Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle

Die Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zur Überwachung einer Zertifizierungsstelle bzw. Certification Authority. Digitale Zertifikate werden verwendet, um einen Kommunikati ^¬ onspartner, wie beispielsweise ein Gerät, ein Prozess oder einen Nutzer, zu authentisieren . Ein digitales Zertifikat ist eine geschützte Datenstruktur, die einen öffentlichen Schlüssel bzw. „public key", einem Identifier, wie beispielsweise ein Identifier eines Gerätes, eines Prozesses oder eines Nut ^¬ zers, zuordnet. Beispiele für Identifier sind ein natürlicher Name (Common Name) , eine Email-Adresse, ein Rechnername (DNS- Rechnername, Domain Name System), eine IP-Adresse (Internet Protocol) , ein Uniform Resource Locator (URL) .

In industriellen Anwendungsdomänen werden digitale Zertifikate benötigt, um beispielsweise Feldgeräte eines Automatisie ^¬ rungssystems zu authentifizieren. Für industriellen Anlagen ist es allgemein besonders wichtig, dass die Zertifizierungs- stellen möglichst kostengünstig und wartungsarm betrieben werden können und zudem Möglichkeiten der Überwachung bieten, damit eine Manipulationen durch Unbekannte oder allgemeine Fehlfunktionen möglichst einfach erkannt und behoben werden können .

Die Veröffentlichung von Nadia Henigner, Zakir Durumeric, Eric Wustrom, J. Alex Halderman: „Mining Your Ps and Qs :

Detection of Widespread Weak Keys in Network Devices", Usenix Security 2012, offenbart, öffentliche Schlüssel einer "Big Data" Analyse zu unterziehen, um schwache Schlüssel zu be ^¬ stimmen. Dazu wurden Zertifikate erfasst, um sie einer Prü ^¬ fung zu unterziehen. Damit ist auch bekannt, von einer oder mehreren Zertifizierungsstellen ausgestellte Zertifikate zu erfassen und einer Qualitätsprüfung zu unterziehen.

Von der DE 10 2011 081 804 ist bekannt, in ein operatives Zertifikat die Konfiguration eines Gerätes in einem operati ^¬ ven Szenario einzucodieren . Alternativ können diese auch über einen Link im Zertifikat referenziert werden.

Von der DE 10 2010 044 518 ist bekannt, den „Scope" oder Ein- satzbereich eines Zertifikats einzucodieren, sodass der zulässige Einsatzzweck expliziert eingeschränkt ist. Dazu wer ^¬ den zulässige Kommunikationspartner in das Zertifikat

eincodiert . In der Veröffentlichung von Tiffany Hyun-Jin Kim, Lin-Shung Huang, Adrian Perrig, Collin Jackson, Virgil Gligor:

„Accountable Key Infrastructure : A Proposal for a Public-Key Validation Infrastructure" , CyLab / Carnegie Mellon Universi- ty, WWW '13 Proceedings of the 22nd international Conference on World Wide Web wurde eine Validierungsinfrastruktur für Zertifizierungsstellen vorgeschlagen, um das erforderliche Vertrauen in einen sicheren Betrieb von Zertifizierungsstel ^¬ len zu verringern. Als neue Komponente wird ein Integrity Log Server eingeführt, bei dem eine Domain ihre Zertifikate re- gistrieren kann. Dabei werden Zertifikatsoperationen wie Ausstellen, Aktualisieren, Zurückrufen protokolliert. Diese Logdaten werden von einem Validator auf Plausibilität geprüft. Denkbar ist hier zum Beispiel eine Konsistenzprüfung von z. B. Zertifikats-Updates. Im Abschnitt 3 „Background" dieser Publikation wird außerdem ein Überblick über andere Ansätze gegeben, welche die hohe Vertrauenswürdigkeit von Zertifizierungsstellen infrage stellt und mit diesem Vertrauensverlust umgeht, wie beispielsweise Certificate

Observatories oder Certificate Log Servers. Dabei werden Zer- tifikate eines Servers beobachtet bzw. eine geschützte Zerti- fikats-PrüfInformation erzeugt und bereitgestellt. Ein Nachteil besteht darin, dass Zertifizierungsstellen für das Ausstellen von digitalen Zertifikaten in industriellen Anwendungsdomänen nur mit einem unverhältnismäßig hohen Aufwand betrieben werden können. Auch sind Anforderungen von In- dustrieanlangen hinsichtlich der Überwachung und des Schutzes vor Manipulation und Fehlverhalten nur unzureichend berücksichtigt .

Es ist somit die Aufgabe der vorliegenden Erfindung, eine einfach zu betreibende Zertifizierungsstelle mit verringertem Schutzbedarf zu schaffen, wobei eine Manipulation oder ein Fehlverhalten der Zertifizierungsstelle erkannt bzw. verhin ^¬ dert werden. Es wird daher vorgeschlagen, dass zum Beispiel für Industrie ^¬ umgebungen oder für eine Automatisierungsanlage anstatt, wie heute üblich, wenige große bzw. globale Zertifizierungsstel ^¬ len, wie beispielsweise Symantec™ Authentication Services, eine Vielzahl von „kleinen" bzw. leichtgewichtigen Zertifi- zierungsstellen zu verwenden. Diese sollen kostengünstig, beispielsweise durch einen Betreiber eines Automatisierungs ^¬ systems, betreibbar sein.

Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfah- ren zur Überwachung einer Zertifizierungsstelle, welche digi ^¬ tale Zertifikate für Geräte ausstellt. Gemäß dem Verfahren wird mindestens eine Richtlinie für eine Vergabe von digita ^¬ len Zertifikaten durch die Zertifizierungsstelle festgelegt. Es wird mindestens ein Überwachungskriterium für eine Überwa- chungsvorrichtung basierend auf der mindestens einen Richtli ^¬ nie für die Zertifizierungsstelle festgelegt. Weiter werden Informationen über die von der Zertifizierungsstelle ausge ^¬ stellten digitalen Zertifikate und/oder über die Geräte mit einem digitalen Zertifikat durch die Überwachungsvorrichtung erfasst. Die erfassten Informationen werden unter Verwendung des mindestens einen Überwachungskriteriums analysiert. Falls ein Überwachungskriterium verletzt wird, wird ein Signal bereitgestellt. Zusätzlich ist die mindestens eine Zertifizie- rungsstelle innerhalb eines Teilbereichs einer Anlage ange ^¬ ordnet. Dabei stellt die jeweils mindestens eine Zertifizie ^¬ rungsstelle digitale Zertifikate für Geräte innerhalb dieses Teilbereichs der Anlage bereit und es wird beim Festlegen von mindestens einer Richtlinie ein wenig geschützter Datenspei ^¬ cher verwendet.

Durch ein Überwachungskriterium kann insbesondere eine Art bzw. ein Typ von Geräten und/oder eine Information, in wel- eher Automatisierungsanlage Geräte verbaut sind, angeben sein .

Zusätzlich lässt sich eine kostengünstige zweckgebundene Zer ^¬ tifizierungsstelle für einen Teilbereich, beispielsweise ei- ner Automatisierungsanlage, realisieren. Hierbei kann ein

Überwachungskriterium angeben, welche Geräte sich innerhalb dieses Teilbereichs der Anlage befinden.

Bei Ausführungsformen des Verfahrens ist es möglich, die In- formationen, welche bei der Verletzung des mindestens einen

Überwachungskriteriums gewonnen werden, automatisiert an eine gerätebezogene Datenbank zu übermitteln. Dies ist beispiels ^¬ weise bei sicherheitskritischen Anlagen, insbesondere bei Anlagen zur Gewährleistung der Betriebssicherheit (Safety) , vorteilhaft, wenn diese Daten automatisiert an eine Leitstel ^¬ le, ein Security Operation Center oder eine Überwachungsbe ^¬ hörde weitergeleitet werden.

Bei weiteren Ausführungsformen des Verfahrens wird das Erfas- sen von Informationen über die von der Zertifizierungsstelle ausgestellten digitalen Zertifikate innerhalb des Teilbe ^¬ reichs der Anlage durchgeführt und das Analysieren der Infor ^¬ mationen innerhalb oder außerhalb des Teilbereichs durchge ^¬ führt. Dadurch lassen sich unterschiedliche Architekturen zur Überwachung der Zertifizierungsstellen realisieren. Beispielsweise könnte ein zentrales Überwachen für mehrere Zer ^¬ tifizierungsstellen realisiert werden. Es ist möglich, beispielsweise Informationen über Zertifikate aus unterschiedli- chen Teilbereichen einer Anlage miteinander zu vergleichen, wodurch die Sicherheit der Anlage erhöht wird.

Bei weiteren Ausführungsformen des Verfahrens erzeugt das Signal eine Alarmmeldung und/oder das Signal widerruft ein der Zertifizierungsstelle zugeordnetes digitales Zertifikat und/oder ein durch die Zertifizierungsstelle ausgestelltes digitales Zertifikat. Damit ist es möglich, auf potentiell korrumpierte Geräte und/oder Zertifizierungsstellen automati- siert und zeitnah zu reagieren, ohne dass ein manuelles Ein ^¬ greifen eines Wartungstechnikers notwendig ist. Falls bei ^¬ spielsweise erkannt wird, dass ein Zertifikat durch die über ^¬ wachte Zertifizierungsstelle für ein Gerät ausgestellt wurde, das sich nicht oder nicht mehr innerhalb eines definierten Teilbereichs der Anlage befindet, so kann in einer Variante automatisch eine ZertifikatswiderrufInformation für dieses unzulässig ausgestellte Zertifikat erzeugt werden. Alternativ kann das Zertifikat auch von einer entsprechenden Zertifi- kats-Whitelist (Positivliste) genommen werden. Alternativ oder zusätzlich kann ein Alarmsignal bereitgestellt werden, das z.B. von einem Leitsystem oder von Geräten des Teilbereichs der Anlage bereitgestellt wird.

Bei weiteren Ausführungsformen des Verfahrens legt die min- destens eine Richtlinie fest, ob ein ausgegebenes digitales Zertifikat für Geräte an einem bestimmten Ort und/oder für bestimmte Gerätetypen und/oder für Geräte für bestimmte Verwendungszwecke beschränkt ist und/oder für eine bestimmte Gültigkeitsdauer verwendbar ist und/oder auf eine Anzahl von ausgestellten digitalen Zertifikaten beschränkt ist und/oder die mindestens eine Richtlinie gibt die im Zertifikat anzu ^¬ wendenden kryptographischen Parameter von im ausgestellten Zertifikat enthaltenen Schlüssel vor. Die beispielshaft dar ^¬ stellten Richtlinien erlauben es den Einsatzbereich einer Zertifizierungsstelle genau festzulegen, ohne unnötig Res ^¬ sourcen verbrauchen. Bei weiteren Ausführungsformen des Verfahrens ist das mindes ^¬ tens eine Überwachungskriterium der vorgegebene Ort des Ge ^¬ räts und/oder der bestimmte Gerätetyp und/oder der bestimmte Verwendungszweck des Geräts und/oder die bestimmte Gültig- keitsdauer des ausgestellten Zertifikats und/oder die Anzahl der ausgestellten digitalen Zertifikate, die durch die mindestens eine Richtlinie definiert werden und/oder das mindes ^¬ tens eine Überwachungskriterium basiert auf den vorgegebenen kryptographischen Parameter von enthaltenen Schlüsseln, die durch die mindestens eine Richtlinie definiert werden. Durch das Ableiten der Überwachungskriterien von den Richtlinien für die Zertifizierungsstelle, kann das Verhalten der Zerti ^¬ fizierungsstelle engmaschig und präzise überwacht werden. Bei weiteren Ausführungsformen des Verfahrens werden die er- fassten Informationen über die Geräte durch die Geräte selbst an die Überwachungsvorrichtung übertragen und/oder Geräte- suchmaschinen werden verwendet, um die Geräte zu identifizie ^¬ ren und die Geräteinformationen abzurufen und/oder die er- fassten Informationen werden durch ein Mithören von Nachrichten zwischen der Zertifizierungsstelle und Geräten und/oder zwischen einem Gerät und mindestens einem weiteren Gerät ermittelt. Es ist auch denkbar, dass durch eine Erfassungseinrichtung, wie beispielsweise einen Netzwerkmonitor bzw.

Netzwerksniffer, Daten direkt im Netzwerk oder durch Netzwerkkomponenten, wie beispielsweise Gateways oder Proxys, er- fasst werden, ohne aktiv Geräte abzufragen oder Protokolle der Zertifizierungsstelle auszuwerten. Gemäß einem weiteren Aspekt betrifft die Erfindung eine Über ^¬ wachungsvorrichtung, die derart ausgelegt ist, eine Zertifi ^¬ zierungsstelle für Geräte zu überwachen. Die Überwachungsvorrichtung umfasst eine Festlegeeinrichtung, eine Erfassungseinrichtung, eine Analyseeinrichtung und eine Bereitstel- lungseinrichtung . Die Festlegeeinrichtung ist derart ausgelegt, mindestens ein Überwachungskriterium für die Überwachungsvorrichtung, basierend auf mindestens einer Richtlinie der Zertifizierungsstelle, festzulegen. Die Erfassungsein- richtung ist derart ausgelegt, Informationen über von der Zertifizierungsstelle ausgestellte digitale Zertifikate und/oder über die Geräte mit einem digitalen Zertifikat zu erfassen. Die Analyseeinrichtung ist derart ausgelegt, die erfassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums zu analysieren. Die Bereitstellungs ^¬ einrichtung ist derart ausgelegt, ein Signal bei einem Ver ^¬ letzen eines Überwachungskriteriums bereitzustellen. Zusätzlich ist die mindestens eine Zertifizierungsstelle innerhalb eines Teilbereichs einer Anlage angeordnet. Dabei stellt die jeweils mindestens eine Zertifizierungsstelle digitale Zerti ^¬ fikate für Geräte innerhalb dieses Teilbereichs der Anlage bereit und es wird beim Festlegen von mindestens einer Richt ^¬ linie ein wenig geschützter Datenspeicher verwendet.

Bei Ausführungsformen der Überwachungsvorrichtung weist diese eine Eingabeeinrichtung auf, wobei die Eingabeeinrichtung die Informationen, welche bei der Verletzung des mindestens einen Überwachungskriteriums gewonnen werden, automatisiert an eine gerätebezogene Datenbank übermittelt. Dies ist beispielsweise bei sicherheitskritischen Anlagen (Betriebssicherheit,

Safety) vorteilhaft, wenn diese Daten automatisiert an eine Leitstelle, ein Security Operation Center oder eine Überwa ^¬ chungsbehörde weitergeleitet werden.

Bei weiteren Ausführungsformen der Überwachungsvorrichtung ist die Erfassungseinrichtung innerhalb und die Analyseeinrichtung innerhalb oder außerhalb eines Teilbereichs einer Anlage angeordnet. Dadurch lassen sich unterschiedliche Ar- chitekturen zur Überwachung der Zertifizierungsstellen realisieren. Beispielsweise könnte ein zentrales Überwachen für mehrere Zertifizierungsstellen realisiert werden. Dadurch ließen sich beispielsweise Informationen über Zertifikate aus unterschiedlichen Teilbereichen einer Anlage miteinander ver- gleichen, um die Sicherheit der Anlage zu erhöhen.

Bei weiteren Ausführungsformen der Überwachungsvorrichtung ist die Analyseeinrichtung derart angeordnet, dass diese die erfassten Informationen mehrerer Zertifizierungsstellen gleichzeitig auswertet. Dadurch lassen sich die Kosten für eine Überwachungseinrichtung reduzieren, da für mehrere Zertifizierungsstellen nur eine Analyseeinrichtung zentral ver- wendet werden kann. Auch lässt sich dadurch der Wartungsaufwand reduzieren, da beispielsweise nur die Ergebnisse einer Analyseeinrichtung durch einen Wartungstechniker ausgewertet werden . Bei weiteren Ausführungsformen der Überwachungsvorrichtung verfügt die Analyseeinrichtung über detaillierte Geräteinformationen über jene Geräte, welche durch die Zertifizierungs ^¬ stelle digitale Zertifikate erhalten haben. Diese Gerätein ^¬ formationen lassen sich beispielsweise mit den erfassten In- formationen der Erfassungseinrichtung abgleichen, um die

Richtigkeit des für das Gerät ausgestellten Zertifikats ge ^¬ genüber den Überwachungskriterien bzw. Richtlinien überprüfen zu können oder Gerätemanipulationen erkennen zu können. Bei weiteren Ausführungsformen der Überwachungsvorrichtung erzeugt die Bereitstellungseinrichtung, basierend auf dem Signal, eine Alarmmeldung und/oder widerruft ein der Zertifi ^¬ zierungsstelle zugeordnetes Zertifikat und/oder widerruft ein durch die Zertifizierungsstelle ausgestelltes Zertifikat. Da- mit ist es möglich, auf potentiell korrumpierte Geräte und/oder Zertifizierungsstellen automatisiert zu reagieren, ohne dass ein manuelles Eingreifen eines Wartungstechnikers notwendig ist. Gemäß einem weiteren Aspekt betrifft die Erfindung eine Zer ^¬ tifizierungsstelle zur Ausstellung digitaler Zertifikate. Die Zertifizierungsstelle umfasst eine Festlegeeinrichtung, eine Verteilungseinrichtung und eine Verwaltungseinrichtung. Die Festlegeeinrichtung ist derart ausgelegt, mindestens eine Richtlinie für die Zertifizierungsstelle festzulegen und/oder zu speichern. Die Verteilungseinrichtung ist derart ausgelegt, digitale Zertifikate nach vorgegebenen Richtlinien zu verteilen. Die Verwaltungseinrichtung ist derart ausgelegt, die digitalen Zertifikate zu verwalten, wobei die Verwal ^¬ tungseinrichtung einen ungeschützten oder wenig geschützten Datenspeicher verwendet. Unter einem ungeschützten bzw. wenig geschützten Datenspeicher ist zu verstehen, dass dieser zum Schutz vor Manipulation beispielsweise nicht mit aufwändigen und damit teuren personellen, physikalischen und/oder organisatorischen Sicherheitsmaßnahmen geschützt ist. Stattdessen können beispielsweise handelsübliche kostengünstige Rechner ^¬ systeme verwendet werden. Weiter befindet sich die Zertifi- zierungsstelle innerhalb eines Teilbereichs einer Anlage und die Zertifizierungsstelle stellt digitale Zertifikate aus ^¬ schließlich für den Teilbereich der Anlage bereit.

Bei Ausführungsformen der Zertifizierungsstelle, weist die Zertifizierungsstelle eine Überwachungsvorrichtung entspre ^¬ chend der genannten erfindungsgemäßen Überwachungsvorrichtung auf, die ein digitales Zertifikat nach dessen Erstellung prüft . Bei weiteren Ausführungsformen der Zertifizierungsstelle, ist die externe Überwachungsvorrichtung gemäß einer Ausführungsform der erfindungsgemäßen Überwachungsvorrichtung in der Lage, ein digitales Zertifikat zu widerrufen und/oder eine Ver ^¬ teilung von einem digitalen Zertifikates zu verhindern, wenn eine Verletzung der Überwachungskriterien festgestellt wird. Dies hat insbesondere den Vorteil, dass beispielsweise selbst wenn die Zertifizierungsstelle korrumpiert wurde, das Vertei ^¬ len von manipulierten Zertifikaten verhindert werden kann. Des Weiteren wird ein Computerprogrammprodukt beansprucht, mit Programmbefehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens sowie ein Datenträger, der das Computerprogrammprodukt speichert. Ein solcher Datenträger bezie ^¬ hungsweise ein solches Computerprogrammprodukt kann in einem System eingelesen werden und Programmbefehle ausführen, sodass das erfindungsgemäße Verfahren ausgeführt wird. Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbei- spiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei zeigt: ein Ausführungsbeispiel einer erfindungsgemäßen Überwachungsvorrichtung und erfindungsgemäßen Zer tifizierungsstelle eingebunden in ein Netzwerk ei nes Teilbereichs einer Anlage;

Fig. 2 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens in Form eines Flussdiagramms;

Fig. 3 ein Ausführungsbeispiel der erfindungsgemäßen Überwachungsvorrichtung; ein weiteres Ausführungsbeispiel der erfindungsge ^¬ mäßen Überwachungsvorrichtung, wobei die Analyseeinrichtung der Überwachungsvorrichtung separat von der Überwachungseinrichtung ausgebildet ist; ein Ausführungsbeispiel der erfindungsgemäßen Zertifizierungsstelle; und ein weiteres Ausführungsbeispiel der erfindungsge ^¬ mäßen Zertifizierungsstelle, wobei die Zertifizie ^¬ rungsstelle zusätzlich eine Überwachungsvorrichtung aufweist ;

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.

Um die gestellte Aufgabe zu lösen, kann eine erfindungsgemäß Zertifizierungsstelle bzw. leichtgewichtige Zertifizierungs ^¬ stelle auf aufwändige und teure Sicherheitsmaßnahmen verzieh ten bzw. reduzieren. Dies sind beispielsweise Hochsicher- heitsrechenzentren zur Zertifikatsverwaltung mit sicherheits- überprüften Personal und Prozessen wie z.B. einem Vier-Augen- Prinzip, bei dem nur zwei Mitarbeiter gemeinsam eine sicherheitskritische Aktion durchführen können. Auch erteilt diese erfindungsgemäße Zertifizierungsstelle beispielsweise Zerti ^¬ fikate nicht global an potentiell jeden Anfragenden. Statt ^¬ dessen wird ein möglichst einfaches System verwendet, bei ^¬ spielsweise ein Standardindustriecomputer, um die Zertifizierungsstelle zu realisieren. Auch soll die erfindungsgemäße Zertifizierungsstelle nur Zertifikate für beispielsweise eine oder mehrere definierte industrielle Anlagen oder auch nur für einen Teilbereich einer industriellen Anlage ausstellen. Das bedeutet, dass eine solche leichtgewichtige Zertifizie ^¬ rungsstelle beispielsweise nicht zwangsläufig mit aufwändigen und damit teuren personellen, physikalischen und/oder organisatorischen Sicherheitsmaßnahmen geschützt ist. So könnte eine Zertifizierungsstelle bzw. leichtgewichtige Zertifizie ^¬ rungsstelle für eine Substation eines Energieverteilernetzes, wie beispielsweise ein Umspannhaus, vorgesehen sein. Die Zer- tifizierungsstelle kann dabei direkt in der Substation in ^¬ stalliert sein oder zentral für mehrere Substationen zu Verfügung stehen.

Generell besteht jedoch die Gefahr, dass zumindest manche dieser Zertifizierungsstellen, egal ob leichtgewichtig oder nicht, korrumpiert werden, sodass beispielsweise Zertifikate gefälscht oder Zertifikate für unzulässige Geräte und/oder unzulässige Bereiche und/oder unzulässige Regionen und/oder unzulässige bzw. abgelaufene Zeiträume verwendet werden. Dies ist beispielsweise besonders kritisch, wenn Zertifikate miss ^¬ braucht werden, um weitere Geräte mit dem Energieverteilernetz zu verbinden, sodass mit diesen Geräten das Verteilernetz von unberechtigten Personen kontrolliert werden kann. Es wird deshalb zusätzlich vorgeschlagen, die digitale Zerti ^¬ fikate ausstellende Zertifizierungsstelle zu überwachen. Es soll dabei überwacht werden, dass die von ihr ausgestellten Zertifikate tatsächlich bestimmte vorgebbare Kriterien erfül- len. Dies betrifft beispielsweise eine für einen Teilbereich arbeitende Zertifizierungsstelle, die auch als „scoped Certi- fication Authority" oder „local Certification Authority" be ^¬ kannt ist. Es werden also speziell zweckgebundene Zertifizie- rungsstellen überwacht, die nur für einen relativ eng definierten Einsatzbereich Zertifikate ausstellen sollen. Es wird dabei überwacht, ob die von einer solchen Zertifizierungs ^¬ stelle ausgestellten Zertifikate tatsächlich mit einer definierten Zertifizierungsstellen-Policy bzw. Zertifizierungs- Stellenrichtlinie übereinstimmen, die durch den Einsatzzweck oder durch einen Teilbereich einer Automatisierungsanlage definiert ist. Es auch denkbar, dass eine solche Überwachung kontinuierlich oder nur zu bestimmten Zeitpunkten erfolgt.

Figur 1 zeigt einen Teilbereich einer Anlage, z.B. einer Energienetzautomatisierungsanlage, einer Bahnautomatisie ^¬ rungsanlage, einer Gebäudeautomatisierungsanlage, einer Pro- zessautomatisierungsanlage oder einer Fertigungsautomatisie- rungsanlage. Die Anlage umfasst eine erfindungsgemäße Überwa ^¬ chungsvorrichtung 120, 121, ein Kommunikationsnetzwerk 102, beispielsweise ein lokales Netzwerk bzw. ein „Local Area Net ^¬ work", eine Netzwerkkomponente 103, beispielsweise ein Proxy oder ein Gateway, ein Gerät 104, beispielsweise ein Feldge ^¬ rät, ein weiteres Gerät 105, beispielsweise ein weiteres Feldgerät, Datenleitungen 106 und eine Zertifizierungsstelle 130, 131. Bei dem Teilbereich der Anlage kann es sich beispielsweise um eine Substation eines Energieverteilernetzes oder einen Teilbereich einer Automatisierungsanlage handeln. Die Substation ist beispielsweise ein Umspannhaus, das mehre ^¬ re Geräte 104, 105 aufweist. Das Beispiel ist prinzipiell nicht auf zwei Geräte beschränkt. Es ist durchaus denkbar, dass der Teilbereich der Anlage beispielsweise hundert oder mehr Geräte aufweist. Die Geräte 104, 105 sind über die Datenleitungen 106 mit der Zertifizierungsstelle 130, 131 und einer Netzwerkkomponente 103 verbunden, wobei die Netzwerkkomponente 103 einen Zugriff der Zertifizierungsstelle 130, 131 und der Geräte 104, 105 auf ein lokales Netzwerk innerhalb des Teilbereichs der Anla ^¬ ge erlaubt. Es wäre auch möglich, dass die Zertifizierungs ^¬ stelle 130, 131 und die Geräte 104, 105 direkt an das lokale Netzwerk des Teilbereichs der Anlage angeschlossen sind, ohne eine Verwendung von speziellen Datenleitungen 106.

Falls notwendig können die Geräte 104, 105 digitale Zertifi ^¬ kate anfordern. Dazu stellen sie bei der Zertifizierungsstel ^¬ le 130, 131 eine Anfrage für ein digitales Zertifikat. Die Zertifizierungsstelle 130, 131 vergibt dann auf Basis mindes ^¬ tens einer festgelegten Richtlinie digitale Zertifikate an die anfragenden Geräte 104, 105. Es ist auch möglich, dass Zertifikate für Nutzer, insbesondere für Service-Nutzer, ausgestellt werden, um damit einen lokalen oder entfernten War- tungszugang zu einer Konfigurationsschnittstelle, Wartungs ^¬ schnittstelle oder Diagnoseschnittstelle eines Gerätes abzu ^¬ sichern .

Die Überwachungsvorrichtung 120, 121 ist derart ausgelegt, dass die Geräte 104, 105, die Vergabe der digitalen Zertifi ^¬ kate und/oder die genutzten digitalen Zertifikate von Geräten 104, 105 und die Zertifizierungsstelle 130, 131 überwacht werden können. Die Überwachungsvorrichtung 120, 121 führt die Überwachung anhand vorher festgelegter Überwachungskriterien durch. Dieses mindestens eine Überwachungskriterium wird beispielsweise auf Basis der definierten Richtlinie zur Vergabe von digita ^¬ len Zertifikaten durch die Zertifizierungsstelle 130 festge- legt.

Die Überwachungsvorrichtung 120, 121 erfasst Informationen über die ausgestellten Zertifikate entweder durch ein direktes Abfragen von Informationen bei den Geräten 104, 105 und/oder bei der Zertifizierungsstelle 130, 131. Alternativ können diese Informationen auch erfasst werden, indem die Nachrichten, die zwischen den Geräten 104, 105 selbst oder zwischen den Geräten 104, 105 und der Zertifizierungsstelle 130, 131 und den Geräten 104, 105 ausgetauscht werden, er- fasst werden.

Falls das mindestens eine Überwachungskriterium verletzt wird, wird ein Signal bereitgestellt, das beispielsweise mög ^¬ lichst automatisiert Maßnahmen durchführt, um den ordnungsge ^¬ mäßen und/oder gesicherten Betrieb der Anlage zu gewährleisten . Figur 2 zeigt Verfahrensschritte des erfindungsgemäßen Ver ^¬ fahrens 200 zur Überwachung einer Zertifizierungsstelle 130,

131, welche digitale Zertifikate für Geräte 104,105 aus ^¬ stellt. Das Verfahren weist einen Verfahrensschritt 201 zum Festlegen von mindestens einer Richtlinie für eine Vergabe von digitalen Zertifikaten durch die Zertifizierungsstelle 130,131 auf. Weiter weist das Verfahren einen Verfahrens ^¬ schritt 202 zum Festlegen von mindestens einem Überwachungs ^¬ kriterium für eine Überwachungsvorrichtung 120, 121 basierend auf der mindestens einen Richtlinie für die Zertifizierungs- stelle auf. In einem Verfahrensschritt 203 werden Informatio ^¬ nen über die von der Zertifizierungsstelle 130, 131 ausge ^¬ stellten digitalen Zertifikate und/oder über die Geräte 104, 105 mit einem digitalen Zertifikat durch die Überwachungsvorrichtung erfasst. In einem weiteren Verfahrensschritt 204 werden die erfassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums analysiert. Wird ein Überwachungskriterium verletzt, wird in einem weiteren Verfahrensschritt 205 ein Signal bereitstellt. Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200 werden die Informationen, welche bei der Verletzung des mindestens einen Überwachungskriteriums gewonnen werden, automatisiert an eine gerätebezogene Datenbank über ^¬ mittelt .

Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, wird die mindestens eine Zertifizierungsstel ^¬ le 130, 131 innerhalb eines Teilbereichs einer Anlage ange- ordnet. Die jeweils mindestens eine Zertifizierungsstelle stellt dabei digitale Zertifikate für Geräte 104, 105 inner ^¬ halb dieses Teilbereichs der Anlage bereit. Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, wird das Erfassen von Informationen über die von der Zertifizierungsstelle 130, 131 ausgestellten digita ^¬ len Zertifikate innerhalb des Teilbereichs der Anlage durch ^¬ geführt und das Analysieren der Informationen wird innerhalb oder außerhalb des Teilbereichs durchgeführt.

Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, erzeugt das Signal eine Alarmmeldung und/oder das Signal widerruft ein der Zertifizierungsstelle 130, 131 zugeordnetes digitales Zertifikat und/oder widerruft ein durch die Zertifizierungsstelle 130, 131 ausgestelltes digi ^¬ tales Zertifikat.

Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, legt die mindestens eine Richtlinie fest, ob ein ausgegebenes digitales Zertifikat für Geräte 104, 105 an einem bestimmten Ort und/oder für bestimmte Gerätetypen und/oder für Geräte 104, 105 für bestimmte Verwendungszwecke beschränkt ist und/oder eine bestimmte Gültigkeitsdauer ver- wendbar ist und/oder eine Anzahl von ausgestellten digitalen Zertifikaten beschränkt ist. Es ist auch denkbar, dass die mindestens eine Richtlinie die im Zertifikat anzuwendenden kryptographischen Parameter von im ausgestellten Zertifikat enthaltenen Schlüsseln vorgibt.

Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, ist das mindestens eine Überwachungskriterium der vorgegebene Ort des Geräts 104, 105 und/oder der bestimm ^¬ te Gerätetyp und/oder der bestimmte Verwendungszweck des Ge- räts 104, 105 und/oder die bestimmte Gültigkeitsdauer des ausgestellten Zertifikats und/oder die Anzahl der ausgestellten digitalen Zertifikaten, die durch die mindestens eine Richtlinie definiert werden. Die Überwachungskriterien können aber auch die vorgegebenen kryptographischen Parameter von beglaubigten Schlüsseln sein, die durch die mindestens eine Richtlinie definiert werden. So können z.B. kryptographische Algorithmen (z.B. RSA, DSA, EC-DAS), Schlüssellängen (z.B. 2048 Bit RSA, 256 Bit ECC, 128 Bit AES) und kryptographische Parameter (z.B. zu verwendende ECC-Kurvenparameter) für die Überprüfung vorgegeben werden.

Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, werden Informationen über die Geräte 104, 105 erfasst, in dem die Geräte 104, 105 selbst diese Information an die Überwachungsvorrichtung 120, 121 übertragen und/oder Gerätesuchmaschinen verwenden, um die Geräte 104, 105 zu identifizieren und die Geräteinformationen abzurufen. Es kön- nen auch Nachrichten zwischen der Zertifizierungsstelle 130, 131 und Geräten 104, 105 und/oder zwischen einem Gerät 104 und mindestens einem weiteren Gerät 105 mitgehört werden, um die Informationen über die Geräte 104, 105 bzw. durch die Zertifizierungsstelle 130, 131 zu erfassen.

Gemäß bevorzugten Ausführungsbeispielen des erfindungsgemäßen Verfahrens 200, können beim Verletzen eines Überwachungskriteriums, beispielsweise als Reaktion auf das breitgestellte Signal, auch Sicherheitsmaßnahmen durchgeführt werden. Dies kann beispielsweise ein Neustarten eines Gerätes 104, 105 sein oder ein Gerät 104, 105 wird in einen abgesicherten Modus gebracht.

Figur 3 zeigt ein Ausführungsbeispiel einer erfindungsgemäßen Überwachungsvorrichtung 120. Die Überwachungseinrichtung 120 weist eine Festlegeeinrichtung 301, eine Erfassungseinrichtung 302, Analyseeinrichtung 303 und Bereitstellungseinrichtung 304 auf. Die Überwachungsvorrichtung 120 kann beispielsweise derart angeordnet sein, dass sich diese in einem Teil- bereich einer Anlage befindet.

Die Festlegeeinrichtung 301 ist derart ausgelegt, dass min ^¬ destens ein Überwachungskriterium für die Überwachungsvor- richtung 120 basierend auf mindestens einer Richtlinie der Zertifizierungsstelle festgelegen werden kann. Die Erfas ^¬ sungseinrichtung 302 ist derart ausgelegt, dass Informationen über von der Zertifizierungsstelle ausgestellte digitale Zer- tifikate und/oder über die Geräte mit einem digitalen Zerti ^¬ fikat erfasst werden können.

Die Analyseeinrichtung 303 ist derart ausgelegt, dass die er- fassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums analysiert werden können. Die Bereits ^¬ tellungseinrichtung 404 ist derart ausgelegt, dass ein Signal bei einem Verletzen eines Überwachungskriteriums bereitge ^¬ stellt werden kann. Gemäß bevorzugten Ausführungsbeispielen weist die Überwachungsvorrichtung 120 weiter eine Eingabeeinrichtung auf, wobei die Eingabeeinrichtung die Informationen, welche bei der Verletzung des mindestens einen Überwachungskriteriums gewon ^¬ nen werden, automatisiert an eine gerätebezogene Datenbank übermittelt.

Gemäß bevorzugten Ausführungsbeispielen legt beispielsweise die Richtlinie fest, ob ein ausgegebenes digitales Zertifikat für Geräte 104, 105 an einem bestimmten Ort und/oder für be- stimmte Gerätetypen und/oder für Geräte 104, 105 für bestimmte Verwendungszwecke beschränkt ist und/oder für eine be ^¬ stimmte Gültigkeitsdauer verwendbar ist und/oder auf eine Anzahl von ausgestellten digitalen Zertifikaten beschränkt ist. Beispielsweise lässt sich der Verwendungszweck einfach mit- tels Erweiterungen bzw. „Extensions" des digitalen Zertifi ^¬ kats präzisieren bzw. festlegen.

Es ist beispielsweise auch denkbar, dass die mindestens eine Richtlinie die im Zertifikat anzuwendenden kryptographischen Parameter vorgibt, wobei diese Parameter beispielsweise die Länge der im ausgestellten Zertifikat enthaltenen Schlüssel oder ECC-Kurvenparameter sind. Diese beispielhaften Richtli- nien erlauben es den Einsatzbereich einer Zertifizierungsstelle 130 genau festzulegen.

Gemäß bevorzugten Ausführungsbeispielen legt das mindestens eine Überwachungskriterium beispielsweise den vorgegebene Ort des Geräts 104, 105 und/oder den bestimmte Gerätetyp und/oder den bestimmte Verwendungszweck des Geräts 104, 105 und/oder die bestimmte Gültigkeitsdauer des ausgestellten Zertifikats und/oder die Anzahl der ausgestellten digitalen Zertifikate, die durch die mindestens eine Richtlinie definiert ist, fest. Beispielsweise kann das mindestens eine Überwachungskriterium auch auf den vorgegebenen kryptographischen Parameter von beglaubigten Schlüsseln basieren, die durch die mindestens eine Richtlinie definiert werden.

Gemäß bevorzugten Ausführungsbeispielen werden Informationen durch die Erfassungseinrichtung 302 beispielsweise dadurch erfasst, in dem eine Netzwerkkomponente, beispielsweise ein Gateway oder ein Proxy, die Nachrichten mithört und diese der Überwachungsvorrichtung 120 zur Verfügung stellt. Auch können die erfassten Informationen beispielsweise über die Geräte durch die Geräte selbst an die Überwachungseinrichtung 120 übertragen werden und/oder Gerätesuchmaschinen verwendet werden, um die Geräte zu identifizieren und die Geräteinformati- onen abzurufen. Es kann das Erfassen mittels beispielsweise eines Netzwerksniffers erfolgt, ohne aktiv Geräte abzufragen oder Protokolle der Zertifizierungsstelle 130 auszuwerten. Es können sich die Geräte 104, 105 auch regelmäßig bei einem Herstellerservice oder einem Service des Anlagenbertreibers melden, um die Informationen zu übertragen. Die entsprechende Adresse bzw. URL kann beispielsweise im dem digitalen Zerti ^¬ fikat enthalten sein.

Auch können sich die Geräte 104, 105 insbesondere dann beim Anlagenbetreiber regelmäßig melden und ihre Informationen bereitstellen, wenn dieser die Zertifizierungsstelle 130, 131 nicht selbst betreibt und mit Hilfe der Überwachungsvorrich ^¬ tung 120, 121 die von einem Dritten betriebene Zertifizie- rungsstelle 130, 131 überwachen möchte. In einem solchen Fall würde die Adresse bzw. URL des Betreibers auf den Geräten 104, 105, beispielsweise mit Hilfe von einem Diagnosesystem, eingerichtet werden. Es können dabei alle Zertifikate des Ge- rätes 104, 105 bereitgestellt werden. Dies hat den Vorteil, dass alle Gerätezertifikate in die Überwachung einbezogen werden, nicht nur das Zertifikat, das für den geschützten Zugang zum Diagnosesystem verwendet wird. Insbesondere wird hierbei der komplette Zertifizierungspfad, einschließlich des Root-Zertifikates der lokalen Zertifizierungsstelle 130, 131 übermittelt. Dies ermöglicht der Überwachungsvorrichtung 120, 121 zu überprüfen, ob die Zertifizierungsstelle 130, 131 tat ^¬ sächlich Zertifikate entsprechend der vorgegeben Richtlinien ausstellt .

Auch kann die Güte der beglaubigten Schlüssel analysiert werden und bei einem Erkennen einer Verwendung von schwachen Schlüsseln die kryptographischen Parameter angepasst werden. Mit der Überwachungsvorrichtung 120, 121 lassen sich auch der Nachbau von Originalgeräten bzw. Geräte-Klone erkennen. Dazu werden die Gerätezertifikate eines Herstellers inventari ^¬ siert. Es wird dann geprüft, ob ein Zertifikat mehrfach von unterschiedlichen Geräten verwendet wird, was einen unzulässigen Geräte-Klone anzeigt, oder ob Zertifikate auftauchen, die nicht vom Hersteller erzeugt wurden, was einen unzulässi ^¬ gen Nachbau eines Gerätes anzeigt.

Auch kann mittels der Überwachungsvorrichtung 120, 121 ein „Domain Certificate Pinning" erfolgen: Dabei wird ermittelt, in welcher Netzwerkumgebung, beispielsweise IP-Adressbereich, ein Gerätezertifikat verwendet wird. Wenn das Gerät 104, 105 kein Mobilgerät ist, sondern für eine feste, stationäre Nut ^¬ zung gedacht ist, kann unter Verwendung des digitalen Zertifikats geprüft werden, ob das Gerät in einem anderen als dem erwarteten bzw. zulässigen Netzwerk auftaucht. Werden der Überwachungsvorrichtung 120, 121 die Konfigurations- bzw. Engineeringdaten der Anlage übermittelt, kann zusätzlich ge- prüft werden, ob der Verbindungsaufbau zwischen den vorgege ^¬ benen Systemen erfolgt.

Figur 4 zeigt ein weiteres Ausführungsbeispiel der erfin- dungsgemäßen Überwachungsvorrichtung 121. Die Überwachungseinrichtung 121 weist eine Festlegeeinrichtung 401, eine Erfassungseinrichtung 402, Analyseeinrichtung 403 und Bereitstellungseinrichtung 404 auf. Die Festlegeeinrichtung 401, die Erfassungseinrichtung 402, die Analyseeinrichtung 403 und die Bereitstellungseinrichtung 404, entsprechen jeweils den korrespondierenden Einrichtungen 301, 302, 303, 304 der vorhergehenden Ausführungsform der Überwachungsvorrichtung 120.

Gemäß bevorzugten Ausführungsbeispielen ist die Festlegeein- richtung 401 derart ausgelegt, dass mindestens ein Überwa ^¬ chungskriterium für die Überwachungsvorrichtung 120 basierend auf mindestens einer Richtlinie der Zertifizierungsstelle festgelegen werden kann. Die Erfassungseinrichtung 402 ist derart ausgelegt, dass Informationen über von der Zertifizie- rungsstelle 130, 131 ausgestellte digitale Zertifikate und/oder über die Geräte 104, 105 mit einem digitalen Zertifikat erfasst werden können

Die Analyseeinrichtung 403 ist derart ausgelegt, dass die er- fassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums analysiert werden können.

In diesem Ausführungsbeispiel ist die Analyseeinrichtung 403 im Gegensatz zu dem in Figur 3 dargestellten Ausführungsbei- spiel der Überwachungseinrichtung 120 als physisch separate

Einheit der Überwachungsvorrichtung 121 ausgebildet. Die Analyseeinrichtung 403 befindet sich hierbei außerhalb eines ersten Teilbereichs 406 einer Anlage, in einem weiteren Teil ^¬ bereich 407 der Anlage oder dem weiteren Teilbereich 407 ei- ner weiteren Anlage. Die Analyseeinrichtung 403 ist dabei über ein weiteres Netzwerk 405, beispielsweise ein „Wide Area Network", mit der Überwachungsvorrichtung 121 bzw. deren anderen Komponenten 401, 402, 404 verbunden. Weiter ist die Be- reitstellungseinrichtung 304, 404 derart ausgelegt, dass ein Signal bei einem Verletzen eines Überwachungskriteriums be ^¬ reitgestellt werden kann. Es kann die Breitstellungseinrichtung, ähnlich der Analyseeinrichtung, außerhalb des ersten Teilbereichs der Anlage, in dem weiteren Teilbereich der Anlage oder dem weiteren Teilbereich der weiteren Anlage angeordnet sein (ist nicht darge ^¬ stellt) . Damit ließe sich beispielsweise eine zentrale Analy- seeinrichtung 404 realisieren, welche die erfassten Informationen von mehreren Erfassungseinrichtungen auswertet und entweder eine zentralen Bereitstellungseinrichtung, welche mehrere Zertifizierungsstellen 130 versorgt, oder lokale Be ^¬ reitstellungseinrichtungen 404 benachrichtigt, die jeweils nur einer Zertifizierungsstelle 130 bzw. deren Versorgungsbe ^¬ reich zugeteilt sind.

Figur 5 zeigt ein Ausführungsbeispiel der erfindungsgemäßen Zertifizierungsstelle 130, wobei sich die Zertifizierungs- stelle 130 innerhalb eines Teilbereichs einer Anlage befindet und ausschließlich für diesen Teilbereich der Anlage digitale Zertifikate bereitstellt. Die Zertifizierungsstelle 130 weist eine Anfrageverarbeitungseinrichtung 501, eine Verwaltungseinrichtung 502, eine Festlegeeinrichtung 503, einen wenig geschützter Datenspeicher 504 und eine Verteilungseinrichtung 505 auf. Unter einem ungeschützten bzw. wenig geschützten Datenspeicher 504 ist zu verstehen, dass dieser zum Schutz vor Manipulation beispielsweise nicht mit aufwändigen und damit teuren personellen, physikalischen und/oder organisatorischen Sicherheitsmaßnahmen geschützt ist. Stattdessen können beispielsweise handelsübliche kostengünstige Rechnersysteme ver ^¬ wendet werden. Die Zertifizierungsstelle 130 selbst kann bei ^¬ spielsweise über ein Netzwerk 506 mit einer Vielzahl von Geräten verbunden sein, die Anfragen bezüglich digitaler Zerti- fikate an die Zertifizierungsstelle 130 stellen.

Gemäß bevorzugten Ausführungsbeispielen ist die Festlegeeinrichtung 503 derart ausgelegt, mindestens eine Richtlinie für die Zertifizierungsstelle 120 festzulegen. Die Anfrageverar ^¬ beitungseinrichtung 501 ist derart ausgelegt, Anfragen für digitale Zertifikate zu empfangen und an die Verwaltungsein ^¬ richtung 502 bzw. an die Verteilungseinrichtung 505 weiterzu- leiten. Die Verteilungseinrichtung 505 erteilt mittels der Verwaltungseinrichtung 502 ein digitales Zertifikat nach den vorgegebenen Richtlinien. Die Verwaltungseinrichtung 502 ist derart ausgelegt, dass sie Verwaltungsinformationen, welche die Verwaltung der digitalen Zertifikate betreffen, in einen wenig geschützten Speicher 504 ablegen. Es ist auch denkbar, dass beispielsweise die anderen Komponenten 501, 503, 505 diesen wenig geschützten Speicher 504 ebenfalls nutzen.

Figur 6 zeigt ein weiteres Ausführungsbeispiel der erfin- dungsgemäßen Zertifizierungsstelle 131, wobei sich die Zerti ^¬ fizierungsstelle 131 innerhalb eines Teilbereichs einer Anla ^¬ ge befindet und ausschließlich für diesen Teilbereich der Anlage digitale Zertifikate bereitstellt. Die Zertifizierungs ^¬ stelle 131 umfasst eine Anfrageverarbeitungseinrichtung 601, eine Verwaltungseinrichtung 602, eine Festlegeeinrichtung 603, einen wenig geschützter Speicher 604 und eine Verteilungseinrichtung 605. Die Anfrageverarbeitungseinrichtung 601, die Verwaltungseinrichtung 602, die Festlegeeinrichtung 603, der wenig geschützter Speicher 604 und die Verteilungs- einrichtung 605, entsprechen jeweils den korrespondierenden Einrichtungen 501, 502, 503, 504 und 505, der vorhergehenden Ausführungsform der Zertifizierungsstelle 130. Unter einem ungeschützten bzw. wenig geschützten Datenspeicher 604 ist zu verstehen, dass dieser zum Schutz vor Manipulation beispiels- weise nicht mit aufwändigen und damit teuren personellen, physikalischen und/oder organisatorischen Sicherheitsmaßnahmen geschützt ist. Stattdessen können beispielsweise handels ^¬ übliche kostengünstige Rechnersysteme verwendet werden. Darü ^¬ ber hinaus weist die Zertifizierungsstelle 131 eine erfin- dungsgemäße Überwachungsvorrichtung 120, 121 auf. Die Zerti ^¬ fizierungsstelle 131 kann beispielsweise über ein Netzwerk 606 mit einer Vielzahl von Geräten verbunden sein, die Anfra- gen bezüglich digitaler Zertifikate an die Zertifizierungs ^¬ stelle 131 stellen.

Gemäß bevorzugten Ausführungsbeispielen ist die Festlegeein- richtung 603 derart ausgelegt, mindestens eine Richtlinie für die Zertifizierungsstelle 131 festzulegen. Die Anfrageverar ^¬ beitungseinrichtung 601 ist derart ausgelegt, Anfragen für digitale Zertifikate zu empfangen und an die Verwaltungsein ^¬ richtung 602 bzw. an die Verteilungseinrichtung 605 weiterzu- leiten. Die Verteilungseinrichtung 605 verteilt mittels der Verwaltungseinrichtung 602 ein digitales Zertifikat nach den vorgegebenen Richtlinien. Bevor jedoch ein digitales Zertifikat an ein anfragendes Gerät verteilt wird, wird eine zusätz ^¬ liche Prüfung mittels der Überwachungsvorrichtung 120, 121 durchgeführt und bei einem Verletzen eines Überwachungskrite ^¬ riums, das digitale Zertifikat und/oder die Verteilung des digitalen Zertifikats verhindert. Die Verwaltungseinrichtung 602 ist derart ausgelegt, dass sie Verwaltungsinformationen, welche die Verwaltung der digitalen Zertifikate betreffen, in einen wenig geschützten Speicher 604 ablegen. Es ist auch denkbar, dass beispielsweise die anderen Komponenten 601, 603, 605 diesen wenig geschützten Speicher 604 ebenfalls nutzen . Obwohl die Erfindung im Detail durch die bevorzugten Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht auf die offenbarten Beispiele be ^¬ schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.