Sichere Digitale Identitäten für den firmen- und länderübergreifenden Datenaustausch: Das Beispiel Deutschland-Japan

Der sichere firmen- und länderübergreifende Datenaustausch ist auf Verfahren und Standards für die eindeutige Identifizierung von Unternehmen, Personen und Maschinen angewiesen.

Leichter gesagt, als getan. Welche Voraussetzungen müssen gegeben sein, damit der sichere Austausch von Produktionsdaten über Firmen- und Ländergrenzen hinweg reibungslos funktioniert – und vor allem: Wie lässt sich das nötige Mindestmaß an gegenseitigem Vertrauen herstellen?

Dieses Problem wird in IIoT Value Chain Security – The Role of Trustworthiness am Beispiel von Deutschland und Japan erörtert.

Das übergeordnete Ziel der vorliegenden Zusammenarbeit zwischen RRI Japan und PI4.0 Deutschland, konzentriert sich auf die Möglichkeit, ad-hoc vertrauenswürdige Beziehungen zwischen Unternehmen zu schaffen, unabhängig von deren Geschäftshistorie oder deren geografischen Standorten. Daher werden in diesem Whitepaper die Rolle der Vertrauenswürdigkeit und Mechanismen zur Sicherstellung der Vertrauenswürdigkeit zwischen bestehenden oder potenziellen Geschäftspartnern beschrieben.

Eine Kernfrage:

Ist ein einziger übergreifender globaler zertifikatsbasierter Prozess zur Bereitstellung sicherer digitaler Identitäten weltweit anwendbar, machbar und wirtschaftlich?

Die große bzw. die eigentliche Herausforderung besteht darin, die verschiedenen bereits vorhandenen Standards, Protokolle und Technologien je Branche und Land zu harmonisieren. So bewerten die gängigen Sicherheitsstandards die Arten von Sicherheitsstufen auf unterschiedliche Weise.

Ein weiteres Problem ist, dass im industriellen Umfeld die Zuweisung von eindeutigen digitalen IDs zu Software-Prozessen bislang keine etablierte Praxis ist, obwohl dies in Sicherheitsstandards wie IEC-62443 betont wird. Momentan können Security Certification Certificates (SCCs) mit deren Hilfe die Vertrauenswürdigkeit der kommunizierenden Einheiten bewertet werden kann, nicht auf einfache Art und Weise elektronisch verwendet werden. Ihr Einsatz erfolgt üblicherweise in gedruckter Form. Dabei kommen  Sicherheitsmerkmale wie Stempel und Hologramme zum Zug. Es besteht daher Bedarf an einer Technologie, die digitale SCCs unterstützt, die wiederum ihre Authentizität beweisen und die nicht von unautorisierten Entitäten repliziert werden können.

Beim Datenaustausch lag der Schwerpunkt der Analyse auf den Online-Verträgen und E-Procurement-Prozessen. Einer Prüfung unterzogen wurden dabei bestehende Beschaffungslösungen und Plattformen, wie SAP Ariba, Open Procurement und SupplyOn.

Die Autoren schlagen ein “Trustworthiness Expectations and
Capabilities Exchange Protocol” (TECEP) als technische Lösung vor. Dieses kann zur Bestimmung der Vertrauenswürdigkeit eines Lieferanten und des jeweiligen Produktes verwendet werden. Das TECEP umfasst den Austausch, den Vergleich und die Bewertung der Vertrauenswürdigkeitsfähigkeiten eines Lieferanten, basierend auf den Vertrauenswürdigkeitserwartungen des Käufers.

So kann der Käufer seine Anfrage zusammen mit seiner Vertrauenswürdigkeitserwartung auf einer unabhängigen Plattform veröffentlichen, worauf der Lieferant mit seinem Angebot zusammen mit seiner Vertrauenswürdigkeitsfähigkeit antwortet. Basierend auf dem vordefinierten Regelwerk wertet die Plattform die Anfragen und die dazugehörigen Gebote, Vertrauenswürdigkeitserwartungen und entsprechenden Vertrauenswürdigkeitsfähigkeiten aus und leitet die relevantesten an den jeweiligen Käufer für weitere Geschäfte weiter.

Ein sog. Trustworthiness Profile (TWP) nutzt kryptographische Mechanismen, um die Integrität der Vertrauenswürdigkeitserwartungen und der entsprechenden Vertrauenswürdigkeitsfähigkeiten zu gewährleisten. Sie umfasst die digitalen Signaturen und digitalen Zertifikate der beteiligten Parteien. Nach Ansicht der Verfasser kann ein standardisiertes TWP-Format zu einer verstärkten Nutzung von Federated Identity
Management (FIM) führen. FIM ist eine Vereinbarung zwischen mehreren Organisationen, die es ihren Benutzern ermöglicht, dieselben Identifikationsdaten für verschiedene Verwendungszwecke im gesamten Netzwerk der Organisationen, die Teil der Gruppe sind, zu verwenden.

Fazit

Das vorliegende Whitepaper zeigt am Beispiel Deutschland-Japan wie groß der Aufwand für die Etablierung einheitlicher Standards für den sicheren Datenaustausch, die eindeutige Identifizierung der Akteure und die Bewertung ihrer Vertrauenswürdigkeit ist. Der Harmonisierungsbedarf ist immens.

Für die Identifizierung von Unternehmen und anderer Rechtsträger bietet sich der Einsatz des Legal Entity Identifier (LEI) an. Inwieweit selbstsouveräne Identitäten in dem Szenario zum Zuge kommen können, wird in dem Whitepaper nur angeschnitten. Mit dem  Trustworthiness Expectations and Capabilities Exchange Protocol (TECEP) und dem Trustworthiness Profile (TWP) wird ein Intermediär mit erheblicher Machtfülle eingeführt. Es ist nicht ganz klar, nach welchen Kriterien die Vertrauenswürdigkeit eines Akteurs bewertet wird. Wer überwacht diesen Prozess? Wie wird verhindert, dass Unternehmen diskriminiert werden oder wenig vertrauenswürdige sich Zutritt verschaffen können? Wäre es da nicht besser, diese Aufgabe B2B- und Procurement-Plattformen zu überlassen, die ihre Geschäftsbedingungen und Bewertungskriterien offenlegen müssen?

Überhaupt fällt auf, dass GAIA-X und IDSA mit keinem Wort erwähnt werden. Soll bzw. können TECEP und TWP sie ergänzen oder sie ersetzen? Die Harmonisierung der Identifizierungsverfahren zwischen IDSA und GAIA-X ist schon anspruchsvoll genug[1]Identitätsmanagement bei GAIA-X und IDS.

Zuerst erschienen auf Identity Economy

Beitrag teilen
Dieser Beitrag wurde unter Datenaustausch, Identifizierung / Authentififzierung, Industrie 4.0, Standards abgelegt und mit , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.