PKI- und Key-Management

Trust
Management
Appliance

Digitale Schlüssel und Zertifikate Basis für Industrial Cybersecurity

ECOS TrustManagementAppliance®

Sichere Identitäten für IoT, OT und KI

PKI-Management für IoT, OT und KI – sichere Identitäten für eine vernetzte Zukunft

In IoT- und OT-Umgebungen sind Millionen von Geräten, Sensoren und Steuerungen im Einsatz, und jedes smarte Gerät benötigt eine eindeutige, vertrauenswürdige Identität. Gleichzeitig übernehmen KI-Agenten zunehmend autonome Aufgaben und müssen zweifelsfrei authentifiziert werden. Nur so lassen sich Zero Trust-Konzepte konsequent umsetzen.

Die ECOS TrustManagementAppliance® ist eine erprobte, leistungsstarke und flexible PKI- und Key-Management-Lösung zur Erstellung, Verteilung und Verwaltung digitaler Schlüssel und Zertifikate - also zur Erstellung und zum Management von Maschinenidentitäten. Sie ist optimiert für den Einsatz in IoT-Umgebungen und OT-Infrastrukturen und bietet mit dem TMA Edge Gateway auch eine Lösung für verteilte Produktionsumgebungen.

Individuell
Intuitiv
PKI & Key Management made in Germany
Made in Germany

Die Vorteile im Überblick

  • Automatisierte Erstellung, Verwaltung und Verteilung von Zertifikaten und Schlüsseln.
  • Certificate Lifecycle Management: automatische Verlängerung und vollständige Transparenz über Lebenszyklen.
  • Nahtlose Produktionsintegration: Zertifikatsaufbringung direkt im Fertigungsprozess, individuell anpassbar für unterschiedliche Produktionsumgebungen.
  • Skalierbarkeit von kleinen Serien bis hin zu Millionen von Geräten – passend für jede Produktstrategie.
  • Offene Schnittstellen und Standardprotokolle (z. B. REST API, SCEP, EST, ACME, CMP) für die einfache Anbindung an bestehende Systeme und Plattformen.
  • Unterstützung aktueller Sicherheitsstandards: X.509-Zertifikate, symmetrische und asymmetrische Schlüssel, TLS-gestützte Kommunikation (MQTT, OPC UA, HTTPS).
  • Zukunftssicherheit durch Kryptoagilität: Schon heute vorbereitet für zukünftige kryptografische Standards.
  • Flexibler Betrieb: On-Premises, Cloud, Edge Gateway oder hybrid – auch für Produktionsumgebungen mit Offline-Anforderungen..
  • Vertrauenswürdige Identitäten für KI-Agenten, die in Produktions- oder IoT-Umgebungen eigenständig Entscheidungen treffen. So werden auch KI-basierte Systeme eindeutig authentifiziert, vor Manipulation geschützt und nahtlos in Zero Trust-Architekturen integriert sind.
  • Sichere Identitäten sind die Basis für eine nachhaltige Product-, Device- und Industrial Cybersecurity-Strategie.

Die ECOS TrustManagementAppliance®

Sichere Identitäten für IoT, OT und KI
Die ECOS TrustManagementAppliance® erstellt, verteilt und verwaltet digitale Zertifikate und Schlüssel, die Geräte, Systeme und zunehmend auch KI-Agenten mit vertrauenswürdigen Identitäten ausstatten. Sichere Maschinenidentitäten sind die Basis zum Schutz von Daten, Prozessen und autonomen Entscheidungen und bilden so die Grundlage für eine sichere, skalierbare und zukunftsfähige Industrie. Die ECOS TrustManagementAppliance® kann On-Premises, in der Cloud oder als Service durch ECOS betrieben werden.

TMA Edge Gateway

Sichere Identitäten für die 
vernetzte Produktion

  • Sicheres Zertifikatsmanagement direkt an der Fertigungslinie
  • Betrieb ohne Internetverbindung – Offline-Zertifikatsausstellung möglich
  • Vollständig in bestehende Produktionssysteme integrierbar (SCADA, MES, ERP)
  • Ideal für weltweite Fertigungsnetzwerke und Auftragsfertiger
  • Cybersecurity Made in Germany

Was die ECOS PKI-Lösung auszeichnet

All-In-One
PKI, Key Management, Schlüssel und Zertifikate – alles aus einer Hand
Automatisierung
Umfasst alle Bereiche von
Zertifikatsmanagement und -verteilung
Offene Schnittstellen für PKI & Key Management
Offene Schnittstellen
Nahtlose Integration in Infrastrukturen und IoT-Produktionsumgebungen
Einfaches PKI & Key Management
Einfaches Management
Intuitiv zu bedienende Weboberfläche
Auch ohne PKI-Spezialkenntnisse
Frei skalierbar
Wächst mit Ihren Anforderungen
Optional hochverfügbar
Policy Enforcement
Durchsetzung von Richtlinien zum Sicherstellen korrekter Zertifikate
Zertifikatverteilung
Vielfältige Verteilungsmechanismen und Protokollunterstützung
Überall einsetzbar
On-Premises, VM, Container oder Cloud
Eigenbetrieb oder als Service

Wissen zu diesem Thema

PKI & Schlüsselmanagement leicht gemacht

Whitepaper: Maschinenidentitäten in IoT/OT

cat93,cat37,cat38,cat18,cat72,cat71,cat69
No match found!
Case Study: Techem

Techem

PKI zur Absicherung der Kommunikation der Fernableseinfrastruktur bei Techem
 

cat17,cat39,cat52,cat7
Case Study: Stahl AG

R. STAHL AG

Die ECOS TrustManagementAppliance als zentrale Public-Key-Infrastruktur (PKI) bei der R. STAHL AG

cat17,cat52,cat7
No match found!

Ein Public-Key-Infrastruktur (PKI)-Zertifikat, auch bekannt als digitales Zertifikat, ist ein elektronisches Dokument, das die Zugehörigkeit eines öffentlichen Schlüssels zu einer bestimmten Entität, wie einer Person, Organisation oder einem Gerät bestätigt. Es wird von einer Zertifizierungsstelle (Certificate Authority, CA), die in einer PKI eine zentrale Rolle spielt, erstellt und digital signiert.

Ein Zertifikat enthält wichtige Informationen wie den Namen des Zertifikatbesitzers, die Seriennummer, das Ablaufdatum und den zugehörigen öffentlichen Schlüssel. Zudem enthält es den digitalen Fingerabdruck des Zertifikats, der dessen Integrität sicherstellt, und die digitale Signatur der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.

In einer PKI wird das Zertifikat genutzt, um sichere Kommunikation und Datenaustausch zu ermöglichen. Durch die Verwendung von Schlüsselpaaren - einem öffentlichen und einem privaten Schlüssel - können Nachrichten verschlüsselt und entschlüsselt, digitale Signaturen erstellt und überprüft und die Authentizität einer Entität bestätigt werden.

Die ECOS TrustManagementAppliance hilft dabei, Zertifikate zu verwalten und sicher zu verwenden, indem sie eine zentrale Plattform zur Ausstellung, Verwaltung und Überprüfung von digitalen Zertifikaten bietet. Sie stellt sicher, dass die mit jedem Zertifikat verknüpften Schlüssel sicher gespeichert und verwendet werden, um die Integrität und Vertraulichkeit der in (I)IoT-Umgebungen übertragenen Daten zu gewährleisten.

cat17,cat10

Eine PKI, kurz für Public Key Infrastructure, arbeitet mit der Verschlüsselung und Signierung von Daten. Dafür gibt es mehrere äußerst wichtige Gründe:

Datenschutz und -sicherheit: Die Verschlüsselung ermöglicht eine sichere Übertragung von Informationen über unsichere Netzwerke, wie das Internet. Sie verwendet ein Paar von Schlüsseln - einen öffentlichen und einen privaten - um Daten zu verschlüsseln und zu entschlüsseln. Nur der private Schlüssel kann, die mit dem öffentlichen Schlüssel verschlüsselten Daten entschlüsseln. Dies stellt sicher, dass selbst wenn die Daten während der Übertragung abgefangen werden, diese ohne den privaten Schlüssel nicht lesbar sind. Daher wird dies auch Public-Key-Verschlüsselung genannt.

Authentifizierung: Zertifikate stellen sicher, dass der öffentliche Schlüssel tatsächlich der Person oder dem System gehört, die/das ihn beansprucht. Sie spielen eine zentrale Rolle bei der Bestätigung der Identität einer Person oder eines Systems und helfen so, die Vertrauenswürdigkeit in digitale Interaktionen zu stärken.

Integrität der Daten: Durch die Verwendung digitaler Signaturen, die mit eine PKI erstellt werden, kann überprüft werden, ob Daten während der Übertragung verändert wurden. Das sorgt für die Integrität der Daten.

Nichtabstreitbarkeit: Durch das Signieren wird die Zugehörigkeit der Daten zu einer Entität zweifelsfrei bestätigt. Dies ist wichtig für rechtsverbindliche Transaktionen und andere Anwendungen, bei denen die Bestätigung der Identität entscheidend ist.

cat17,cat10

Eine Public-Key-Infrastructure (PKI)-Lösung ist ein System von Regeln, Funktionen, Richtlinien und Techniken, die zusammenarbeiten, um digitale Zertifikate zu erstellen, zu verwalten, zu verteilen und zu verifizieren. Diese Zertifikate sind entscheidend für die Überprüfung der Identität von Personen und Geräten in digitalen Netzwerken und ermöglichen eine geschützte, verschlüsselte Kommunikation zwischen ihnen.

Ein unverzichtbares Element innerhalb der PKI ist die Zertifizierungsstelle (Certificate Authority, CA), die als eine vertrauenswürdige Instanz agiert. Die CA ist dafür zuständig, Zertifikate auszustellen, die die Zuordnung eines öffentlichen Schlüssels zu einer spezifischen Entität bestätigen. Jedes Zertifikat enthält Angaben wie den Namen der Entität, den öffentlichen Schlüssel, das Gültigkeitsdatum und weitere Informationen, abgerundet durch die digitale Signatur der CA.

Die Kernfunktionalitäten einer PKI umfassen:

  1. Erzeugung von Schlüsseln: Jede Entität generiert ein Paar kryptografischer Schlüssel - einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel kann frei verteilt werden, der private Schlüssel wird hingegen sicher aufbewahrt und geheim gehalten.
  2. Erzeugung von Zertifikaten: Die Entität stellt einen Antrag bei der CA, um ein Zertifikat für ihren öffentlichen Schlüssel zu erhalten. Diese Anfrage kann auch Identifikationsinformationen beinhalten.
  3. Ausgabe von Zertifikaten: Die CA überprüft die Identität der Entität und erstellt ein Zertifikat, das den öffentlichen Schlüssel der Entität und die Identifikationsinformationen enthält. Dieses Zertifikat wird von der CA digital signiert.
  4. Verteilung von Zertifikaten: Die Entität kann ihr Zertifikat gemeinsam mit ihrem öffentlichen Schlüssel verteilen. Jeder, der das Zertifikat empfängt, kann die digitale Signatur der CA überprüfen und somit sicherstellen, dass das Zertifikat und der öffentliche Schlüssel tatsächlich von der angegebenen Entität stammen.
  5. Authentifizierung und Verschlüsselung: Um eine sichere Kommunikation mit einer anderen Entität aufzubauen, schickt die Entität ihr Zertifikat mit öffentlichem Schlüssel an ihren gewünschten Kommunikationspartner. Dieser verschlüsselt mit dem öffentlichen Schlüssel eine Nachricht, die ausschließlich mit dem privaten Schlüssel der Entität entschlüsselt werden kann. Gleichzeitig kann die Entität ihren privaten Schlüssel nutzen, um eine digitale Signatur zu erstellen, die mithilfe des öffentlichen Schlüssels überprüft werden kann und somit eine Authentifizierung ermöglicht.

Die ECOS TrustManagementAppliance ist eine PKI-Lösung, die all diese Funktionen in einer integrierten Plattform bietet, um die Sicherheit von mobilen Geräten, PCs, Servern und anderen Geräten in (I)IoT-Umgebungen zu gewährleisten.

cat17,cat10

PKI-Management ist ein komplexer Prozess, der sorgfältige Aufmerksamkeit und Planung erfordert. Hier sind einige wichtige Punkte, auf die Sie achten sollten:

  1. Richtige Implementierung: Eine PKI sollte sorgfältig implementiert werden. Fehler in der Implementierung führen zu Sicherheitslücken, die Angreifer ausnutzen können.
  2. Vertrauenswürdige Zertifizierungsstelle: Eine vertrauenswürdige Zertifizierungsstelle (CA) ist entscheidend, da diese die Legitimität der digitalen Zertifikate bestätigt.
  3. Private Schlüsselsicherheit: Der Schutz privater Schlüssel ist von größter Bedeutung. Wenn private Schlüssel kompromittiert sind, wird die gesamte Sicherheit des Systems untergraben.
  4. Lebenszyklusmanagement: Der Lebenszyklus von Zertifikaten muss sorgfältig verwaltet werden. Dies beinhalten ihre Erstellung, Verteilung, Erneuerung und Widerrufung. Ein versäumter Widerruf eines Zertifikats kann dazu führen, dass eine unautorisierte Partei Zugang zu den Systemen erhält.
  5. Konformität mit den Standards: Sie sollten sicherstellen, dass Ihre PKI-Lösung die relevanten Industriestandards und Best Practices einhält.
  6. Automatisierung: Die Automatisierung von Schlüssel- und Zertifikatsmanagementprozessen kann helfen, menschliche Fehler zu vermeiden und den Betrieb effizienter zu machen.
  7. Audit und Überwachung: Regelmäßige Audits und Überwachung sind wichtig, um sicherzustellen, dass die PKI richtig funktioniert, und um potenzielle Sicherheitsprobleme frühzeitig zu erkennen.
cat17,cat10

Die Verwaltung von Zertifikaten, auch bekannt als Certificate Lifecycle Management, ist ein zentraler Aspekt von Public-Key-Infrastrukturen (PKI). Es umfasst mehrere Schritte, die gewährleisten, dass die Zertifikate korrekt erstellt, verteilt, gespeichert, verwendet und zurückgezogen oder erneuert werden.

  1. Erstellung: Die Zertifikaterstellung beginnt mit der Generierung eines Schlüsselpaares - eines öffentlichen und eines privaten Schlüssels. Der öffentliche Schlüssel wird in ein Zertifikat eingebettet, das zusätzlich wichtige Informationen wie den Namen des Inhabers, die Gültigkeitsdauer und den digitalen Fingerabdruck enthält.
  2. Ausstellung: Die ausstellende Zertifizierungsstelle (CA) prüft und bestätigt die Identität des Antragstellers. Anschließend wird das Zertifikat digital signiert, um dessen Integrität und Authentizität zu gewährleisten.
  3. Verteilung: Sobald das Zertifikat erstellt und signiert ist, wird es an den Antragsteller verteilt und kann zur Identifikation und Verschlüsselung verwendet werden. Es kann auch in einem öffentlich zugänglichen Verzeichnis veröffentlicht werden, damit andere es überprüfen können.
  4. Nutzung: Das Zertifikat wird verwendet, um die Identität des Inhabers zu überprüfen und Daten zu verschlüsseln. Jeder, der das Zertifikat hat, kann den öffentlichen Schlüssel des Inhabers verwenden, um Daten zu verschlüsseln oder die Signatur zu überprüfen.
  5. Erneuerung/Revokation: Zertifikate haben eine begrenzte Gültigkeitsdauer und müssen erneuert werden, bevor sie ablaufen. Wenn ein Zertifikat kompromittiert ist der private Schlüssel öffentlich geworden ist, muss das dazugehörige Zertifikat zurückgezogen werden, um die Sicherheit nicht weiter zu gefährden.
cat17,cat10
No match found!

Technische Informationen zur Trust Management Appliance

  • Erstellen, verlängern, zurückziehen von Zertifikaten
  • Zertifikate, Geheimnisse und symmetrische Schlüssel
  • Schlüssellänge und Signaturalgorithmus frei konfigurierbar
  • Frei definierbare und zuordenbare Metadaten
  • Automatische Verlängerung der Zertifikate
  • Klassifizieren und Strukturieren von Zertifikaten
  • Automatisierbare Zertifikatsregistrierung (certificate enrollment | Basis via SCEP)
  • Automatisierbare Zertifikatserneuerung (certificate renewal | Basis via SCEP, EST)
  • Distribution der Zertifikate per LDAP, SCEP, ACME oder Windows Dienst
  • Unterstützung von Windows-/Linux-Server sowie Clients, weitere Endgeräte (insb. Android und iOS via Mobile Device Management)
  • Betanken oder Erzeugung von Zertifikaten auf der Smartcard
  • Self-Service-Portal für Anwender, Helpdesk und Admin
  • Frei konfigurierbare Workflows z.B. für
    • die Beantragung von Zertifikaten
    • die Genehmigung von Zertifikatsanforderungen
    • den Download und die Installation von Zertifikaten
    • das Enrollment auf Smartcards
    • regelmäßige Helpdesk-/Admin-Arbeiten
  • Validierung der Zertifikate per CRL oder OCSP
  • Sichere Speicherung im Hardware Security Modul (HSM) möglich
  • Kopplung mit AD oder sonstigem Metadirectory
  • Steuerung und Konfigurierbarkeit sämtlicher Funktionen per REST API
  • Integration in bestehende PKI, als Sub- oder Root-CA
  • Cluster-Betrieb, auch standortübergreifend
  • Mehrstufig gegliederte Root- und Sub-CAs
  • Import-Schnittstelle für öffentliche und private Zertifikate
  • SNMP-Schnittstelle für die Anbindung eines Monitoringsystems
  • syslog-Schnittstelle für die Anbindung eines Aggregationstools
  • Virtuelle Appliance zum Betrieb unter VMware, Microsoft Hyper-V oder anderen Virtualisierungslösungen
  • Vorkonfiguriertes ISO-Image mit ECOS Secure Linux und TMA
  • Unterstützung von OTP-Token, Software-Token und SMS
  • RADIUS-Server zur Authentifizierung per IEEE 802.1X
  • Zentrale Administration mandantenspezifischer Root-CAs
  • Vordefinierte Reports und eigener Report-Editor
  • Automatisches Benachrichtigungssystem über Active Reports
  • Zentrale Web-Oberfläche
  • Granulare Rechtevergabe für das Admin-Interface

Kontaktieren Sie uns!

Unsere Experten helfen Ihnen gerne weiter. 

Bitte geben Sie Ihre Firmen-E-Mail-Adresse an!

Die mit dem (*) gekennzeichneten Felder sind Pflichtfelder und müssen ausgefüllt werden.