_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Geraeteidentitaet & Provisioning

Sicher ab dem ersten Einschalten.

Zero-Touch-Onboarding, X.509-Zertifikate, Flottenmanagement. Sichere Verwaltung tausender IoT-Geraete.

IoT-Provisioning anfragen Zurueck zu IoT & Automatisierung
4-12 Wochen
Implementierung
99,95%
Verfuegbarkeit
<100ms
Latenz
<12 Monate
ROI

Warum Geraeteidentitaet wichtig ist

Ohne verifizierte Identitaet ist jedes Geraet ein potenzieller Angreifer. Das Mirai-IoT-Botnet infizierte Hunderttausende von Geraeten ueber Standard-Zugangsdaten. Eine Kamera, ein Sensor, ein Gateway — alles ohne Identitaet ist eine offene Tuer in Ihr Netzwerk.

Geraeteidentitaet ist kein optionales Sicherheitsfeature. Sie ist das Fundament des gesamten IoT-Stacks. Ohne Identitaet koennen Sie nicht: Datenzugriff autorisieren, Konfiguration an das richtige Geraet liefern, auditieren wer was getan hat, oder Ihre Flotte remote verwalten.

Zero-Touch Provisioning

Wie es funktioniert

  1. Fertigung: Ein eindeutiger Identifikator und Enrollment-Credentials (Bootstrap-Zertifikat oder Registrierungstoken) werden auf der Produktionslinie in das Geraet geschrieben
  2. Erster Start: Das Geraet startet, verbindet sich mit dem Provisioning Service und praesentiert seine Enrollment-Credentials
  3. Verifizierung: Der Provisioning Service verifiziert Credentials gegen die Enrollment-Datenbank
  4. Zertifikatsausstellung: Nach Verifizierung erhaelt das Geraet sein Runtime-Zertifikat und seine Konfiguration
  5. Betriebsbereit: Das Geraet ist voll betriebsbereit — kommuniziert mit dem Backend ueber mTLS

Gesamter Prozess unter 30 Sekunden. Kein Techniker, kein Laptop, keine manuellen Schritte. Auspacken, einschalten, funktioniert.

Enrollment-Flows

Verschiedene Szenarien erfordern verschiedene Enrollment-Methoden:

Manufacturing Provisioning: Zertifikat oder Seed auf der Produktionslinie geschrieben. Am sichersten — Identitaet ist im Geraet von Geburt an. Erfordert Integration mit dem Fertigungsprozess. Geeignet fuer eigene Hardware.

Field Provisioning: Techniker haelt ein Telefon an das Geraet, scannt einen QR-Code, Geraet aktiviert sich. Einfacheres Deployment, geeignet fuer Nachruestung bestehender Hardware. Mobile Provisioning App mit Offline-Unterstuetzung.

Self-Provisioning: Geraet registriert sich selbst ueber einen Enrollment Service. Operator-Bestaetigung in der Management-Konsole. Geeignet fuer BYOD-Szenarien oder Dev/Test-Umgebungen.

Group Enrollment: Alle Geraete aus einer Produktionscharge teilen ein Gruppenzertifikat. Nach der ersten Verbindung erhalten sie ein individuelles Runtime-Zertifikat. Vereinfacht die Fertigung bei Erhalt der individuellen Identitaet.

X.509-Zertifikatsinfrastruktur

PKI-Architektur

Dreistufige Hierarchie fuer Enterprise IoT:

  • Root CA: Offline, im HSM. Signiert Intermediate CAs. Gueltigkeit 10-20 Jahre.
  • Intermediate CA: Signiert Geraetezertifikate. Getrennt per Umgebung (Prod, Staging) oder per Region. Gueltigkeit 3-5 Jahre.
  • Geraetezertifikate: Einzigartig pro Geraet. Gueltigkeit 1-2 Jahre. Automatische Rotation.

HSM (Hardware Security Module): Der Root CA Private Key verlaesst niemals das HSM. Azure Key Vault, AWS CloudHSM oder On-Premise HSM (Thales, Utimaco).

Mutual TLS

Jede Geraet-↔-Backend-Kommunikation ist beidseitig authentifiziert:

  • Geraet verifiziert das Backend-Zertifikat (Schutz gegen Rogue Server)
  • Backend verifiziert das Geraetezertifikat (Schutz gegen Rogue Geraet)
  • Verschluesselter Kanal (TLS 1.3)
  • Keine Shared Secrets, keine API-Schluessel im Klartext

Zertifikats-Lebenszyklus

Ausstellung → Rotation → Widerruf

  • Automatische Rotation: Geraet fordert neues Zertifikat vor Ablauf des alten an. Ueberlappungsphase — beide Zertifikate gueltig. Zero Downtime.
  • Widerruf: Ein kompromittiertes Zertifikat wird sofort widerrufen. CRL (Certificate Revocation List) oder OCSP (Online Certificate Status Protocol). Backend lehnt Verbindungen mit widerrufenem Zertifikat ab.
  • Notfall-Rotation: Massenrotation der gesamten Flotte als Reaktion auf einen Sicherheitsvorfall. Gestaffelter Rollout — nicht alle Geraete gleichzeitig.

Flottenmanagement

Device Twin / Device Shadow

Virtuelle Repraesentation des physischen Geraets in der Cloud. Zwei Zustaende:

  • Desired State: Was wir wollen — Konfiguration, Firmware-Version, Parameter. Vom Operator gesetzt.
  • Reported State: Was ist — aktuelle Konfiguration, Firmware, Sensorstatus. Vom Geraet gemeldet.

Differenz zwischen Desired und Reported = Aktion. Gewuenschte Firmware v2.1, gemeldete v2.0 → OTA-Update wird automatisch ausgeloest.

Flottenweite Operationen

  • Gruppierung: Nach Standort, Geraetetyp, Firmware-Version, Kunde. Dynamische Gruppen (abfragebasiert).
  • Bulk-Operationen: Konfigurationsaenderung fuer eine gesamte Gruppe mit einem Befehl. Firmware-Update fuer alle Geraete in einer Region.
  • Monitoring: Flottenweite Metriken — wie viele Geraete online, offline, im Fehlerzustand. Drill-down auf einzelne Geraete.
  • Lebenszyklus: Provisioning → Aktiv → Wartung → Decommissioning. Automatisierter Workflow pro Zustand.

Alerting

  • Geraet laenger als Schwellenwert offline → Alert
  • Zertifikat laeuft innerhalb von 30 Tagen ab → Auto-Rotation oder Alert
  • Firmware-Version unter Minimum → erzwungenes Update
  • Anomales Verhalten (ungewoehnlicher Traffic, unerwarteter Standort) → Sicherheitsalert

Cloud und On-Premise

Azure IoT Hub DPS

Device Provisioning Service fuer Azure:

  • Automatisches Enrollment aus der Fertigung
  • Load Balancing ueber mehrere IoT Hubs
  • Re-Provisioning beim Verschieben von Geraeten zwischen IoT Hubs
  • Benutzerdefinierte Zuweisungsrichtlinien (Geolokation, Workload Balancing)
  • Integration mit Azure Key Vault fuer Zertifikatsmanagement

AWS IoT Core

  • Thing Registry mit Thing Types und Thing Groups
  • Fleet Provisioning Templates
  • Just-in-Time Provisioning (JITP) — Zertifikat bei erster Verbindung registriert
  • Bulk-Registrierung ueber S3

On-Premise / Hybrid

Fuer isolierte Netzwerke (Produktionshallen, kritische Infrastruktur):

  • HashiCorp Vault als PKI-Backend — Zertifikatsausstellung, Rotation, Widerruf
  • Custom Provisioning Service im lokalen Netzwerk
  • Cloud-Sync ueber Secure Gateway fuer zentrales Flottenmanagement
  • Air-Gapped Provisioning fuer hoechste Sicherheitsanforderungen

Technologie-Stack

PKI: HashiCorp Vault, Azure Key Vault, AWS Certificate Manager, step-ca, OpenSSL.

Provisioning: Azure IoT Hub DPS, AWS IoT Core, Custom Enrollment Service.

Flottenmanagement: Azure IoT Hub, AWS IoT Core, Custom Fleet Dashboard (Grafana).

Infrastruktur: Terraform, Ansible, Docker, Kubernetes.

Sicherheit: HSM, TPM, Secure Boot, IEC 62443 Compliance.

Häufig gestellte Fragen

Pilot auf einer Linie/Zone: 2-3 Monate. Scale-out auf den gesamten Betrieb: 6-12 Monate. Abhaengig von der Komplexitaet der Integration mit bestehenden Systemen.

Wir sind hardware-agnostisch. NVIDIA Jetson, Raspberry Pi, industrielle IPCs, Zebra-Scanner, diverse PLC-Marken. Wir waehlen basierend auf Anforderungen, Umgebung und Zertifizierungen.

Verwandt mit

IoT, Automatisierung & Robotik Industrielles IoT, Edge Computing, robotische Automatisierung.
Cloud & Platform Engineering Kubernetes, IaC, CI/CD und Cloud-Betrieb.
Logistik & E-Commerce Supply Chain, WMS, Fulfillment-Automatisierung

Haben Sie ein Projekt?

Lassen Sie uns darüber sprechen.

Termin vereinbaren