PKI für mehr Qualität bei Phoenix Contact
SRC und achelos realisierten für Phoenix Contact eine unternehmenseigene Public-Key-Infrastruktur. Der international agierende Anbieter von innovativen Produkten, Lösungen und Digitalisierungskompetenzen für die Elektrifizierung, Vernetzung und Automatisierung wird so in die Lage versetzt, in seinem Portfolio standardisierte Cybersicherheit anzubieten. Phoenix Contact ist damit seiner Zeit voraus und erfüllt schon heute neue von der Europäischen Union angekündigte höhere Sicherheitsanforderungen. Besonderheit des gemeinsamen Projekts von achelos und SRC: Im Industrieumfeld gibt es noch nicht so viele ausgeprägte regulatorische Vorgaben. SRC und achelos haben darum Expertise aus anderen Branchen für dieses Projekt zusammengezogen und im Ergebnis Neues geschaffen.
Phoenix Contact ist das, was man schlechthin einen „hidden champion“ nennt. Das Familienunternehmen mit rund 21.700 Mitarbeitenden aus dem westfälischen Blomberg ist in mehr als 100 Ländern präsent und erwirtschaftete 2023 3,4 Milliarden Euro Jahresumsatz.
Gegen Angriffe schützen
Für einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen ist es mehr denn je unerlässlich, dass diese gegen Angriffe von außen geschützt werden. In Blomberg weiß man, dass wegen der zunehmenden Vernetzung und der Fusion von IT (Information Technology) und OT (Operational Technology) zunehmend zusätzliche erweiterte Angriffs-oberflächen in Unternehmens-netzwerken entstehen. Phoenix Contact hat sich zum Ziel gesetzt, diese Risiken zu minimieren.
Phoenix Contact setzt beim Nachweis der Echtheit von Hardware- und Software-Produkten auf hochwertige elektronische Zertifikate und digitale Signaturen. Phoenix Contact hatte das Ziel, eine unternehmenseigene PKI aufzubauen, die das angestrebte hohe Schutzniveau dauerhaft erfüllen kann. Dabei war es eine wichtige Anforderung, die Geräteregistrierung nahtlos in einen industriellen Produktionsprozess zu integrieren. Zertifikate sollen nicht nur ausgestellt und signiert werden, sondern es sollte auch die Prüfung der Anfrage durch eine Registration Authority (RA) vorgenommen werden.
Phoenix Contact betraute mit dem Aufbau der PKI die Sicherheitsexperten von achelos. Der IT-Dienstleister war für die IT- und sicherheitstechnische Planung, Installation, Konfiguration und die Inbetriebnahme des Systems verantwortlich.
Noch keine strengen Regularien
Aufgabe von SRC war es, die umfangreichen regulatorischen und formalen Aspekte des Projektes zu betreuen. Die Expertise der Verfahrensspezialisten aus Bonn war gefragt, weil unternehmensinterne Public-Key-Infrastrukturen im industriellen Umfeld noch keinen strengen regulatorischen Vorgaben unterliegen, es viele Freiheiten und Variablen gibt und das Wissen um die theoretische regulatorische Ausformung eines solchen Projekts deswegen von Partnern wie SRC kommen muss, die viel Erfahrung und Best-Practice-Wissen aus anderen Projekten und Branchen beisteuern können. Dr.-Ing. Michael Jahnich, Projektleiter auf Seiten von achelos: „SRC hat in diesem Sektor viel Know-how. Das war wertvoll für unser Projekt.“
Während achelos sich um die technische Umsetzung kümmerte, war es Aufgabe von SRC, die entsprechenden standardisierten Dokumente zu erstellen und zu liefern. Im Projekt-Dreiklang beriet SRC über die Gestaltung einer PKI, etwa über den Einsatz der kryptographischen Algorithmen, der zugehörigen Schlüssel und Zertifikate sowie deren Management. SRC hat in diesem Projekt die Certificate Policy (CP) und die Certification Practice Statements (CPS) nach dem RFC 3647-Standard für die PKI erstellt.
"Federführung und praktisches Wissen von achelos und regulatorisches theoretisches Know-how von SRC – das war in der Tat eine gelungene Kombination." Dr.-Ing. Lutz Jänicke, Corporate Product & Solution Security Officer, Phoenix Contact
Ergebnis
„Eine gelungene Kombination“
Die Berater:innen von SRC konnten in diesem Projekt Background-Wissen aus zahlreichen Projekten im nichtindustriellen Umfeld liefern. „Sie schufen wertvolle, detaillierte Entscheidungsvorlagen für Phoenix Contact,“ lobt achelos-Mann Michael Jahnich.
Auch bei Phoenix Contact ist man mit dem Erreichten zufrieden. Eine eigene PKI auf diesem Qualitätslevel sei nicht selbstverständlich; der Vernetzungsspezialist sieht sich damit als Vorreiter. Schließlich erfüllt er mit der jetzigen Lösung bereits Anforderungen, die von Kunden im Rahmen der zweiten Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2) aus Brüssel zu erwarten sind. Dr.-Ing. Lutz Jänicke, Corporate Product & Solution Security Officer und Projektleiter bei Phoenix Contact, freut sich über ein weiteres Qualitätsversprechen, das er dank der PKI-Lösung den Kunden geben kann. Jänicke: „Federführung und praktisches Wissen von achelos und regulatorisches theoretisches Know-how von SRC – das war in der Tat eine gelungene Kombination.“
"Wir machen die vernetzte Welt sicherer!"
Die achelos GmbH ist ein Systemhaus für Cybersicherheit und digitales Identitätsmanagement, gegründet im Jahr 2008 in Paderborn. Das herstellerunabhängige Unternehmen erarbeitet robuste Lösungen und bietet Servicepakete in verschiedenen Ausbaustufen für sichere Produkte und Anwendungen. Für Kunden aus den Bereichen Gesundheitswesen, Industrie, Öffentlicher Sektor, Digitale Zahlung und Telekommunikation setzt achelos Sicherheitsstandards in lauffähige Lösungen bis zur Compliance um. Sie alle profitieren von diesem ganzheitlichen Ansatz – von Beratung über Konzeption, Softwareentwicklung bis hin zu Zertifizierung und sicherem Betrieb. achelos ist nach ISO 9001, ISO 27001 und Common Criteria zertifiziert und verfügt über ein namhaftes Partnernetzwerk.
www.achelos.de
achelos GmbH
Vattmannstraße 1
33100 Paderborn
Telefon: +49 (5251) 14212-0
Telefax: +49 (5251) 14212-100
http://www.achelos.de
Public Relations & Events
Telefon: +49 5251 14212-341
Fax: +49 5251 14212-100
E-Mail: bianca.doeren@achelos.de