Das Thema individuelle Produktion in Losgröße 1 ist in Branchen wie der Möbelindustrie schon heute gelebte Realität. Dies geht soweit, dass der Kunde neben der Auswahl unzähliger Ausstattungsoptionen die Abmessungen seiner Schränke individuell bestimmen kann. Die Maschinen- und Software-Lieferanten in dieser Branche haben in den letzten 20 Jahren bereits sehr viel in automatische Abläufe investiert, dabei aber das Thema IT-Security so gut wie überhaupt nicht betrachtet. Im Rahmen des Forschungsprojektes IUNO wurden nun Lösungsansätze erarbeitet, um dieses Defizit zu beheben.

Die Produktionsanlagen in der Möbelindustrie sind bereits so gebaut, dass sie Werkstücke in Losgröße 1 nahezu genauso schnell fertigen können wie Serienteile – sprich mit Taktraten im Bereich von zwei bis drei Sekunden. Da bei dieser Geschwindigkeit eine manuelle Dateneingabe nicht möglich ist, sind die Maschinen umfangreich vernetzt und die Werkstücke lassen sich über Barcodes von Hand oder automatisch identifizieren.

Vertikale und horizontale Vernetzung am Beispiel Möbelfertigung.

© Homag Group

Genauso ist aber auch der Prozess vom Verkauf der Möbel, über die Generierung des Fertigungsauftrags und der Bearbeitungsprogramme bis zur Übertragung an die Bearbeitungsmaschinen weitestgehend automatisiert. Mit anderen Worten: Die Produktion ist sowohl horizontal als auch vertikal durchgehend vernetzt.

Was bedeutet das nun mit Blick auf die Security einer solchermaßen vernetzten Produktion? Um diese Frage zu beantworten, hat man sich im Rahmen des Forschungsprojektes IUNO im Detail mit den einzelnen Prozessen befasst und diese in vier Szenarien (Use Cases) einsortiert:

1. Produktentstehung
2. Produktionsplanung
3. Produktion
4. Service

Für alle diese Szenarien führte das Fraunhofer SIT zunächst eine Bedrohungs- und Risikoanalyse durch. Das heißt: Die vorgesehenen Use Cases wurden zu einem Datenflussdiagramm (DFD) zusammengefasst, welches dann einer Bedrohungsanalyse mittels ‚Stride‘ (von Microsoft entwickelten Klassifizierung für die Bedrohung von Systemen) und einer anschließenden Risikobewertung mittels ‚Fair‘ (Methode zur Betrachtung von Verlusthöhe und Verlustfrequenz) unterzogen wurde. Dieser initiale Schritt war essenziell, um überhaupt zu wissen, was es jeweils zu schützen gilt und was nicht.

Dies ist auch eine wichtige Erkenntnis für alle Firmen, die mit dem Thema IT-Security befasst sind: Man muss sich zunächst über die schützenswerten Güter (Assets) klar werden, bevor man sich Gedanken darüber macht, wie etwas zu schützen ist. Dabei muss aber auch jedem klar sein: 100 % Sicherheit ist unmöglich! Ergo gilt es, sich auf die besonders schützenswerten Assets zu konzentrieren.

Die Produktentstehung

Komponenten der ­Produktentstehung, um kundenindividuelle Auf­träge hochautomatisiert abwickeln zu können.

© Duravit

Das Szenario Produktentstehung wurde hauptsächlich von der Firma Duravit, einem Hersteller von Badmöbeln, erarbeitet. Betrachtet wurde dabei die Generierung der Produktionsdaten aus der Produktentwicklung und dem Kundenauftrag mit allen beteiligten Komponenten und Schnittstellen.

Die Bedrohungs- und Risikoanalyse in diesem Use Case hat schließlich ergeben, dass es sich bei den CAD-Modellen und den daraus abgeleiteten XML-Möbel­beschreibungsdaten um besonders schützenswerte Daten handelt. Die wesentlichen Bedrohungen hierbei sind die Verletzung der Verfügbarkeit und Integrität mittels Tampering, einer Angriffsmethode um Daten zu manipulieren, oder DoS (Denial of Service). Letzteres ist eine Angriffsmethode mit hochfrequenten Anfragen, sodass der Server letztendlich zusammenbricht. Bei den parame­trisierbaren CAD-Modellen und XML-Daten hat die Bedrohungsanalyse gezeigt, dass eine weitere wesentliche Bedrohung in der Verletzung der Vertraulichkeit besteht. 

Um die IT-Security zu erhöhen, wurden schließlich verschiedene Maßnahmen implementiert: Um einen Missbrauch der CAD-Daten zu verhindern, erfolgt bereits bei der Generierung eine Verschlüsselung mit einem kryptographischem Schlüssel durch das CAD-System. Ein Tool zur Generierung von solchen Schlüsseln ist direkt im CAD-System integriert. Somit sind die CAD-Daten von Außenstehenden nicht verwendbar und das Know-how bleibt verlässlich bei Duravit. Zudem wird der Server für die XML-Daten durch eine Firewall abgesichert und die Daten werden um einen Hashwert zur Integritätsprüfung ergänzt.

Die Produktionsplanung

Bei Nobilia, einem Hersteller von Küchenmöbeln, lag der Schwerpunkt im Bereich der Produktionsplanung. Bei einer Einzellos-Fertigung kommt es immer wieder vor, dass kundenindividuelle Einzelteile auf einer Maschine nicht gefertigt werden können und es deshalb zu Stillständen kommt. Dieser Use Case beinhaltet deshalb eine Simulation des Produktionsablaufs für jedes Werkstück an virtuellen Maschinen – im Industrie-4.0-Kontext spricht man hier vom ‚digitalen Zwilling‘ sowohl des Werkstückes als auch der Produktionseinrichtungen. Von Nobilia kommen in diesem Fall die Werkstückdaten, von Homag die Maschinenmodelle und beim Fraunhofer AISEC entstand schließlich die Einbettung in das Gesamtsystem ­beziehungsweise die Ansteuerung der Simulationssoftware.

Die Bedrohungs- und Risikoanalyse dieses Use Case hat ergeben, dass die aufbereiteten Auftrags-, Produktions-, und Maschinendaten sowie die Maschinentemplates die besonders schützenswerten Daten sind. Relevante Bedrohungen sind die Verletzung von Verfügbarkeit und Integrität, während die Vertraulichkeit nicht von Bedeutung ist. Eine zentrale Schwach­stelle im System bildet der Ergebnisspeicher der Simulation.

Die Absicherung der Produktionsplanung zu den außerhalb gelegenen Systemen erfolgt in diesem IUNO-Szenario über verschlüsselte Verbindungen mit von der Nobilia IT erzeugten kryptografischen Schlüsseln. Die eigentliche Simulation und der Ergebnisspeicher werden mittels Firewalls und einer Benutzerverwaltung geschützt. Last but not least geschieht die Anbindung an das Fertigungsnetz bei Nobilia über eine ‚Nur lesen‘-Verbindung, sodass sich eine Manipulation der Daten zuverlässig verhindern lässt.

Die Produktion

Für die Abbildung des Szenarios ‚Produktion‘ wurde bei Duravit das ‚Intelligente Werkstück‘ an einer Bearbeitungsmaschine mit ihrem Umfeld betrachtet. Dabei geht es darum, den Prozess des Beladens und Entladens einer Bearbeitungsmaschine datentechnisch zu automatisieren, wobei die dazu notwendige Kommunikation abgesichert erfolgen soll.

Konkret wurde ein Transportwagen zuvor so beladen, dass die Reihenfolge der Werkstücke darauf bekannt ist. Die Identifikation des Wagens selbst erfolgt über einen RFID-Chip, sobald dieser vor der Maschine abgestellt wird. Der Maschinenbediener entnimmt nun nacheinander die Teile und legt sie auf einen der beiden Bearbeitungsplätze der Maschine. Über eine Smartwatch am Handgelenk des Bedieners und sogenannte ‚Bluetooth Beacons‘ an den beiden Bearbeitungsplätzen der Maschine erkennt das Steuerungssystem auf welchem Platz der Bediener das Werkstück auflegen möchte. Nachdem das Auflegen des Werkstückes ebenfalls über die Smartwatch quittiert wurde, führt ein Kamerasystem eine optische Plausibilitätsprüfung des eingelegten Werkstücks anhand der Abmessungen durch und startet schließlich die Bearbeitung.

Durch die Vernetzung der verschiedenen Komponenten besitzt dieses System diverse Schwachstellen in Bezug auf die Datensicherheit – insbesondere in puncto Datenübertragung von einem System zum nächsten. Generell stellen Schnittstellen immer ein erhöhtes Sicherheitsrisiko dar, denn dort lassen sich Angriffe viel leichter ansetzen als innerhalb eines geschlossenen Systems. Die Probleme an den Schnittstellen zwischen Steuerungssystemen lassen sich durch die Verwendung des Industriestandards OPC UA beheben, welcher durch Verschlüsselung und Authentifizierung eine sichere Kommunikation ermöglicht. Dies wurde auch durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt.

Alle anderen Bereiche, wie beispielsweise die Bluetooth ­Beacons oder die RFID-Tags können lediglich ausgelesen und nicht verändert werden. Falls ein Angreifer diese ausliest, entsteht auch kein Schaden für das Unternehmen, weshalb diese Stellen in Bezug auf IT-Security zu vernachlässigen sind. Die zweite Komponente zur Verbesserung der Sicherheit ist der ASIC-Sicherheitsbaustein CodeMeter von Wibu Systems. ­Dieser schützt mittels Zertifikaten die im RFID-Tag gespei­cherten Daten.

Der Service

Homag schließlich hat im Rahmen von IUNO betrachtet, wie sich durch neue Service-Ansätze die Verfügbarkeit der Maschinen bei den Betreibern erhöhen lässt. Cloud-basierte Dienste stellen hierzu vielversprechende Ansätze dar. Als Kommunikationsprotokoll soll ebenfalls OPC UA zum Einsatz kommen, da sich dieses Protokoll als zukünftiger internationaler Standard für die Industrie-4.0-Kommunikation zu etablieren scheint.

Die durchgeführte Bedrohungsanalyse für die Kommunikation der Anwendungen mittels OPC UA basiert auf einer erweiterten Betrachtung einer bereits 2016 vom BSI durchgeführten Analyse. Dabei erfolgte eine Bewertung identifizierter Bedrohungen mit einer Ampel-Skala von CVSS-Werten (Common Vulnerability Scoring System). Als Bedrohungen mit hoher Kritikalität wurden die Manipulation von Nachrichten sowie direkte Angriffe auf das Betriebssystem identifiziert. Weitere wesentliche Bedrohungen sind verschiedene DoS-Angriffe von nicht vertrauenswürdigen Clients oder Servern, das Senden nicht lesbarer Nachrichten sowie direkte Angriffe auf private Schlüssel. Letztere zeichnen sich als besonders schützenswerte Objekte ab, deren Schutz verbessert werden muss. Denn ein potenzieller Angreifer, welcher im Besitz eines solchen Schlüssels sein sollte, kann die gesamte Security aufbrechen. Abhilfe kann hier ein Schlüsselspeicher schaffen, der direkt in der Hardware verankert ist – etwa in einem TPM-Chip.

Lösungsansatz mit globaler Zertifizierungsstelle zur automatischen Generierung von Zertifikaten, zum Beispiel für die OPC-UA-Kommunikation.

© Homag Group

Im Gegensatz zum Szenario Produktion ist beim OPC-UA-Einsatz im Service-Kontext zu beachten, dass es sich hier um eine globale Zertifikatsinstanz handeln muss. Diese stellt nicht nur für die Demonstratoren Duravit und Nobilia die Zertifikate aus, sondern gleichermaßen für alle Anwendungen von Homag, die weltweit bei den Betreibern der entsprechenden Maschinen zum Einsatz kommen.

Die Einrichtung einer solchen Zertifizierungsstelle bedeutet allerdings einen nicht zu unterschätzenden Aufwand. Es gibt hierzu zwar Erfahrungen im Bereich der Office-IT, aber noch keine im direkten Produktionsumfeld. Außerdem ist noch nicht geklärt, wie sich hier Fremdmaschinen vernünftig einbinden lassen, denn die Maschinen mehrerer unabhängiger Firmen müssen jetzt demselben Schlüssel vertrauen. 

Was in diesem Kontext auch zu betrachten ist: Nicht alle Maschinen verfügen ständig über einen Internet-Anschluss und dementsprechend können sich die Zertifikate bei Ablauf nicht selbstständig erneuern. Dies hätte dann zur Folge, dass die Maschinen nicht mehr produzieren könnten, weil die OPC-UA-Kommunikation nicht mehr funktioniert. Folglich muss in diesem Kontext auch ein Konzept entwickelt werden, welches diejenigen Maschinen abdeckt, welche keine Verbindung zu einer globalen Zertifizierungsstelle haben. Hierbei würde die Verfügbarkeit der Maschinen auf Kosten der Security mehr in den Fokus rücken.

Zusammenfassend lässt sich festhalten: Im Arbeitspaket ­‚Kundenindividuelle Produktion‘ von IUNO ist der Nachweis gelungen, dass das Thema IT-Security in allen an der Produktion beteiligten Bereichen lösbar ist. Allerdings gibt es oftmals noch keine direkt kaufbaren Produkte, die einfach einsetzbar sind. Stattdessen muss man sich diese mit einem gewissen Aufwand und Detailwissen bisher selbst zusammenstellen. Dies kann und darf aber keine Ausrede sein, sich mit dem Thema nicht zu ­befassen. Es wird hier sicherlich in absehbarer Zeit Lösungen geben, die problemlos einsetzbar sind, ohne dass man ein ab­soluter IT-Security-Fachmann sein muss.

Autor:
Ernst Esslinger ist Director Methods / Tools Systems bei Homag und Koordinator des Forschungsprojekts IUNO.

Das IUNO-Projekt

Bei IUNO handelt es sich um ein öffentlich gefördertes Forschungsprojekt des Bundesministeriums für Bildung und Forschung (BMBF). 14 Industrieunternehmen sowie sieben Forschungseinrichtungen verfolgen dabei ein gemeinsames Ziel: die Absicherung der Produktion von morgen gegen Angriffe von außen, insbesondere gegen Spionage, Sabotage und Manipulationen. Im Projekt werden insgesamt vier Demonstratoren entwickelt, die jeweils von einem Industriepartner geleitet werden. Im Einzelnen geht es dabei um folgende Teilaspekte beziehungsweise Anwendungsfälle:

• Sichere Daten / Technologiedatenmarktplatz
• Sichere Vernetzung / Visueller Security-Leitstand
• Sichere Dienste / Fernwartung von Produktionsanlagen
• Sichere Prozesse / Kundenindividuelle ­Produktion