen verwendet, zum Beispiel in Form von Wegwerf-Email-Adressen oder Fake-Accounts. Anonyme Identitäten stellen keine Verbindung zur wahren Identität einer Person her.
Pseudo-Identität
Sie kommt zum Einsatz, wenn sich eine Person regelmäßig bei bestimmten Diensten authentifizieren möchte. Dabei werden Name und Kennwort vom Benutzer festgelegt und bieten keinen Bezug zur echten Identität.
Selbsterklärte Identität
Bei diesem Verfahren gibt der Nutzer alle vom Dienst geforderten Daten (Name, E-Mail, Anschrif, etc.) selbst ein. Ob diese Daten korrekt sind, liegt allein bei der handelnden Person.
Validierte Identität
Dabei wird die Identität der Person aufgrund von sozialen Bindungen mit anderen definiert und somit validiert. Aber auch dieses Verfahren bietet keine absolute Sicherheit. Stichwort: CEO-Fraud.
Verifizierte Identität
Sie entspricht der bewiesenen Identität einer Person in der analogen Welt. Damit bietet die verifizierte Identität die gleiche Aussagekraft wie die einer Person außerhalb der digitalen Kanäle. Sie ist zum Beispiel beim Abschluss von Verträgen oder beim Zugriff auf IT-Systeme erforderlich.
Michael Grupp,
Fachjournalist in Stuttgart
