Verfahren zum sicheren Betreiben eines industriellen Automa tisierungsgeräts in einem Automatisierungssystem und ein Au tomatisierungsgerät, ein Inbetriebnahmegerät sowie eine Re gistrierungsstelle

Die Erfindung betrifft ein Verfahren zum sicheren Betreiben eines industriellen Automatisierungsgeräts in einem Automati sierungssystem. Die Erfindung betrifft weiterhin ein Automa tisierungsgerät, ein Inbetriebnahmegerät sowie eine Regist rierungsstelle .

Mit steigenden Sicherheitsanforderungen an industrielle Auto matisierungsgeräte und -Systeme, wird eine einfache sichere Inbetriebnahme für einen sicheren Betrieb zunehmend wichti ger. Sicherheit ist nicht im Sinne von „Safety", sondern im Sinne von „Security" bzw. „Cybersecurity" zu verstehen.

Insbesondere die initiale Verteilung von operativen digitalen Zertifikaten ist für eine Bereitstellung einer vertrauenswür digen und sicheren Kommunikation im industriellen Umfeld wichtig. Operativ ist das Zertifikat, das dem Automatisie rungsgerät für den Betrieb in der Automatisierungsumgebung am Einsatzort des Automatisierungsgeräts zur Verfügung gestellt wird. Mit einem operativen Schlüssel-Zertifikat bestätigt ei ne vertrauenswürdige Instanz, dass ein öffentlicher krypto- graphischer Schlüssel zu einer bestimmten Identität in der Automatisierungsanlage gehört. Dies ermöglicht allen Kommuni kationspartnern einer Komponente, beispielsweise die Authen tizität ihrer digitalen Signaturen festzustellen.

Das Erstellen, Verwalten und Warten derartiger operativer Zertifikate für hunderte Automatisierungsgeräte in einer ein zigen Automatisierungsanlage gestaltet sich sehr aufwendig. Auch das Bereitstellen einer vertrauenswürdigen Installati onskette ist wichtig. Die EP 2 333 624 Al offenbart ein Verfahren zur Konfigurie rung einer Komponente in einer industriellen Automatisie rungsanordnung, wobei der Komponente ein Profil mit Konfigu rationsdaten zugewiesen wird, und wobei in einem ersten

Schritt eine die Komponente betreffende Authentifizierungsin- formation von der Komponente zu einer Konfigurierungseinrich tung gesendet wird. Dabei wird in einem zweiten Schritt von der Konfigurierungseinrichtung anhand der Authentifizierungs- information ein Profil für die Komponente ausgewählt oder er stellt wonach in einem dritten Schritt von der Konfigurie rungseinrichtung das Profil zu der Komponente übertragen und die Konfigurierungsdaten diesen Profils auf die Komponente angewendet werden. Dadurch ist eine einfache und flexible Konfigurierung der Komponenten möglich.

Die DE 10 2014 225 418 Al offenbart ein Verfahren zur Überwa chung einer Zertifizierungsstelle, welche digitale Zertifika te für Geräte ausstellt, wobei das Verfahren nachfolgende Verfahrensschritte umfasst: einen Verfahrensschritt zum Fest legen von mindestens einer Richtlinie für eine Vergabe von digitalen Zertifikaten durch die Zertifizierungsstelle, einen Verfahrensschritt zum Festlegen von mindestens einem Überwa chungskriterium für eine Überwachungsvorrichtung basierend auf der mindestens einen Richtlinie für die Zertifizierungs stelle, einen Verfahrensschritt zum Erfassen von Informatio nen über die von der Zertifizierungsstelle ausgestellten di gitalen Zertifikate und/oder über die Geräte mit einem digi talen Zertifikat durch die Überwachungsvorrichtung, einen Verfahrensschritt zum Analysieren der erfassten Informationen unter Verwendung des mindestens einen Überwachungskriteriums, einen Verfahrensschritt zum Bereitstellen eines Signals bei einem Verletzen eines Überwachungskriteriums.

Die EP 3 287 925 Al offenbart eine Computervorrichtung zum Übertragen eines Zertifikats auf ein Gerät in einer Anlage, aufweisend: eine Kopplungseinheit zum Aufbauen und Trennen einer Verbindung zwischen der Computervorrichtung und dem Ge rät; eine Verarbeitungseinheit zum Übertragen eines Zertifi- kats auf das Gerät über die aufgebaute Verbindung, wobei das Zertifikat für einen ersten Zeitraum gültig ist und von einer Zertifizierungsstelle basierend auf einer Zertifikatsanfrage ausgestellt ist; und eine Empfangseinheit zum Empfangen einer weiteren Zertifikatsanfrage von dem Gerät über die aufgebaute Verbindung auf, wobei die weitere Zertifikatsanfrage dazu eingerichtet ist, ein Zertifikat für einen zweiten Zeitraum anzufordern, wobei die Kopplungseinheit dazu eingerichtet ist, die Verbindung nach dem Übertragen des Zertifikats und dem Empfangen der weiteren Zertifikatsanfrage zu trennen.

Es ist Aufgabe der vorliegenden Erfindung ein Verfahren zur Verfügung zu stellen, dass es vereinfacht, ein operatives Zertifikat zum sicheren Betreiben eines industriellen Automa tisierungsgeräts zur Verfügung zu stellen. Es ist weiter Auf gabe der Erfindung ein Inbetriebnahmegerät zur Durchführung des Verfahrens und/oder zur Teilnahme am Verfahren anzugeben. Ferner ist es Aufgabe eine Registrierungsstelle zur Durchfüh rung des Verfahrens und/oder zur Teilnahme am Verfahren anzu geben .

Die Aufgabe wird dabei durch die Merkmale des Anspruchs 1 ge löst. Das Bereitstellen eines operativen Zertifikats für das Automatisierungsgerät erfolgt dabei basierend auf zumindest einer dem Automatisierungsgerät zugeordneten ersten Kennung und zumindest einer einem Einbauort zugeordneten zweiten Ken nung .

Das Verfahren zum sicheren Betreiben eines industriellen Au tomatisierungsgerätes in einem Automatisierungssystem umfasst dabei sowohl die Inbetriebnahme des industriellen Automati sierungsgeräts mit einem neuen operativen Zertifikat als auch das Neuausstellen von Zertifikaten im laufenden Betrieb nach Gerätetausch. Auch die Erneuerung von bereits abgelaufenen oder zurückgerufenen Zertifikaten kann mit dem erfindungsge mäßen Verfahren durchgeführt werden. Zertifikate werden bei spielsweise dann zurückgerufen wenn eine CA kompromittiert wurde . Ein operatives Zertifikat für das Automatisierungsgerät wird basierend auf zumindest einer im Automatisierungsgerät zuge ordneten ersten Kennung und zumindest einer einem Einbauort zugeordneten zweiten Kennung bereitgestellt. Bereitstellen kann bspw. bedeuten, dass das operative Zertifikat direkt nach dem Ausstellen auf das Automatisierungsgerät geladen wird. Alternativ oder ergänzend kann das operative Zertifikat an einer zentralen Stelle zum Abruf durch das Automatisie rungsgerät oder ein Inbetriebnahmegerät zur Verfügung ge stellt werden.

Das operative Zertifikat verknüpft dabei die Funktion das Au tomatisierungsgeräts, die es gemäß einer Auslegung der in dustriellen Anlage des Automatisierungssystems innehaben soll, mit einem physikalischen Endgerät, das letztendlich in dieser Funktion an dem Einbauort in Betrieb genommen und dort betrieben werden soll. Das operative Zertifikat dient dabei zur Authentifizierung des Automatisierungsgeräts und/oder zur Verschlüsselung der Kommunikation mit und vom Automatisie rungsgerät. Dies dient dazu, bei der Inbetriebnahme eine nachvollziehbare Basis für die Identität des Einbauortes bzw. der Funktion und des letztendlich verwendeten Automatisie rungsgerätes zu bilden. Die dem Automatisierungsgerät zuge ordnete erste Kennung kann dabei eine Seriennummer sein. Die erste Kennung kann dabei auch ein allgemeiner Gerätetyp sein, wenn in einem Automatisierungssystem mehrfach derselbe unter einander identische Gerätetyp verwendet wird. Sobald das ope rative Zertifikat auf dem Automatisierungsgerät vorhanden ist, ist es eindeutig identifizierbar und es kann sich gegen über anderen Kommunikationsteilnehmern authentisieren bzw. authentifiziert werden. Mit dem bereitgestellten operativen Zertifikat kann das Automatisierungsgerät sicher betrieben werden. Das Automatisierungsgerät kann dabei zur Teilnahme an einer PKI Infrastruktur im Automatisierungssystem mittels des bereitgestellten operativen Zertifikats ausgebildet sein. Die dem Einbauort zugeordnete zweite Kennung bestimmt letzt endlich die Funktion, die das Automatisierungsgerät im Auto matisierungssystem einnehmen soll. Die zweite Kennung ist da bei eine Bezeichnung, auch operative ID genannt, die das Au tomatisierungsgerät im Automatisierungssystem trägt oder die zweite Kennung ist eindeutig einer Bezeichnung des Automati sierungsgeräts zuordenbar. Dies kann durch eine, insbesondere maschinenlesbare, Kennzeichnung von Orten im Automatisie rungssystem durchgeführt werden. Beispielsweise kann sich da bei um den Controller Nr. Al in einem Gebäude Nr. Bl, Raum RI handeln. Eine Kennzeichnung könnte dann Cl-Bl-Rl lauten. Der artige Zuordnungen eines Endgeräts zu einem Einbauort, an dem das Gerät verbaut und betrieben werden soll, können in Engi neering Systemen im Vorfeld vorgenommen, getestet und simu liert werden.

In einer weiteren Ausführungsform umfasst das Verfahren das Bestimmen zumindest einer dem Automatisierungsgerät zugeord neten ersten Kennung, insbesondere vor Ort im Automatisie rungssystem am Einbauort. Ergänzend oder alternativ umfasst das Verfahren das Bestimmen zumindest einer dem Einbauort zu geordneten zweiten Kennung, insbesondere vor Ort im Automati sierungssystem am Einbauort. Das Bestimmen kann dabei einem Identifizieren der entsprechenden Datensätze entsprechen. Weiterhin kann das Bestimmen mittels einer Kamera, anhand des aktuell lokal verbundenen Geräts, anhand optischer Merkmale in der Fertigungsanlage, wie beispielsweise Kennzeichnungen von Säulen, anhand von NFC-Tags die zur Positionierung ver teilt sind, anhand von Indoor-Navigation, oder anhand von Netzwerk-Accesspoints geschehen. Kombinationen der genannten Arten des Bestimmens sind problemlos möglich und flexibel an den Einsatzbereich anpassbar.

In einer weiteren Ausführungsform wird eine Aufzeichnung der ersten Kennung und/oder der zweiten Kennung bestimmt. Dies geschieht insbesondere vor Ort am Automatisierungsgerät. D.h. vor Ort am Automatisierungsgerät, das bereits an seinem End verbleib im Automatisierungssystem angebracht wurde. Vor Ort kann insbesondere am Einbauort des Automatisierungsgeräts be deuten. Die Aufzeichnung dient dabei dazu, die erste Kennung und die zweite Kennung miteinander zu verknüpfen. So kann später nachgewiesen werden, dass tatsächlich das Automatisie rungsgerät mit der ersten Kennung an einem Einbauort mit der zweiten Kennung angebracht und in Betrieb genommen wurde bzw. sich bei einer Erneuerung eines abgelaufenen oder zurückgeru fenen operativen Zertifikats weiterhin dort befindet. Beson ders von Vorteil ist es, wenn die erste und die zweite Ken nung durch ein Inbetriebnahmegerät mittels eines Fotos aufge zeichnet/aufgenommen werden. Ebenso denkbar ist es, dass ein Inbetriebnahmegerät eine lokale kabellose oder kabelgebundene Verbindung zum Automatisierungsgerät aufbaut, beispielsweise eine Bluetooth-, NFC- oder eine ad hoc WLAN-Verbindung . Über diese lokale Verbindung kann direkt die erste Kennung aus dem Automatisierungsgerät ausgelesen werden und die Aufnahme vom Einbauort direkt mit der ersten Kennung verknüpft werden. Diese Verknüpfung kann zur Absicherung mit einem kryptogra- phischen Verfahren signiert oder sogar verschlüsselt werden. Auch kryptographische Hash-Verfahren bieten sich hier an.

In einer besonders vorteilhaften Weiterbildung wird eine Zer tifikatsanfrage ausgegeben, die auf zumindest einen Teil der Aufzeichnung basiert. Ausgeben kann dabei umfassen, dass nachdem die dem Automatisierungsgerät zugeordnete erste Ken nung und die dem Einbauort zugeordnete zweite Kennung aus der Aufzeichnung extrahiert werden und auf Basis von diesen In formationen eine Zertifikatsanfrage neu generiert wird, diese über ein vorhandenes Kommunikationssystem ausgegeben wird, z.B. an eine lokale Registrierungsstelle zur weiteren Verar beitung gesandt wird.

Ausgeben kann dabei weiterhin umfassen, dass eine bereits be stehende Zertifikatsanfrage (z.B. eine bereits auf Basis von Daten des Automatisierungssystems befüllte Vorlage) auf Basis der aus der Aufzeichnung extrahierten Informationen validiert wird. Ausgeben kann dabei ergänzend oder alternativ umfassen, dass eine bestehende Zertifikatsanfrage angepasst wird. Dies kann jeweils unter Einbeziehung einer lokalen Registrierungs stelle geschehen.

In weiteren Schritten kann die Zertifikatsanfrage an eine Zertifizierungsstelle, im englischen auch CA „Certification Authority" gesendet werden. Die Zertifizierungsstelle oder eine Registrierungsstelle kann dabei die Zertifikatsanfrage ebenso von sich aus anfordern. Die Zertifikatsanfrage kann z.B. als ein certificate signing request (CSR) nach einem der PKCS Standards der RSA Laboratories oder eine certificate re quest message (CRM) gemäß Standard CRMF (RFC 4211) ausgebil det sein.

Es ist denkbar, dass die Zertifikatsanfrage in ein Paket/Te legramm gepackt wird und mit weiteren Informationen ergänzt wird. Zu den weiteren Informationen zählen bspw. die Auf zeichnung oder daraus extrahierte Informationen wie eine Se riennummer und eine Kennung eines Einbauorts.

Die Zertifikatsanfrage kann dabei vom Automatisierungsgerät selbst ausgegeben werden, dies kann direkt mit bestehender Kommunikationsverbindung initiiert werden oder vom Inbetrieb nahmegerät initiiert werden, wenn z.B. eine Aufzeichnung er stellt wurde und somit die notwendigen Daten vorhanden sind.

Weiterhin kann zum Bereitstellen des operativen Zertifikats die Aufzeichnung von einer lokalen Registrierungsstelle, auch „local registration authority" LRA, ausgewertet werden. Die lokale Registrierungsstelle kann dabei beispielsweise dazu ausgebildet sein, eine erste Kennung und/oder eine zweite Kennung aus der Aufzeichnung zu extrahieren und eine Zertifi katsanfrage zu stellen oder zu ergänzen. Dies kann je nach Bestandteilen der Aufzeichnung mittels Auslesen aus den Vor handenen Daten (wenn die Seriennummer Teil eines Herstel lerzertifikats ist) geschehen. Auch Bildverarbeitungssysteme, die zur Extraktion der ersten und/oder der zweiten Kennung ausgebildet sind, können zum Einsatz kommen. In einer bevorzugten Ausführungsform wird die Aufzeichnung durch ein Inbetriebnahmegerät aufgenommen und/oder die Auf zeichnung durch ein Inbetriebnahmegerät initiiert. Es ist da bei denkbar, dass das Inbetriebnahmegerät selbst die Auf zeichnung erstellt. Dies kann z.B. mittels einer Kamera, die optische Erkennungsmerkmale aufzeichnet und die anschließend ausgewertet werden, durchgeführt werden. Alternativ oder er gänzend können auch weitere Sensordaten, die einen Einbauort indizieren, verwendet werden. Es kann eine entsprechende Funktion in dem Automatisierungsgerät aufgerufen werden, dass dementsprechend selbst zumindest Teile einer Aufzeichnung von der ersten und/oder zweiten Kennung erstellt.

In Fällen, in denen das Automatisierungsgerät bereits ein vom Hersteller zur Verfügung gestelltes Herstellerzertifikat auf weist, kann die erste Kennung auf Basis eines Herstellerzer- tifikats ermittelt werden. Dabei kann die erste Kennung so wohl ein Teil des oder das Herstellerzertifikat selbst sein. Das Herstellerzertifikat umfasst dabei eine eindeutige Iden tifikation hinsichtlich des verwendeten physikalischen Endge räts mit zumindest einem öffentlichen Teil des kryptografi- schem Schlüsselmaterials. Der private Schlüssel des Herstel lerzertifikats kann dazu dienen eine Zertifikatsanfrage zu signieren. Um ein neues Zertifikat zu beantragen kann dieser erneut verwendet werden um einen Originalitätsnachweis zu er bringen, dass zwischenzeitlich das Endgerät nicht ausge tauscht wurde.

In einer weiteren vorteilhaften Ausführungsform wird die Auf zeichnung mit einem Zertifikat eines Inbetriebnahmegeräts o- der einem Herstellerzertifikat des Automatisierungsgeräts au thentifiziert bzw. authentisiert und identitätsgeschützt. Beispielsweise kann die Aufzeichnung mit einem privaten

Schlüssel signiert werden, dessen öffentlicher Schlüssel Teil des Zertifikats ist. Mittels des öffentlichen Schlüssels des Zertifikats kann diese Signatur verifiziert werden. Das Veri fizieren der Signatur kann durch eine lokale Registrierungs stelle durchgeführt werden. Der Vorteil ist, dass so die Auf zeichnung mittels kryptographischer Mechanismen authentifi- ziert werden kann. Dies erhöht die Sicherheit weiter und er schwert Manipulationen im Nachhinein.

In einer weiteren Ausführungsform werden zum Bestimmen der zweiten Kennung Sicherheitsinformationen von bereits instal lierten Automatisierungsgeräten, insbesondere benachbart an geordneten installierten Automatisierungsgeräten, ausgewer tet. Sind bereits Automatisierungsgeräte mit operativen Zer tifikaten versehen worden, so kann anhand dieser Informatio nen der Einbauort eingegrenzt werden oder Einbauorte ausge schlossen werden, für die bereits ein Zertifikat existiert. Die Auswertung kann von einer lokalen Registrierungsstelle durchgeführt werden und einem Inbetriebnahmegerät zur Verfü gung gestellt werden. Dies beschleunigt die Inbetriebnahme und verbessert die Fehlertoleranz des Verfahrens.

In einer besonders sicheren Ausführungsform weist die Auf zeichnung zusätzlich zur ersten Kennung, der zweiten Kennung und gegebenenfalls einer Signatur durch das Herstellerzerti- fikat zusätzlich eine Information über Zeit und/oder Ort der Aufnahme auf. Diese Information kann auch eine gesicherten Zeit- und/oder Ortsinformationen sein und können über ent sprechende Zeitserver oder beispielsweise über einen satelli tengestütztes Navigationssystem, wie z.B. der Public Regula ted Service (PRS) von Galileo, angeboten werden.

In einer weiteren vorteilhaften Ausführungsform kann anhand des operativen Zertifikats eine Konfiguration aus einem Engi neering System auf das Automatisierungsgerät geladen werden. Das Automatisierungsgerät kann sich gegenüber dem Engineering System authentifizieren, wobei aus dem operativen Zertifikat direkt eine dem Automatisierungsgerät und dem Einbauort zuge wiesene operative ID entnehmbar ist. Damit kann das Enginee ring System die Anfrage des physikalischen Automatisierungs geräts einem geplanten Gerät und dessen geplanter Funktiona lität zuordnen. Die Konfigurationsdaten; z.B. ein Steuerungs programm und Parametersätze, können dann dementsprechend be- reitgestellt werden; z.B. über eine Kommunikationsschnitt stelle (z.B. Ethernet, WLAN, Feldbussysteme, ...) .

Die Aufgabe wird weiterhin durch ein Inbetriebnahmegerät ge löst. Das Inbetriebnahmegerät ist dabei zum Initiieren und/oder Bestimmen einer Aufzeichnung von einer einem Automa tisierungsgerät zugeordneten ersten Kennung und zumindest ei ner einem Einbauort zugeordneten zweiten Kennung ausgebildet. Das Inbetriebnahmegerät ist ferner zum Anfordern und/oder Be reitstellen der Aufzeichnung zum Bereitstellen eines operati ven Zertifikats für das Automatisierungsgerät basierend auf zumindest der ersten Kennung und der zweiten Kennung ausge bildet. Dabei ist als Aufzeichnung das Erfassen eines Funk identifizierungsmerkmals oder das Erfassen eines optischen Erkennungsmerkmals vorgesehen. Ein derartiges Inbetriebnah megerät kann mehrere mögliche Ausführungsformen des Verfah rens unterstützen.

Die Registrierungsstelle kann dabei als ein sogenanntes „Edge-Device" ausgebildet sein, also ein Gerät, das die

Schnittstelle zwischen Automatisierungssystem und externem Netzwerk (z.B. Internet) darstellt.

Weiterhin ist ein Automatisierungsgerät aufweisend eine erste Kennung vorgesehen. Die erste Kennung ist vorteilhaft derart ausgebildet, mittels einer Aufzeichnung bestimmt zu werden. Das Automatisierungsgerät ist vorteilhaft derart ausgebildet, ein operatives Zertifikat anzufordern. Das Automatisierungs gerät ist in einer vorteilhaften Ausführungsform dazu ausge bildet an einer PKI Infrastruktur im Automatisierungssystem mittels des operativen Zertifikats teilzunehmen. Das Automa tisierungsgerät weist in einer vorteilhaften Weiterbildung eine Anzeigevorrichtung und/oder eine Ausgabevorrichtung auf, die zur Anzeige und/oder Ausgabe der ersten Kennung und/oder eines Herstellerzertifikats ausgebildet ist. Die Anzeigevor richtung kann dabei als ein Display ausgebildet sein. Es ist ebenso denkbar, dass im Produktionsprozess des Automatisie rungsgeräts bereits Anzeigevorrichtungen eingebracht oder aufgebracht werden. Diese können maschinenlesbar sein, auch über Funk. Die Ausgabevorrichtung kann als Datenport, wie beispielsweise USB, ausgebildet sein.

Im Folgenden wird die Erfindung anhand der in den Figuren dargestellten Ausführungsbeispiele näher beschrieben und er läutert. Es zeigen:

FIG 1 ein Automatisierungsgerät und eine Ausführungsform des Verfahrens,

FIG 2 zwei Automatisierungsgeräte und eine weitere Aus führungsform des Verfahrens,

FIG 3 ein Automatisierungsgerät und eine weitere Ausfüh rungsform des Verfahrens,

FIG 4 ein schematisches Ablaufdiagramm einer Ausführungs form des Verfahrens,

FIG 5 ein zweites schematisches Ablaufdiagramm einer

zweiten Ausführungsform des Verfahrens und

FIG 6 ein mögliches Ablaufdiagramm des Verfahrens.

FIG 1 zeigt ein Automatisierungsgerät Dl in einem industriel len Automatisierungssystem 100, wobei das Automatisierungsge rät Dl an einem Befestigungssystem 120, hier eine Befesti gungsschiene, angebracht ist. Das Befestigungssystem 120 weist eine zweite Kennung OPID auf, in diesem Fall einen op tisch auslesbaren QR-Code. Das Befestigungssystem 120 ist da bei als Einbauort 10 für das Automatisierungsgerät 10 vorge sehen. Die zweite Kennung OPID kann dabei aber auch jedes eindeutig zuordenbare Merkmal des Befestigungssystems 120 o- der des Einbauorts 10 sein. Besonders geeignet sind optisch oder elektronisch auslesbare Kennzeichen, wie Barcodes, NFC- Tags oder auch maschinenlesbarer Text. Das Automatisierungs gerät Dl weist als eine Anzeigevorrichtung DISP ein Display auf, auf dem, z.B. direkt nach dem ersten Anschalten eine erste Kennung DEVID angezeigt wird. Als eine Ausgabevorrich tung weist das Automatisierungsgerät Dl eine Schnittstelle INT auf, über die ebenfalls die erste Kennung DEVID ausgege ben werden kann. Weiterhin ist ein Inbetriebnahmegerät PG gezeigt, dass eine Aufzeichnungsvorrichtung SCAN und ein Display DISP aufweist. Das Inbetriebnahmegerät PG ist dabei als ein mobiles Endgerät ausgebildet und kann dabei als ein Smartphone, ein Tablet, ein industrielle Programmiergerät oder weitere geeignete Ge räte ausgebildet sein. Das Inbetriebnahmegerät PG weist au ßerdem eine drahtlose Schnittstelle WL sowie eine optional eine weitere z.B. drahtgebundene lokale Schnittstelle COM2 auf. Die Schnittstelle COM2 ist zur Anbindung an ein Kommuni kationssystem COM ausgebildet ist, über das auch das Automa tisierungsgerät Dl kommunizieren kann. Dabei kann es sich beispielsweise um einen Ethernet-basierten Industriebus, wie PROFINET, handeln. Über die Kommunikationsverbindung COM könnte auch die erste Kennung DEVID ausgegeben werden, hier muss allerdings sichergestellt sein, dass die ortsbezogene Zuordnung, beispielsweise durch eine direkte Verbindung, oder Kenntnis der konkreten IP Adresse des Automatisierungsgeräts Dl, sichergestellt wird. Weiterhin ist eine lokale Registrie rungsstelle LRA gezeigt, die an das Kommunikationssystem COM angebunden ist. Das Kommunikationssystem COM des Automatisie rungssystems 100 weist außerdem einen Access-Point AP auf, der eine drahtlose Kommunikation mit dem Kommunikationssystem COM ermöglicht. Die aufgezeigten Schnittstellen WL, COM2 sind dabei nur beispielhaft und können bedarfsweise verwendet wer den. In Sonderfällen, beispielsweise in entlegenen Teilen ei ner Fabrikhalle, die noch keine Drahtlosnetzwerke aufweisen, ist sogar ein Durchführen des Verfahrens ohne Kommunikations verbindung (Offline) möglich. Solange das Gerät, von dessen Einbauort und erster Kennung eine Aufzeichnung existiert, nicht ausgetauscht oder versetzt wird kann das Verfahren auch zeitlich versetzt/verzögert durchgeführt werden.

Eine Aufzeichnung SNAP umfasst die erste Kennung DEVID des Automatisierungsgeräts Dl sowie die zweite Kennung OPID des Einbauorts 10. Das Inbetriebnahmegerät PG kann beispielsweise als Aufzeichnungsvorrichtung SCAN einen Scanner aufweisen, der beide CR-Codes in einen gemeinsamen Scan aufnimmt und speichert. Es kann sich bei der Aufzeichnungsvorrichtung SCAN auch um eine Kamera handeln, die beide Kennungen OPID, DEVID gemeinsam aufnimmt. Es ist ebenso denkbar, dass solange das Inbetriebnahmegerät PG über seine drahtlose Schnittstelle PL mit einem dem Einbauort zuordenbaren Access-Point AP verbun den ist, die Kennungen nacheinander eingescannt werden und zu einer Aufzeichnung unter Berücksichtigung des aktuell verbun denen lokalen Access-Points AP miteinander verknüpft werden. So ist später eine Identifikation möglich, dass sich das In betriebnahmegerät auch tatsächlich vor Ort am Einbauort 10 befunden hat. Wird die drahtgebundene lokale Schnittstelle COM2 verwendet, kann diese ebenso als Indiz dafür dienen, dass das Inbetriebnahmegerät bei der Aufnahme der Aufzeich nung SNAP vor Ort am Einbauort 10 war. Je nach Sicherheitsle- vel (z.B. gemäß IEC 62443) können dabei verschiedene Stufen von Information zur Zuordnung des Einbauorts 10 zum konkreten Automatisierungsgerät Dl, also der Kennungen OPID, DEVID un tereinander verwendet werden. Es ist denkbar, dass in Hochsi- cherheitsbereichen ein Automatisierungsgerät Dl mittels meh rerer Aufzeichnungen, die von verschiedenen Geräten und/oder Personen erstellt werden, identifiziert und zugeordnet wird.

Weiterhin ist in FIG 1 beispielhaft eine lokale Registrie rungsstelle LRA (im englischen auch „local registration au- thority") und eine Zertifizierungsstelle CA (im englischen auch certification authority) gezeigt. Bei der lokale Regist rierungsstelle LRA handelt es sich um den technischen und ad ministrativen Prozess zur Erzeugung der digitalen Identität, z.B. des Automatisierungsgeräts Dl. Die Zertifizierungsstelle CA ist für das Erstellen, die Ausgabe, Verwaltung und Sper rung/Zurückziehung von digitalen Zertifikaten zuständig und fungiert innerhalb einer Sicherheitsinfrastruktur als ver trauenswürdige Instanz. Mit einer Zertifikatsanfrage CSR (im englischen auch „certificate signing request") , die durch ein Inbetriebnahmegerät PG oder das Automatisierungsgerät Dl selbst erstellt/bearbeitet werden kann wird der lokale Re gistrierungsstelle LRA signalisiert, dass ein Gerät ein neues operatives Zertifikat OCERT benötigt. Die lokale Registrie- rungsstelle LRA kann eine Prüfung der Zertifikatsanfrage CSR durchführen und sie ggf. mit Informationen zur Identität des Geräts aus dem Automatisierungsnetzwerk oder von übergeordne ten Ebenen, z.B. aus einem Engineerings System, anreichern. Nach Prüfungen durch die Zertifizierungsstelle CA, z.B. Prü fung der Eindeutigkeit, generiert die Zertifizierungsstelle CA ein operatives Zertifikat OCERT und leitet dieses über die lokale Registrierungsstelle LRA an das Automatisierungsgerät Dl weiter. Wenn das Automatisierungsgerät noch keine Kommuni kationsverbindung COM aufweist, so kann das operatives Zerti fikat OCERT dem Inbetriebnahmegerät PG zur Verfügung gestellt werden und z.B. über einen Wartungszugang INT direkt auf das Automatisierungsgerät aufgespielt werden. Der Wartungszugang INT kann dabei eine lokale Kommunikationsschnittstelle, wie ein USB Port oder proprietäre Lösungen aus dem Automatisie rungsbereich sein.

Die Registrierungsstelle LRA kann zur Ausführung mehrere Aus führungsformen des Verfahrens ausgebildet sein. Sie kann dazu z.B. ein Modul aufweisen, das zur Auswertung von Herstel lerzertifikaten MCERT ausgebildet ist. Weiterhin kann sie weitere Module aufweisen, die zum Erstellen, anreichern und prüfen von Zertifikatsanfragen CSR ausgebildet sind. Die Re gistrierungsstelle LRA kann in eine Zertifizierungsstelle CA integriert sein oder diese aufweisen.

FIG 2 zeigt unter Verwendung der aus FIG 1 bekannten Bezugs zeichen zwei Automatisierungsgeräte Dl, D2. Das erste Automa tisierungsgerät Dl ist dabei an einer Säule AA angeordnet, die beispielsweise eine Säule in einer Fabrikhalle sein kann, wobei AA als Ortsbezeichnung dient. Die Säule AA weist dabei ein Funkidentifizierungsmerkmal RFID, beispielsweise ein im Nahbereich funkauslesbares NFC Tag auf. Weiterhin weist die Säule AA einen Access-Point AP2 auf.

Ein zweites Automatisierungsgerät D2 ist an einer Säule AB angeordnet und weist ein erstes optisches Erkennungsmerkmal OPT1 auf. Die Säule AB weist ein zweites optisches Erken- nungsmerkmal OPT2 auf. Eine Aufzeichnung SNAP wird für das zweite Automatisierungsgerät D2 beispielsweise von einem In betriebnahmegerät PG, wie es in FIG 1 gezeigt wurde, aus den beiden optischen Erkennungsmerkmal OPT1, OPT2 erstellt. Das optische Erkennungsmerkmal OPT1 dient dabei als erste Kennung DEVID, das optische Erkennungsmerkmal OPT2 dient als zweite Kennung OPID. Damit ist die Zuordnung zwischen dem zweiten Automatisierungsgerät D2 und dem Einbauort 10 an der Säule AB eindeutig möglich. Das zweite Automatisierungsgerät D2 kann dabei beispielsweise eine Seriennummer in Form eines maschi nenlesbaren Codes oder eine Seriennummer in alphanumerischer Form, die sichtbar auf dem Gerät angebracht ist, aufweisen. Eine derartige alphanumerische Kennung kann beispielsweise mit Bilderkennungsalgorithmen in einer zentralen Registrie rungsstelle LRA ausgewertet werden. Mittlerweile ist die Re chenleistung portabler Geräte ausreichend, um eine solche Bildverarbeitung auch direkt im Inbetriebnahmegerät PG durch zuführen .

Das erste Automatisierungsgerät Dl weist eine lokale Schnitt stelle INT auf, wobei das Inbetriebnahmegerät direkt mit die ser lokalen Schnittstelle verbindbar ist. Dabei kann es sich um einen USB-, seriellen und jeglichen proprietären Port han deln. Besonders sichere Geräte können weiterhin eine optische Schnittstelle zur Kommunikation mit dem Inbetriebnahmegerät aufweisen. Das Inbetriebnahmegerät PG kann weiterhin ergän zend oder alternativ zur drahtlosen Kommunikation mit dem Au tomatisierungsgerät Dl, z.B. mittels Bluetooth, NFC, Ad-Hoc- WLAN und anderen lokale Funkstandards ausgebildet sein. Das Funkidentifizierungsmerkmal RFID der Säule AA ist dabei der gestalt, dass es nur ausgelesen werden kann, wenn eine Auf zeichnung SNAP vor Ort am Einbauort 10 erstellt wird. Damit ist eine Zuordnung einer ersten Kennung DEVID, hier bei spielsweise eine über die lokale Schnittstelle INT ausgelese ne Seriennummer zu einer zweiten Kennung OPID, hier bei spielsweise anhand des Einbauorts 10 an der Säule AA, die mittels des Funkidentifizierungsmerkmal RFID identifizierbar ist, möglich. Wenn das Inbetriebnahmegerät PG vor Ort am Ein- bauort 10 das Funkidentifizierungsmerkmal RFID ausliest und gleichzeitig mit dem Automatisierungsgerät Dl verbunden ist, kann von diesem Zustand somit eine Aufzeichnung SNAP, z.B. in Form eines Snapshots, erstellt werden. Alternativen, wie sie für das zweite Gerät oder zu FIG 1 beschrieben wurden, sind in Kombination ergänzend oder alternativ möglich. Mehrere Kennungen unterschiedlicher Art können miteinander kombiniert werden .

FIG 3 zeigt ein Automatisierungsgerät Dl, das bereits Her stellerzertifikat MCERT, z.B. ein vom Hersteller des Automa tisierungsgeräts Dl auf das Automatisierungsgerät Dl gelade nes Zertifikat, aufweist. Das Inbetriebnahmegerät PG liest das Herstellerzertifikat MCERT des Automatisierungsgeräts Dl über eine lokale drahtgebundene oder drahtlose Verbindung aus. Die Aufzeichnung SNAP wird von dem Herstellerzertifikat MCERT bzw. teilen davon und der zweiten Kennung OPID, der lo kalen Einbauinformation vor Ort am Einbauort 10 angefertigt. Die zweite Kennung OPID ist wie aus FIG 1 bekannt als QR Code ausgebildet. Diese kann aber ebenso wie in den vorhergehenden Figuren gezeigt als Funkidentifizierungsmerkmal RFID oder weiteres Kennzeichen ausgebildet sein.

FIG 4 zeigt schematisch eine mögliche Ausführungsform. Zu nächst wird der Einbauort 10 des Automatisierungsgeräts Dl vorbereitet. Dazu können beispielsweise Leitungen verlegt und Halterungen (Einbauahmen, Rack, Schaltschrank, etc.) ange bracht werden. Der Einbauort 10, also die Position des zu in stallierenden Gerätes in einem Automatisierungssystem 100, wird mit einer eindeutigen zweiten Kennung OPID gekennzeich net und ist damit identifizierbar. Die aus den vorhergehenden Figuren bekannten Ausführungsformen der zweiten Kennung sind hier anwendbar. Im Folgenden wird beispielhaft eine Ausfüh rungsform des Verfahrens durchgeführt. Die Reihenfolge kann dabei geändert werden und ist nicht verbindlich.

Zu 1: Auf dem Automatisierungsgeräts Dl ist in der Regel ein Gerätelabel mit eindeutigen Bezeichnern für das Gerät, z.B. die Seriennummer angebracht. Der eindeutige Bezeichner dient als eine erste Kennung DEVID des Automatisierungsgeräts Dl, welche auch in einem Herstellerzertifikat MCERT enthalten sein kann. Die erste Kennung DEVID wird mit einem Label des Einbauortes, wobei das Label als eine zweite Kennung OPID dient, zusammen fotografiert. Die Fotographie dient als Auf zeichnung SNAP . Als Inbetriebnahmegerät PG kann z.B. ein Smartphone mit einer entsprechenden Software dienen. Auf die se Weise kann das Bestimmen S2 der Aufzeichnung SNAP der ers ten Kennung und/oder der zweiten Kennung vor Ort, insbesonde re am Einbauort 10 im Automatisierungssystem 100 erfolgen.

Das Inbetriebnahmegerät PG kann dem Installateur einen In stallationsplan anzeigen. Er wählt dann über eine Eingabe (Touchscreen etc.) den aktuellen Einbauort 10 aus, an dem er sich gerade befindet; bzw. dies wird automatisch über eine Positionserkennung durchgeführt. Anschließend wird eine Auf zeichnung SNAP des Automatisierungsgeräts D2 bzw. dessen ers ter Kennung DEVID erstellt. Die zweite Kennung OPID kann in diesem Fall aus dem elektronischen Installationsplan ermit telt werden.

Zu 2: Die Aufzeichnung SNAP, z.B. ein Foto aufweisend eine erste Kennung DEVID und eine zweite Kennung OPID, wird an ei ne Registrierungsstelle LRA übertragen. Dies kann drahtlos, über eine Netzwerkverbindung oder durch eine lokale Verbin dung, z.B. eine USB-Schnittstelle, geschehen. Die lokale Re gistrierungsstelle LRA kann sich beispielsweise im Automati sierungssystem 100, im Intranet des Betreibers oder Installa teurs, oder in einem Rechenzentrum (z.B. in einer Cloud) be finden. Bei der drahtlosen bzw. Netzwerkübertragung ist eine Signatur der Dateien durch den Installateur bzw. sein Inbe triebnahmegerät PG oder die darauf installierte Software, der die Aufzeichnung SNAP erstellt hat, und/oder die Verwendung eines sicheren Übertragungsprotokolls sinnvoll, um eine uner wünschte Veränderung der Aufzeichnung SNAP bei der Übertra gung zu unterbinden und die Authentizität der Aufzeichnung SNAP verifizieren zu können. In der LRA werden aus der Aufzeichnung SNAP die erste Kennung DEVID und die zweite Kennung OPID extrahiert und z.B. in ei ner Datenbank eines Engineering Systems abgespeichert. Bei Beschriftungen mit lesbaren Zeichen werden vorzugsweise elek tronische Verfahren wie Bilderkennung eingesetzt; es können für die Erkennung der beiden IDs auch spezielle, elektronisch gut lesbare Verfahren wie Barcode oder QR-Code vorteilhaft eingesetzt werden. Es ist vorteilhaft, ein Verfahren mit Prüfsumme o.ä. verwendet werden, um Fehler beim Einlesen bzw. Decodieren zu erkennen.

Zu 3: Das Automatisierungsgerät Dl gibt eine Zertifikatsan frage CSR aus und sendet diese zur Registrierungsstelle LRA, z.B. sobald es eingeschaltet wird und eine Netzwerkverbindung verfügbar ist. Das Ausgeben S3 kann also direkt vom Automati sierungsgerät Dl selbst durchgeführt werden. Die Zertifikats anfrage CSR kann zum Nachweis des Besitzes des zugehörigen privaten Schlüssels teilweise selbstsigniert sein und kann weiterhin zusätzlich mit dem Herstellerzertifikat MCERT sig niert sein. Durch das verwendete Herstellerzertifikat MCERT ist der Registrierungsstelle LRA die erste Kennung DEVID be kannt, bzw. diese kann direkt aus dem Herstellerzertifikat MCERT extrahiert werden.

Wurde das Automatisierungsgerät Dl für eine bestimmte zweite Kennung OPID, also für einen bestimmten Einbauort 10 vorkon figuriert, so kann die Registrierungsstelle LRA zusätzlich prüfen, ob das Automatisierungsgerät Dl für die richtige zweite Kennung OPID ein operatives Zertifikat OCERT bean tragt, da sie durch das fotografische Pairing, also die Auf zeichnung SNAP, zusätzliche Informationen hat. Ist das Gerät noch nicht vorkonfiguriert, so verwendet die Registrierungs stelle LRA die zweite Kennung aus der Aufzeichnung SNAP.

Zu 4: Die folgenden Möglichkeiten ergeben sich zur Verteilung des Herstellerzertifikats MCERT . 4a: Das Automatisierungsgerät Dl sendet sein Herstellerzerti- fikat MCERT, z.B. zusammen mit der Zertifikatsanfrage CSR, an die Registrierungsstelle LRA.

4b: Alternativ oder ergänzend kann die Registrierungsstelle LRA das Herstellerzertifikat MCERT von einem Dienst, z.B. ei ner Zertifikatsdatenbank DB, abfragen.

4c: Alternativ oder ergänzend kann das Gerätelabel direkt das Herstellerzertifikat MCERT oder einen öffentlichen Schlüssel aus dem Herstellerzertifikat MCERT z.B. als QR-Code beinhal ten .

Zu 5: Die Registrierungsstelle LRA prüft die Zertifikatsan frage CSR (Gültigkeit der Signatur als Proof-of-Possession des zugehörigen privaten Schlüssels, Signatur mit Herstel lerzertifikat, sowie Herstellerzertifikat selbst) , und er gänzt die Zertifikatsanfrage CSR bei Bedarf mit der für das Automatisierungsgerät Dl vorgesehenen zweiten Kennung OPID und weiteren Konfigurationsdaten. Die Registrierungsstelle LRA leitet die Zertifikatsanfrage nach Prüfung an eine Zerti fizierungsstelle CA zur Zertifikatserstellung des operativen Zertifikats OCERT weiter. Das Bereitstellen S4 kann somit durch die Zertifizierungsstelle CA ausgeführt werden, die ein operatives Zertifikat OCERT für das Automatisierungsgerät Dl auf Basis der vorhergehenden Schritte bereitstellt .

Zu 6: Die Registrierungsstelle LRA leitet das operative Zer tifikat an das Gerät weiter. Dies kann optional auch über das Inbetriebnahmegerät PG erfolgen.

FIG 5 zeigt eine alternative Ausführungsform ähnlich zu FIG 4, wobei das Automatisierungsgerät Dl kein Herstellerzertifi- kat MCERT aufweist.

Zu 1': Das Bestimmen S2 einer Aufzeichnung SNAP kann wie folgt umgesetzt werden. Der Bezeichner des Einbauortes 10, also eine zweite Kennung OPID wird fotografiert. Als Inbe triebnahmegerät PG dient ein Inbetriebnahmegerät PG wie es aus den vorhergehenden Figuren, insb. FIG 1-3, bekannt ist. Eine erste Kennung DEVID des Automatisierungsgeräts Dl kann ebenso in der Aufzeichnung SNAP enthalten sein.

Zu 2 ' : Das Inbetriebnahmegerät PG ruft über eine physikalisch sichere, z.B. lokale, drahtgebundene oder drahtlose Schnitt stelle eine Zertifikatsanfrage CSR vom Automatisierungsgerät Dl ab. Das Ausgeben S3 der Zertifikatsanfrage CSR kann auf diese Weise umgesetzt werden, kann aber ebenso in späteren Stadien geschehen. Dieser Vorgang kann vom Inbetriebnahmege rät PG angestoßen werden, oder das Automatisierungsgerät Dl startet den Prozess (z.B. beim Hochfahren ohne operative Zer tifikate OCERT) selbst. Das Automatisierungsgerät Dl kann zu nächst ein Schlüsselpaar (z.B. RSA) erzeugen und anschließend mit diesem Paar eine selbstsignierte Zertifikatsanfrage CSR erzeugen. Diese Zertifikatsanfrage CSR enthält auch die erste Kennung DEVID (z.B. die Seriennummer des Automatisierungsge rätes vom Hersteller) , und wird dann auf das Inbetriebnahme gerät PG übertragen. Das Bestimmen Sil der dem Automatisie rungsgerät Dl zugeordneten ersten Kennung DEVID und/oder das Bestimmen S12 zumindest der dem Einbauort 10 zugeordneten zweiten Kennung OPID kann so durchgeführt werden.

Zu 3': Die Aufzeichnung SNAP und die zugehörige Zertifikats anfrage CSR werden zusammen, z.B. vom Inbetriebnahmegerät PG, in ein Datenpaket gepackt und können zusätzlich digital sig niert werden.

Zu 4 ' : Das Datenpaket wird vom Inbetriebnahmegerät PG an eine Registrierungsstelle LRA übertragen. Die Registrierungsstelle LRA prüft beim Empfang des Datenpakets die Signatur des Da tenpaketes .

Zu 5': Aus der Aufzeichnung SNAP wird von der Registrierungs stelle LRA die zweite Kennung OPID des Einbauorts 10 extra hiert und kann z.B. mit einer Datenbank DB abgeglichen wer den. Die Datenbank DB kann ein Teil eines Engineering Systems sein. Analog zu 5 aus FIG 4 kann die zweite Kennung OPID ex trahiert oder erfasst werden. Zu 6': Die Registrierungsstelle LRA prüft die Zertifikatsan frage CSR und ergänzt ggf. Informationen, die von der Zerti fizierungsstelle CA benötigt werden. Die Registrierungsstelle LRA leitet die anschließend Zertifikatsanfrage CSR an eine Zertifizierungsstelle CA zur Zertifikatserstellung eines ope rativen Zertifikats OCERT für das Automatisierungsgerät Dl mit der ersten Kennung DEVID und der zweiten Kennung OPID am Einbauort 10.

Zu 7 ' : Die Registrierungsstelle LRA leitet das operative Zer tifikat OCERT über das Inbetriebnahmegerät PG oder eine ande re Verbindung an das Automatisierungsgerät Dl weiter. Es ist ebenso denkbar, dass die Registrierungsstelle LRA das opera tive Zertifikat OCERT auf einem anderen Weg an das Automati sierungsgerät Dl weiterleitet. Dies kann direkt geschehen, über ein Engineering System in dem zunächst alle Zertifikate gesammelt werden oder mit weiteren Übertragungsmethoden.

FIG 6 zeigt ein mögliches Ablaufdiagramm einer Ausführungs form des Verfahrens, umfassend die Schritte:

Bestimmen Sil zumindest einer dem Automatisierungsgerät Dl, D2 zugeordneten ersten Kennung DEVID,

Bestimmen S12 zumindest einer dem Einbauort 10 zugeordne ten zweiten Kennung OPID,

Bestimmen S2 einer Aufzeichnung SNAP der ersten Kennung und/oder der zweiten Kennung vor Ort, insbesondere am Einbauort 10 im Automatisierungssystem 100,

Ausgeben S3 einer Zertifikatsanfrage CSR, wobei die Zer tifikatsanfrage CSR zumindest auf einem Teil der Auf zeichnung SNAP basiert und

Bereitstellen S4 eines operativen Zertifikats OCERT für das Automatisierungsgerät Dl, D2 basierend auf zumindest einer dem Automatisierungsgerät Dl, D2 zugeordneten ers ten Kennung DEVID und zumindest einer einem Einbauort 10 zugeordneten zweiten Kennung OPID. Die gezeigte Reihenfolge ist dabei nicht verbindlich. Es kön nen Schritte übersprungen werden, z.B. wenn das Ergebnis de ren Ausführung bereits zur Verfügung steht. Die Reihenfolge kann ebenso geändert werden.

Zusammenfassend betrifft die Erfindung ein Verfahren zum si cheren Betreiben eines industriellen Automatisierungsgeräts Dl, D2 in einem Automatisierungssystem 100 umfassend:

Bereitstellen S4 eines operativen Zertifikats OCERT für das Automatisierungsgerät Dl, D2 basierend auf zumindest einer dem Automatisierungsgerät Dl, D2 zugeordneten ersten Kennung DEVID und zumindest einer einem Einbauort 10 zugeordneten zweiten Kennung OPID. Die Erfindung betrifft weiterhin ein Automatisierungsgerät Dl, D2, ein Inbetriebnahmegerät PG so- wie eine Registrierungsstelle LRA.