Verwendung von Zertifikaten mittels einer Positivliste Die Erfindung betrifft Verfahren und Vorrichtungen zum Ver ^¬ wenden von Zertifikaten mittels einer Positivliste.

Bösartige Angriffe, auch bekannt als Hackerangriffe, auf Automatisierungsanlagen nehmen in letzter Zeit signifikant zu. Daher werden für Geräte, wie Fertigungsroboter oder

Steuerungsgeräte, spezifische digitale Zertifikate verwendet, um für diese Geräte eine Authentisierung durchführen zu kön ^¬ nen. Diese Authenisierung gewährleistet beispielweise, dass nur positiv authentisierte Geräte in der Automatisierungsan- läge betrieben werden können. Ebenso können auch personenbe ^¬ zogene digitale Zertifikate im Industrieumfeld verwendet wer ^¬ den, beispielsweise um einen Wartungszugang einem Techniker freizuschalten. Gemäß Dokument [1] ist „ein digitales Zertifikat [...] ein di ^¬ gitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integri ^¬ tät durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prü- fung erforderlichen Daten."

Ferner ist gemäß Dokument [2] „ein Attribut Zertifikat [...] ein digitales Zertifikat und stellt die von einer vertrauenswür ^¬ digen Stelle digital signierte Bindung zwischen bestimmten digitalen Informationen (Attributen) und einem weiteren somit attributierten digitalen Zertifikat dar." Das Dokument [2] führt weiter aus, dass „Attribut Zertifikate [...] typischerwei ^¬ se Eigenschaften aus [ zeichnen] , die entweder das Zertifikat selbst oder die Person näher charakterisieren".

Eine weitere Möglichkeit eine Gültigkeit von digitalen Zerti ^¬ fikaten zu beschränken ist aus einem Dokument [3] bekannt. Dort wird vorgeschlagen im Rahmen einer Authentisierungsrou- tine auch das digitale Zertifikat gegenüber einer weißen Lis ^¬ te (= white list oder certificate white list im Englischen) . Die weiße Liste, auch Positivliste genannt, zeigt an, ob das zu authentisierende digitale Zertifikat von der zu authenti- sierenden Einheit authentisiert werden darf oder nicht. So kann die authentisierende Einheit die Positivliste nach einem Eintrag durchsuchen, der das zu authentisierende digitale Zertifikat bzw. eine Referenz hierzu aufzeigt. Wird der Ein ^¬ trag gefunden, findet eine Authentisierung statt, ansonsten wird diese gestoppt.

Ein Nachteil aus dem Stand der Technik ist, dass es unklar ist, ob eine Authentisierung bzw. Gültigkeitsprüfung, auch Zertifikatsvalidierung genannt, eines digitalen Zertifikats auf Basis einer Positivliste erfolgt oder nicht. Zum anderen kann die authentisierende Einheit bereits auf Basis des vor ^¬ liegenden Zertifikats eine Authentisierung des Geräts ohne Prüfung der Positivliste positiv durchführen, obwohl eine zu ^¬ sätzliche Prüfung des Zertifikats mittels der Positivliste notwendig wäre, beispielsweise weil das Gerät nur in einer vorbestimmten Umgebung betrieben werde darf.

Somit besteht eine Aufgabe darin, Verfahren und Vorrichtung anzugeben, die eine Erhöhung einer Sicherheit bei einer Ver- wendung von digitalen Zertifikaten zulässt.

Diese Aufgabe wird durch die Merkmale der abhängigen Ansprü ^¬ che gelöst. Weiterbildungen der Erfindung sind den abhängigen Ansprüchen zu entnehmen.

Die Erfindung betrifft ein Verfahren zum Erzeugen einer Nach ^¬ richt, wobei die Nachricht ein Zertifikat eines Geräts G um- fasst und das Zertifikat eine Signatur zu einer Überprüfung einer Authentizität des Zertifikats aufweist,

dadurch gekennzeichnet, dass

der Nachricht eine Zulässigkeitsinformation für Ermittlung einer Zulässigkeit des Zertifikats anhand einer Positivliste hinzugefügt wird. Die Erfindung zeigt den Vorteil, dass bei einer Autorisierung des Geräts mittels der Nachricht neben der Signatur auch er ^¬ mittelt wird, ob das Zertifikat auf der Positivliste vorhan- den ist. Hierdurch wird eine Sicherheit bei der Autorisierung des Geräts dadurch erhöht, dass sowohl die Überprüfung des Zertifikats anhand der Signatur als auch eine Ermittlung der Zulässigkeit durchgeführt werden muss. Der „Zwang" sowohl die Überprüfung als auch die Ermittlung durchzuführen wird durch die Nachricht gesteuert und ist somit nicht in zufälligerwei ^¬ se abhängig ob eine Einheit zum Autorisieren neben dem Über ^¬ prüfen der Signatur des Zertifikats auch die Ermittlung des Zertifikats anhand der Positivliste durchführt. Somit wird vermieden, dass die Autorisierung erfolgreich ist, falls zwar die Überprüfung der Signatur positiv ist aber eine Ermittlung anhand der Positivliste unterbleibt. Zudem wird die Sicher ^¬ heit der Autorisierung ferner dadurch erhöht, dass dem Gerät bei Mitteilung der Autorisierung klar ist, dass sowohl die Überprüfung als auch die Ermittlung durchgeführt und positiv sind.

In einem Beispiel kann die Nachricht ein Adressatenfeld, das Zertifikat, und die Zulässigkeitsinformation aufweisen. In einem anderen Beispiel umfasst die Nachricht Zertifikat und die Zulässigkeitsinformation . Zudem kann die Zulässigkeitsin- formation separat von dem Zertifikat oder als Teil des Zerti ^¬ fikats in der Nachricht angeordnet sein. Im letzteren Fall kann die Nachricht auch ein neues Zertifikat beschreiben. In einer Weiterbildung wird der Zulässigkeitsinformation eine Gültigkeitsinformation hinzugefügt, wobei die Gültigkeitsin ^¬ formation zumindest einen der folgenden Parameter aufweist, der die, bei der Ermittlung der Zulässigkeit zu verwendenden, Positivliste WL charakterisiert:

- Zulässiger Aussteller der Positivliste;

- Maximal zulässiges Alter der Positivliste;

- Anwendungsumgebungsparameter AUP der Positivliste;

- Angabe REF der zu verwendende Positivliste. Durch die Verwendung dieser Art der Zulassigkeitsinformation wird eine Sicherheit bei dem Autorisieren des Gerät weiter erhöht, denn durch die Gültigkeitsinformation wird eine An- zahl an Positivlisten, die zu der Ermittlung herangezogen werden können, beschränkt. Gegebenfalls liegt nach der Be ^¬ schränkung keine Positivliste zur Ermittlung vor, sodass eine Autorisierung scheitert oder nur eine Autorisierung des Ge ^¬ räts mit einer niedrigen Sicherheitsstufe zugelassen wird.

In einer vorteilhaften Weiterbildung der Erfindung wird der Zulässigkeitsinformation eine erste Anwendungsinformation zum Durchführen von einer ersten Anwendung des G hinzugefügt, wo ^¬ bei die erste Anwendungsinformation im Falle eines positiven Autorisierens des Geräts aufgrund (i) einer positiven Über ^¬ prüfung der Authentizität der Signatur und (ii) einer positi ^¬ ven Ermitteins der Zulässigkeit des Zertifikats anhand der Positivliste angewendet werden kann. Hierdurch kann dem Gerät die durch die positive Autorisierung zulässigen Handlungswei- sen, also Anwendungen, zugeordnet werden. Somit wird die Si ^¬ cherheit dadurch erhöht, dass dem Gerät in Abhängigkeit von der Autorisierung die ersten Anwendungen, d.h. erste Katego ^¬ rie von zumindest einer Anwendung, zugeordnet wird. In einer vorteilhaften Weiterbildung der Erfindung wird der Zulässigkeitsinformation eine zweite Anwendungsinformation zum Durchführen von einer zweiten Anwendung des Geräts hinzu ^¬ gefügt, wobei die zweite Anwendungsinformation im Falle eines positiven Autorisierens des Geräts aufgrund (i) einer positi- ven Überprüfung der Authentizität der Signatur und (ii) einer negativen Ermittlung der Zulässigkeit des Zertifikats anhand der Positivliste angewandt werden kann. Somit wird die Si ^¬ cherheit dadurch erhöht, dass dem Gerät in Abhängigkeit von der Überprüfung und der Ermittlung die zweite Anwendung, d.h. zweite Kategorie von zumindest einer Anwendung, zugeordnet wird, wobei als Anwendungen der zweiten Kategorie Anwendungen einer niedrigen Sicherheitsstufe in Betracht gezogen werden können . In einer Weiterbildung der Erfindung wird der Zulassigkeits- information zumindest einer der folgenden Ausführungsparame ^¬ ter hinzugefügt wird, wobei der jeweilige Ausführungsparame- ter beschreibt, anhand welcher Eigenschaft des Zertifikats die Ermittlung durchgeführt werden kann:

- Seriennummer des Zertifikats;

- Aussteller des Zertifikats;

- Fingerprint des Zertifikates;

- Fingerprint des öffentlichen Schlüssels;

- Kopie des Zertifikates PI5.

Hierdurch kann die Sicherheit bei dem Autorisieren weiter er ^¬ höht werden, da die Nachricht der die Ermittlung durchführen- den Einheit explizit mitteilen kann, welchen der Ausführungs ^¬ parameter die Einheit zum Ausführen der Ermittlung einsetzen soll bzw. darf.

Die Erfindung betrifft auch ein Verfahren zum Autorisieren eines Geräts anhand einer Nachricht, wobei die Nachricht nach einem der zuvor beschriebenen Schritte erzeugt werden kann, wobei das Gerät für ein Anwenden einer ersten Kategorie an zumindest einer Anwendung autorisiert wird, falls

(a) die Überprüfung der Authentizität des Zertifikats po- sitiv durchgeführt wird, und

(b) die Ermittlung der Zulässigkeit des Zertifikats ZERT anhand der Positivliste positiv durchgeführt wird.

Die Erfindung zeigt den Vorteil, dass bei der Autorisierung des Geräts mittels der Nachricht neben der Signatur auch er ^¬ mittelt wird, ob das Zertifikat auf der Positivliste vorhan ^¬ den ist. Hierdurch wird eine Sicherheit bei der Autorisierung des Geräts dadurch erhöht, dass sowohl die Überprüfung des Zertifikats anhand der Signatur als auch eine Ermittlung der Zulässigkeit durchgeführt werden muss. Der „Zwang" sowohl die Überprüfung als auch die Ermittlung durchzuführen wird durch die Nachricht gesteuert und ist somit nicht in zufälligerwei ^¬ se abhängig ob eine Einheit zum Autorisieren neben dem Über- prüfen der Signatur des Zertifikats auch die Ermittlung des Zertifikats anhand der Positivliste durchführt. Somit wird vermieden, dass die Autorisierung erfolgreich ist, falls zwar die Überprüfung der Signatur positiv ist aber eine Ermittlung anhand der Positivliste unterbleibt. Zudem wird die Sicher ^¬ heit der Autorisierung ferner dadurch erhöht, dass dem Gerät bei Mitteilung der Autorisierung klar ist, dass sowohl die Überprüfung als auch die Ermittlung durchgeführt und positiv sind .

Die Erfindung betrifft ferner ein Verfahren zum Autorisieren eines Geräts anhand einer Nachricht, insbesondere nach dem zuvor beschriebenen Verfahren, wobei die Nachricht VMSG nach einem der zuvor beschriebenen Schritte erzeugt werden kann, wobei das Gerät für ein Anwenden der zweiten Kategorie an zu ^¬ mindest einer Anwendung autorisiert wird, falls

(a) die Überprüfung der Authentizität des Zertifikats po ^¬ sitiv durchgeführt wird, und

(b) die Ermittlung der Zulässigkeit des Zertifikats an- hand der Positivliste negativ durchgeführt wird.

Hierbei ist neben den zuvor beschriebenen Vorteilen vorteil ^¬ haft, dass bei einer negativen Ermittlung die Autorisierung nicht zwangsweise scheitert, sondern auch die Möglichkeit be- steht ein Autorisieren mit einer niedrigen Sicherheitsstufe, d.h. dass das Gerät keine sicherheitskritischen Anwendungen durchführen oder an keinen sicherheitskritischen Anwendungen teilnehmen darf. Somit kann das Gerät beispielsweise Updates durchführen aber selbst nicht mit anderen Geräten zum Durch- führen einer Fertigung teilnehmen.

In einer vorteilhaften Weiterbildung wird die Ermittlung der Zulässigkeit des Zertifikats zumindest anhand eines der fol ^¬ genden Ausführungsparameter durchgeführt, wobei der jeweilige Ausführungsparameter eine Eigenschaft des Zertifikats wieder ^¬ gibt :

- Seriennummer des Zertifikats;

- Aussteller des Zertifikats; - Fingerprint des Zertifikates;

- Fingerprint des öffentlichen Schlüssels;

- Kopie des Zertifikates. Hierdurch kann die Sicherheit bei dem Autorisieren weiter er ^¬ höht werden, da die Nachricht der die Ermittlung durchführen ^¬ den Einheit explizit mitteilen kann, welchen der Ausführungs ^¬ parameter die Einheit zum Ausführen der Ermittlung einsetzen soll bzw. darf.

In einer Weiterbildung der Erfindung kann im Rahmen der Er ^¬ mittlung der Zulassigkeit eine Gültigkeitsinformation ausge ^¬ wertet werden, wobei die Gültigkeitsinformation zumindest ei ^¬ nen der folgenden Parameter aufweist, der die, bei der Er- mittlung der Zulassigkeit zu verwendenden, Positivliste cha ^¬ rakterisiert :

- Zulässiger Aussteller der Positivliste;

- Maximal zulässiges Alter MAXG der Positivliste;

- Anwendungsumgebungsparameter (AUP) der Positivliste;

- Angabe REF der zu verwendenden Positivliste.

Durch die Verwendung dieser Art der Zulässigkeitsinformation wird eine Sicherheit bei dem Autorisieren des Gerät weiter erhöht, denn durch die Gültigkeitsinformation wird eine An- zahl an Positivlisten, die zu der Ermittlung herangezogen werden können, beschränkt. Gegebenfalls liegt nach der Be ^¬ schränkung keine Positivliste zur Ermittlung vor, sodass eine Autorisierung scheitert oder nur eine Autorisierung des Ge ^¬ räts mit einer niedrigen Sicherheitsstufe zugelassen wird.

Die Erfindung betrifft überdies eine Nachricht umfassend ein Zertifikat eines Geräts, wobei das Zertifikat eine Signatur zu einer Überprüfung einer Authentizität des Zertifikats ZERT aufweist, und eine Zulässigkeitsinformation für Ermittlung einer Zulässigkeit des Zertifikats anhand einer Positivliste. Zudem kann die Nachricht gemäß einem der Schritte zum Erzeu ^¬ gen der Nachricht aufgebaut sein. Die Vorteile der Nachricht sind den jeweiligen oben darge ^¬ stellten Ausführungen zum Erzeugen der Nachricht zu entneh ^¬ men . Die Erfindung betrifft auch eine erste Vorrichtung zum Erzeu ^¬ gen einer Nachricht, mit

- einer ersten Einheit zum Einfügen eines Zertifikat eines Geräts in die Nachricht, wobei das Zertifikat ZERT eine Sig ^¬ natur SIG zu einer Überprüfung einer Authentizität des Zerti- fikats aufweist,

- eine zweite Einheit zum Hinzufügen einer Zulässigkeitsin- formation für Ermittlung einer Zulässigkeit des Zertifikats anhand einer Positivliste.

Die zweite Einheit kann ferner derart ausgestaltet sein, dass die Zulässigkeitsinformation gemäß einem der dargestellten Ausführungen zum Erzeugen der Nachricht erweiterbar ist.

Die Vorteile bzgl. der ersten Vorrichtung sind identisch zu den jeweiligen oben dargestellten Ausführungen zum Erzeugen der Nachricht.

Zudem betrifft die Erfindung auch eine zweite Vorrichtung zum Autorisieren eines Geräts anhand einer Nachricht wobei die Nachricht nach einem der zuvor beschriebenen Schritte erzeugt werden kann, mit einer dritten Einheit zur Überprüfung einer Authentizität eines Zertifikats der Nachricht VMSG, einer vierten Einheit zur Ermittlung der Zulässigkeit des Zertifi ^¬ kats anhand der Positivliste, und einer fünften Einheit zum Autorisieren des Geräts für ein Anwenden einer ersten Katego- rie Kl an zumindest einer Anwendung, falls die Überprüfung und die Ermittlung jeweils positiv sind.

Ferner kann die fünfte Einheit ausgebildet sein zum Autori ^¬ sieren des Geräts für ein Anwenden einer ersten Kategorie an zumindest einer Anwendung, falls die Überprüfung positiv und die Ermittlung negativ sind. Ferner können die dritte Einheit, die vierte Einheit und die fünfte Einheit derart ausgebildet sein, dass zumindest eine der Weiterbildungen der Zulassigkeitsinformation gemäß einem dargestellten Verfahren ausführbar ist.

Die Vorteile bzgl. der jeweiligen zweiten Vorrichtung sind identisch zu den jeweiligen oben dargestellten Ausführungen zum Autorisieren der Nachricht.

Die Erfindung und ihre Weiterbildungen werden anhand von Zeichnungen näher erläutert. Im Einzelnen zeigen:

Figur 1 Eine Übermittlung einer Nachricht von einem Gerät zu einer Überprüfungseinheit;

Figur 2 Aufbau einer Nachricht umfassend ein Zertifikat und eine Zulässigkeitsinformation;

Figur 3 Gültigkeitsinformationen als Teil der Zulässig ^¬ keitsinformation der Nachricht;

Figur 4 Ablaufdiagramm und erste Vorrichtung zum Erzeugen der Nachricht;

Figur 5 Ablaufdiagramm und zweite Vorrichtung zum Autori ^¬ sieren eines Geräts mittels der Nachricht;

Figur 6 Zertifikat, kodiert nach ASN.l Standard.

Elemente mit gleicher Funktion und Wirkungsweise sind in den Figuren mit denselben Bezugszeichen versehen.

In einem ersten Ausführungsbeispiel der Erfindung soll in ei ^¬ ner industriellen Anlage zur Abwasserreinigung eine defekte Pumpe ausgetauscht und vor einer Einbindung in die Steue ^¬ rungskommunikation der Abwasserreinigungsanlage autorisiert werden. Hierzu montiert ein Servicetechniker anstelle der de ^¬ fekten Pumpe eine neue Pumpe G. Nachdem die neue Pumpe, nach- folgend auch Gerät G genannt, an das Stromnetz angeschlossen worden ist, erzeugt diese eine Nachricht VMSG, wobei die Nachricht VMSG ein Zertifikat der Pumpe G umfasst, siehe Fi ^¬ guren 1 und 2. Das Zertifikat ZERT weist seinerseits zumin- dest eine Signatur SIG auf, wobei anhand der Signatur SIG ei ^¬ ne Überprüfung PROOF1 einer Authentizität bzw. Gültigkeit des Zertifikats ZERT durchgeführt werden kann.

Zudem umfasst die Nachricht VMSG ergänzt die der Pumpe G die Nachricht VMSG mit einer Zulässigkeitsinformation ZINFO. Die Zulässigkeitsinformation ZINFO hat den Zweck, dass hiermit einer Überprüfungseinheit Z mitgeteilt wird, dass neben der Überprüfung der Signatur SIG auch eine Ermittlung einer Zu ^¬ lässigkeit des Zertifikats ZERT anhand einer Positivliste WL durchgeführt werden soll. Die Zulässigkeitsinformation ist

Vorzugsweise im Zertifikat der Pumpe G enthalten. Es ist je ^¬ doch auch möglich, dass die Zulässigkeitsinformation in einem anderen Teil der Nachricht VMSG enthalten ist. Das Zertifikat der Pumpe G kann beispielsweise ein vom Her ^¬ steller der Pumpe ausgestelltes Gerätezertifikat sein, ein selbstsigniertes Zertifikat der Pumpe G, oder ein Zertifikat, das vom Betreiber der Abwasserreinigungsanlage für die Pumpe ausgestellt wurde und auf der Pumpe G vor deren Installation konfiguriert wurde. Auch ist es möglich, dass bei Inbetrieb ^¬ nahme der Pumpe G die Pumpe eine zuerst eine Zertifikatsan ^¬ forderungsnachricht erstellt und diese aussendet, um ein Zer ^¬ tifikat für die Pumpe G, das in der Abwasserreinigungsanlage gültig ist, anzufordern. Ein Zertifikatsserver der Abwasser- reinigungsanlage kann daraufhin der Pumpe G ein Zertifikat bereitstellen, das eine Zulässigkeitsinformation umfasst. Dieses kann daraufhin wie oben beschrieben von der Pumpe G für die Kommunikation mit der Überprüfungseinheit Z verwendet werden .

Figur 2 zeigt die Nachricht VSMG exemplarisch. Diese weist die Signatur SIG und ein oder mehrere Angaben für die Zuläs ^¬ sigkeitsinformation ZINFO auf. Im ersten Ausführungsbeispiel weist die Zulassigkeitsinformation lediglich ein Hinweissig ^¬ nal FLG auf, wobei das Hinweissignal FLG anzeigt, dass das Zertifikat ZERT neben der Überprüfung auch mittels der Er ^¬ mittlung PROOF2 der Zulassigkeit des Zertifikats ZERT anhand der Positivliste WL geprüft werden soll.

Die Positivliste WL, auch bekannt als white list bekannt, stellt eine Zusammenstellung von einem oder mehreren Einträ ^¬ gen dar, wobei ein jeweiliger Eintrag für ein spezifisches Zertifikat ausgebildet sein kann. Im Allgemeinen bedeutet die Ermittlung der Zulassigkeit des Zertifikats anhand der Posi ^¬ tivliste, dass überprüft wird, ob das Zertifikat selbst bzw. eine abgeleitete Information des Zertifikats oder eine dem Zertifikat zuordenbare Information in der Positivliste vor- handen ist oder nicht. Ist kein Eintrag in der Positivliste für das zu überprüfende Zertifikat zu finden, so ist die Er ^¬ mittlung negativ ansonsten positiv. Die Positivliste WL kann der Überprüfungseinheit Z von einer übergeordneten Instanz zur Verfügung gestellt werden und umfasst in diesem Beispiel eine Liste von Zertifikaten von Geräten, die in der industri ^¬ ellen Anlage, d.h. in dieser speziellen Umgebung, überhaupt nur positiv verifiziert werden können.

Im vorliegenden ersten Ausführungsbeispiel werden die Signa- tur SIG des Zertifikats ZERT mittels der Überprüfung PROOF1 auf Authentizität des Zertifikats ZERT positiv geprüft. Die Ermittlung PROOF2 der Zulässigkeit des Zertifikats anhand der Positivliste WL ergibt, dass das Zertifikat ZERT in der Posi ^¬ tivliste WL hinterlegt ist und somit ist auch die zweite Überprüfung PROOF2 positiv. Da sowohl die erste Überprüfung PROOF1 als auch die zweite Überprüfung PROOF2 positiv sind, wird die Pumpe G zum Einsatz in der industriellen Anlage zu ^¬ gelassen. Dies wird nachfolgend der Pumpe G mittels einer Antwortnachricht RMSG mitgeteilt. Somit ist die Pumpe G für ein Anwenden einer ersten Kategorie Kl an Anwendungen autori ^¬ siert. So kann die Pumpe z.B. von einem Steuerrechner manipu ^¬ lationsgeschützt Steuerdaten empfangen, z.B. Steuerkommandos zum Aktivieren oder Deaktivieren der Pumpe. In einem anderen Beispiel kann die Pumpe z.B. geschützt Diagnosedaten einem Diagnoseserver der Abwasserreinigungsanlage bereitstellen.

Neben der Möglichkeit der Überprüfungseinheit Z mittels des Hinweissignals FLG mitzuteilen, dass sowohl eine Überprüfung PROOF1 als auch eine Ermittlung PROOF2 durchzuführen sind, können der Überprüfungseinheit Z noch Gültigkeitsinformatio ^¬ nen Gl mitgegeben werden, die die Überprüfungseinheit Z zu einer Verifikation der Gültigkeit der Positivliste WL im Rah- men der Ermittlung veranlasst, siehe Figur 3. Hierzu kann die Gültigkeitsinformation Gl beispielsweise einen oder mehrere der folgenden Parameter aufweisen:

- Zulässige (r) Aussteller ZULA der Positivliste WL :

Hierdurch wird angezeigt, dass bei der Ermittlung der Zu- lässigkeit des Zertifikats ZERT nur diejenigen Positivlis ^¬ ten WL benutzt werden dürfen, die von einem oder mehreren durch die Gültigkeitsinformation zulässig definierten Aus ^¬ steller erstellt worden sind, beispielsweise muss das Zer- tifikat der Pumpe auf einer Positivliste der Firma Siemens oder auf einer Positivliste des Betreibers der Abwasserrei ^¬ nigungsanlage verzeichnet sein.

- Maximal zulässiges Alter MAXG der Positivliste WL :

Hierbei wird ermittelt, wie alt die der Ermittlung PROOF2 zugrundeliegende Positivliste WL ist. Beispielsweise zeigt das maximal zulässige Alter MAXG einen Zeitraum von fünf Wochen an. Eine von mehreren möglichen zur Ermittlung der Zulässigkeit heranzuziehenden Positivlisten ist bereits vor sechs Wochen erzeugt worden. Daher wird diese Positivliste im Rahmen der Ermittlung nicht mehr eingesetzt, da diese älter als fünf Monate ist.

- Anwendungsumgebungsparameter AUP der Positivliste WL :

Hierbei kann die Nachricht VMSG eine Information über den

Einsatzort bzw. die Umgebung des Gerätes G anzeigen. Bei ^¬ spielsweise wurde der Pumpe G nach Anschluss an das Strom ^¬ netz eine IP-Adresse einer bestimmten Domain zugewiesen, z.B. 192.168.180.x. Der Anwendungsumgebungsparameter AUP wird zu 192.168.180.x gesetzt. Durch die Überprüfungsein ^¬ heit Z wird bei der Auswahl einer oder mehrerer Positivlis ^¬ ten WL für die Ermittlung der Zulassigkeit geprüft, ob die jeweilige Positivliste für den jeweiligen Anwendungsumge ^¬ bungsparameter AUP zugelassen ist. Beispielsweise ist eine erste Positivliste nur für einen Anwendungsumgebungsparame ^¬ ter von 168.180.180.x und eine zweite Positivliste für ei ^¬ nen Anwendungsumgebungsparameter 168.178.180.x zugelassen. Somit wird durch die Ermittlung der Zulassigkeit lediglich die zweite Positivliste zur Prüfung der Zulassigkeit ver ^¬ wendet. Im Allgemeinen beschreibt der Anwendungsumgebungs ^¬ parameter AUP ein oder mehrere spezifische Eigenschaften, die einen Einsatzort des Geräts, im vorliegenden Fall der Pumpe G, näher beschreiben. Neben der IP-Adresse können dies auch Temperatur, Luftfeuchtigkeit, spezifische Eigen ^¬ schaften von das Gerät umgebende weitere Geräte wie MAC- Adressen oder IP-Adressen sein, oder auch Informationen aus Funkdaten wie Identifikationsmerkmale eines drahtlosen WLAN (WLAN - Wireless Local Area Network) , Netzes oder einer GPS basierten StandortInformation (GPS - Global Positioning System) sein.

In einer Erweiterung des ersten Ausführungsbeispiels kann der Zulässigkeitsinformation ZINFO noch eine erste Anwendungsin ^¬ formation ANWI1 zum Durchführen von einer ersten Anwendung APP1 des Geräts G hinzugefügt werden. Diese Anwendungsinfor ^¬ mation AUTH1 zeigt an, welche Anwendung bzw. Anwendungen APP1 das Gerät G durchführen darf, falls sowohl die Überprüfung PROOFl als auch die Ermittlung PROOF2 der Zulässigkeit posi ^¬ tiv sind. Beispielsweise darf in diesem Fall die Pumpe auch in einem kritischen Bereich der industriellen Anlage betrie ^¬ ben werden, z.B. in einem Bereich bei dem die Pumpe sehr hei ^¬ ße und sehr kalte Medien pumpen muss. So kann mit Hilfe der Angabe der ersten Anwendung APP1 angezeigt werden, in welchen Bereichen der industriellen Anlage die Pumpe eingesetzt wer ^¬ den darf. Somit wird die Zulässigkeit des Zertifikats für die erste Anwendung ermittelt. In einer Weiterbildung des Beispiels kann die Zulassigkeits- information ZINFO durch eine zweite Anwendungsinformation ANWI2 zum Durchführen einer oder mehrerer zweiter Anwendungen APP2 ergänzt werden. Hierbei wird angegeben, welche Aufgaben bzw. Anwendungen das Gerät durchführen darf, falls die Über ^¬ prüfung PROOF1 positiv ist und Ermittlung PROOF2 der Zuläs- sigkeit negativ verlief. Dies bedeutet, dass zwar die Signa ^¬ tur des Zertifikats gültig ist, jedoch das Zertifikat (oder Referenzen auf das Zertifikat) auf keiner gültigen Positiv ^¬ liste der Überprüfungseinheit Z zugänglich ist. Eine mögliche zweite Anwendung APP2 kann in diesem Fall derart gestaltet sein, dass die Pumpe G in der industriellen Anlage nicht ein ^¬ gesetzt werden darf. In einer anderen Ausgestaltung kann der Pumpe G lediglich eine nichtkritische Aufgabe übertragen wer ^¬ den, wie beispielsweise ein Einsatz zum Pumpen von Medien in einem nichtkritischen Temperaturbereich, beispielsweise von 10 bis 25°C. Ferner könnte eine Ausgestaltung der zweiten An ^¬ wendung derart durchgeführt werden, dass die Pumpe zwar an einer Kommunikation mit einem oder mehreren benachbarten Ge ^¬ räten und der Überprüfungseinheit teilnehmen darf, selbst je ^¬ doch kein Medium pumpen darf.

Das Erzeugen der Nachricht VMSG wird anhand von Figur 4 näher erläutert. Diese zeigt vier Schritte S0,...,S3, die ein Ablauf ^¬ diagramm zur Erzeugung darstellen. Ferner verkörpert Figur 4 auch eine erste Vorrichtung VOR1 mit einer ersten Einheit Ml und einer zweiten Einheit M2 zum Durchführen der Schritte zum Erstellen der Nachricht.

In einem Schritt SO startet das Ablaufdiagramm.

In einem ersten Schritt Sl, realisiert durch die erste Ein ^¬ heit Ml, wird das Zertifikat umfassend zumindest die Signatur SIG erzeugt.

In einem zweiten Schritt S2 wird der Nachricht VMSG die Zu- lässigkeitsinformation ZINFO hinzugefügt. Dieser zweite Schritt S2 wird durch die zweite Einheit M2 ausgeführt. . Das Hinzufügen der Zulässigkeitsinformation ZINFO zu der Nach ^¬ richt VMSG kann insbesondere dadurch erfolgen, dass das Zer ^¬ tifikat, das die Zulässigkeitsinformation umfasst, der Nach- rieht ZINFO hinzugefügt wird.

Das Ablaufdiagramm gemäß Figur 2 wird in einem dritten

Schritt S3 beendet. In einem weiteren Ausführungsbeispiel sollen spezifische

Schritte zum Autorisieren der Pumpe anhand der Nachricht VMSG mit Hilfe von Figur 5 näher erläutert werden. Figur 5 zeigt zum einen ein Ablaufdiagramm mit den Schritten TO bis T10 so ^¬ wie auch mehrere Einheiten M3,..., M5 zum Durchführen der

Schritte. Die Einheiten verkörpern eine zweite Vorrichtung VOR2.

Das Ablaufdiagramm startet im Schritt TO. Im ersten Schritt Tl empfängt die zweite Vorrichtung V2 die

Nachricht VMSG. Für die Darstellung von Figur 5 wird angenom ^¬ men, dass die Nachricht VMSG neben dem Zertifikat auch die Zulässigkeitsinformation ZINFO umfasst, wobei die Zulässig ^¬ keitsinformation die Gültigkeitsinformation Gl vom Typ maxi- mal zulässiges Alter MAXG der Positivliste WL umfasst. Vor ^¬ zugsweise ist die Zulässigkeitsinformation ZINFO im Zertifi ^¬ kat eincodiert. Sie kann jedoch auch als separate Information in der Nachricht VMSG eincodiert sein. Zudem weist die Nach ^¬ richt VMSG zusätzlich noch die erste und die zweite Anwen- dungsinformation ANWI1, ANW2 auf. Die erste und die zweite Anwendungsinformation ANWI1, ANW2 können dabei jeweils im Zertifikat eincodiert sein oder sie können als separate In ^¬ formation in der Nachricht VMSG eincodiert sein. In einem nachfolgenden zweiten Schritt T2 wird die Überprü ^¬ fung PROOF1 der Authentizität des Zertifikats mit Hilfe der Signatur SIG des Zertifikats ZERT durchgeführt. Eine dritte Einheit M3 realisiert den zweiten Schritt T2 und eine fünfte Einheit M5 den dritten Schritt T3.

In einem dritten Schritt T3 wird überprüft, ob die Überprü ^¬ fung PROOF1 positiv oder negativ ist. Ist sie negativ, so wird der dritte Schritt T3 im Pfad N verlassen und nachfol- gend ein zehnter Schritt T10 ausgeführt. War die Überprüfung PROOF1 positiv, so wird der dritte Schritt T3 über den Pfad J verlassen und nachfolgend ein vierter Schritt T4 ausgeführt.

In dem vierten Schritt T4 wird zunächst die Gültigkeitsinfor- mation, repräsentiert durch das maximal zulässige Alter MAXG, verwendet, um die zu der Ermittlung der Zulässigkeit vorlie ^¬ genden Positivlisten WL auszuwählen. Liegen der Überprüfungs ^¬ einheit Z keine Positivlisten WL vor, die die Gültigkeitsin ^¬ formation Gl bezüglich erfüllen, so ist eine erste Stufe der Ermittlung PROOF2 negativ. Ansonsten ist diese erste Stufe positiv .

In einem fünften Schritt T5 wird bei einem negativen Ergebnis der ersten Stufe ein Pfad N beschritten, der in einem neunten Schritt T9 endet. Ansonsten führt der fünfte Schritt T5 das Ablaufdiagramm über einen Pfad J zu einem sechsten Schritt T6.

In einem sechsten Schritt T6 wird im Rahmen einer zweiten Stufe der Ermittlung PROOF2 bestimmt, ob das Zertifikat bzw. eine davon abgeleiteter Suchwert in der Positivliste WL zu finden ist. Ist ein Eintrag für das Zertifikat bzw. der abge ^¬ leiteten Suchwert in der Positivliste vorhanden, der sich auf das Zertifikat bezieht, so ist die zweite Stufe der Ermitt- lung im sechsten Schritt T6 positiv. Ansonsten ist die zweite Stufe im sechsten Schritt T6 negativ.

In einem nachfolgenden siebten Schritt T7 wird die zweite Stufe der Ermittlung des sechsten Schritts T6 analysiert. Ist dieser negativ, so wird der siebte Schritt über den Pfad N verlassen und das Ablaufdiagramm im neunten Schritt T9 fort ^¬ gesetzt. Ansonsten führt das Ablaufdiagramm über den Pfad J von dem siebten Schritt zum achten Schritt T8.

In einer weiteren Ausführungsform der Erfindung kann die Nachricht VMSG derart aufgebaut sein, dass lediglich die Zu- lässigkeitsinformation ZINFO in Form eines Hinweissignals FLG ausgebildet ist, d.h. keine Gültigkeitsinformation Gl in der Nachricht VMSG vorhanden ist. In diesem Fall wird die Ermitt ^¬ lung PROOF2 der Zulässigkeit lediglich durch die Schritte T6, T7 verwirklicht. Die vierten und fünften Schritte T4, T5 wer ^¬ den dabei übersprungen. Eine vierte Einheit realisiert den vierten bzw. sechsten Schritt T4, T6 und die fünfte Einheit M5 den fünften bzw. siebten Schritt T6, F7

In einem achten Schritt T8 befindet sich das Ablaufdiagramm, falls sowohl die Überprüfung PROOF1 auf Authentizität des Zertifikats als auch die Ermittlung PROOF2 bezüglich einer Zulässigkeit des Zertifikats anhand der Positivliste WL je ^¬ weils positiv ist. In diesem Fall wird in dem achten Schritt T8 das Gerät, d.h. die Pumpe G, autorisiert eine erste Kate ^¬ gorie Kl an Anwendungen, wie bspw. der ersten Anwendung APP1, durchzuführen. Nach Abschluss des Anwendens der ersten Kate- gorie Kl an Anwendungen wird der achte Schritt durch Aufruf des letzten Schritts T10 beendet. Die erste Kategorie an An ^¬ wendungen kann aber muss nicht durch die erste Anwendungsin ^¬ formation definiert sein. So kann per default festgelegt sein, dass die erste Kategorie an Anwendungen eine Freigabe des Geräts zum Betrieb darstellt.

In dem neunten Schritt T9 zeigt das Ablaufdiagramm an, dass die Überprüfung auf Authentizität des Zertifikats positiv war. Jedoch ist in diesem neunten Schritt T9 die Ermittlung der Zulässigkeit des Zertifikats anhand der Positivliste ne ^¬ gativ. Somit kann im neunten Schritt die Pumpe eine zweite Kategorie K2 an Anwendungen autorisiert werden. Die zweite Kategorie an Anwendungen kann beispielsweise dadurch gestal ^¬ tet sein, dass keine Anwendungen ausgeführt werden dürfen und die Pumpe für den Einsatz in der industriellen Anlage nicht zugelassen wird. Alternativ kann im neunten Schritt T9 durch die Pumpe eine zweite Anwendung APP2, die beispielsweise nicht sicherheitskritisch ist, durchgeführt werden. Nach Ab- schluss des neunten Schritts T9 wird das Ablaufdiagramm in den zehnten Schritt T10 fortgesetzt.

In dem zehnten Schritt T10 wird das Ablaufdiagramm der Figur 5 beendet.

Die Ermittlung PROOF2 bezüglich der Zulässigkeit des Zertifi ^¬ kats kann anhand zumindest eines der folgenden Ausführungspa ^¬ rameter APA des Zertifikats und der Positivliste durchgeführt werden:

- Seriennummer des Zertifikats: Anhand der Seriennummer des Zertifikats, die in der Nachricht VMSG enthalten ist, kann die Überprüfungseinheit Z das Zertifikat in der Positivliste WL lokalisieren.

- Aussteller des Zertifikats: Die Überprüfungseinheit Z kann ein Durchführen der zweiten Überprüfung auch abhän ^¬ gig von dem Aussteller des Zertifikats durchführen. Ist beispielsweise ein Aussteller des Zertifikats in der Po- _Ί „

i y sitivliste nicht verzeichnet, so ist die zweite Überprü ^¬ fung PROOF2 negativ.

- Fingerprint des Zertifikats: Unter Fingerprint des Zer ^¬ tifikats wird verstanden, dass nicht das Zertifikat an sich, sondern das Zertifikat in einer codierten Form, z.B. in einer Hash-Codierung, zur Durchführung der Er ^¬ mittlung der Zulässigkeit verwendet wird. So kann der Hash-Wert des Zertifikats durch die Überprüfungseinheit aus dem Zertifikat der Nachricht VMSG gewonnen werden. Nachfolgend wird dieser Hash-Wert verwendet, um in der

Positivliste einen gleichlautenden Hash-Wert zu identi ^¬ fizieren. Wird der gleichlautende Hash-Wert nicht gefun ^¬ den, so ist die Ermittlung negativ, ansonsten positiv.

- Fingerprint des öffentlichen Schlüssels im Signatur: Die Vorgehensweise hierzu ist analog zum Punkt „Fingerprint des Zertifikats", wobei anstelle des gesamten Zertifi ^¬ kats nur der öffentliche Schlüssel die Signatur zu der Ermittlung eingesetzt wird

- Kopie des Zertifikats: Die Vorgehensweise ist analog zu „Fingerprint des Zertifikats", wobei anstelle einer co ^¬ dierten Form des Zertifikats in dieser Variante der Er ^¬ findung das Zertifikat im Klartext verwendet werden kann. Somit stellt das Zertifikat im Klartext den Index dar, der in der Positivliste gesucht werden soll. In einer Weiterbildung der Erfindung kann die Nachricht auch einen der zuvor genannten Ausführungsparameter APA aufweisen. Hierdurch wird der Überprüfungseinheit mitgeteilt, welcher der Parameter zur Lokalisierung des Zertifikats in der Posi ^¬ tivliste verwendet werden soll.

Figur 6 zeigt eine Nachricht mit dem Zertifikat ZERT und der Zulässigkeitsinformation ZINFO. Das Beispiel gemäß Figur 6 stellt die Codierung gemäß X.509 mittels ASN .1-Codierung (ASN.l = Abstract Syntax Notation One) für ein sogenanntes Identitätszertifikat dar. Die Nachricht gemäß Figur 6 unter ^¬ teilt sich in den Bereich Zertifikat ZERT und in den Bereich beschreibend die Zulässigkeitsinformation ZINFO. Die Zuläs- sigkeitsinformation ZINFO beschreibt ferner die Gültigkeits ^¬ informationen Gl Angabe auf zu verwendende Positivliste REF und zulässiger Aussteller ZULA der Positivliste, sowie Aus ^¬ führungsparameter APA zur Durchführung der Ermittlung der Zu ^¬ lässigkeit PROOF2. Eine Besonderheit bezüglich der Ausfüh- rungsparameter APA ist, dass der Überprüfungseinheit Z drei Optionen zur Durchführung der Ermittlung mitgegeben werden. So kann die Überprüfungseinheit Z die zweite Überprüfung an ^¬ hand der Seriennummer, des Fingerprints des Zertifikats oder des Fingerprints des öffentlichen Schlüssels durchführen. Anstelle der Verwendung eines Identitätszertifikats kann die Erfindung auch für ein Attribut Zertifikat eingesetzt werden. Die Vorgehensweise hierbei ist analog zu der Darstellung in Figur 6. Eine erste Vorrichtung zum Erzeugen der Nachricht wird durch die erste und zweite Einheit realisiert. Die erste und zweite Einheit stellen somit die Überprüfungseinheit Z dar. Die zweite Vorrichtung zum Autorisieren des Geräts wird durch die dritte, vierte und fünfte Einheit Mittel realisiert.

Die in der Beschreibung dargestellten Einheiten können in Software, Hardware oder in einer Kombination aus Software und Hardware realisiert werden. Dabei können einzelne Schritte der Erfindung in einer maschinenlesbaren Form in einem Spei- eher abgelegt werden, wobei der Speicher mit einem Prozessor derart verbunden ist, dass der Prozessor die maschinenlesba ^¬ ren Befehle ausliest und verarbeiten kann. Ferner können dem Prozessor Ein- und Ausgabeschnittstellen zum Austausch von Daten zu dem Prozessor bzw. von dem Prozessor angekoppelt sein .

Die Erfindung und ihre Weiterbildungen wurden anhand von meh- reren Beispielen erläutert. Die Erfindung ist nicht auf diese speziellen Ausführungsbeispiele beschränkt. Zudem können die Ausführungsbeispiele und die Weiterbildungen in beliebiger Art und Weise kombiniert werden.