Zur besseren Veranschaulichung des Nutzens von Cloud Manufacturing und der damit verbundenen notwendigen Sicherheit wird das folgende Anwendungsszenario aus der Praxis beschrieben.

Anwendungsszenario – Nutzen und Risiko

Ein produzierendes Unternehmen beabsichtigt die Maschinen und Anlagen besser zu überwachen, um somit die Optimierung der Produktionsprozesse vorzunehmen. Daher soll eine Softwarelösung zum Einsatz kommen, welche schnell in den Prozess zu integrieren ist. Hierzu bietet sich die folgende KPI-App als Angebot eines Services über die Virtual Fort Knox-Plattform an, welche die Überwachung von Produktionsprozessen anhand ausgewählter Kennzahlen ermöglicht.

Die KPI-App ist eine Manufacturing App, die vergleichbare Systemanforderungen wie bei der Leistungsanalyse eines Manufacturing Execution Systems (MES) hat [4]. Der wesentliche Unterschied zwischen der KPI-App und einem herkömmlichen MES ist die dynamische Benutzeroberfläche (UI), das Systemverhalten und die Art der Bedienung der App. In Bild 2 ist ein Beispiel für die dynamische Benutzeroberfläche (UI) und den Funktionalitäten der KPI-App dargestellt.

Um den Nutzen eines Cloud-Services in Form einer Manufacturing App gegenüber einer herkömmlichen Softwareintegration zu zeigen, wird der typische Ablauf eines Integrationsprojektes für beide Seiten erläutert.

Die Softwareintegration erfolgt in der Regel in sechs Phasen: Anforderungsanalyse, Designphase, Customizing, Setup/Installation, Testbetrieb und Rollout. Dabei beträgt der Aufwand drei bis sechs Monate, je nach Anzahl der Anlagen und Maschinen. Die meisten Kosten fallen beim Kauf der Software, der notwendigen Server sowie den Lizenzgebühren an. Sowohl der firmeninterne Betrieb der IT Infrastruktur und Lizenzen als auch die Anpassung bzw. das „Customizing“ der Software kosten viel Zeit und Geld.

Für eine Cloud-basierte Lösung hingegen kommen z. B. vordefinierte Szenarien wie Reporting über die KPI-App zum Einsatz. Dabei beträgt der Aufwand im Gegensatz zur herkömmlichen Integration weniger als 24 Stunden. Voraussetzung dafür ist sicherlich eine vorherrschende Infrastruktur zur Integration von Maschinen und Anlagen im Virtual Fort Knox. Basierend darauf erfolgt der Kauf des Services über den VFK Marktplatz mit Auswahl der Zahlungsmodalitäten (z. B. pay per use), die Installation des Clients auf einem Endgerät und das Rollout in der Produktion. Der Vergleich zeigt, dass die KPI-App als Cloud-Service eine flexible, erweiterbare und kostengünstige Alternative gegenüber kompletten Softwarelösungen bietet.

Hinter der Vorteilhaftigkeit von Cloud-Services verbergen sich allerdings auch Risiken. Zum einen spielen die Vertraulichkeit und Verfügbarkeit von Daten, zum anderen die Integrität von Informationen eine wichtige Rolle [5]. Zur Gewährleistung werden in diesem Zusammenhang unterschiedliche Sicherheitsaspekte betrachtet. Neben der Softwaresicherheit, Datensicherheit, Betriebssicherheit und Netzwerksicherheit, ist vor allem der physischen Sicherheit eine wichtige Bedeutung zuzurechnen [6]. Der Aufwand für ein ganzheitliches Sicherheitskonzept ist insbesondere dann sinnvoll umzusetzen, wenn ein Unternehmen die Voraussetzung für eine vollumfängliche Nutzung von Cloud-basierten Lösungen schaffen möchte. Einzellösungen lassen sich meist effizienter unternehmensspezifisch implementieren.

Physische Sicherheit 

Zur Untersuchung der physischen Sicherheit bietet sich eine Orientierung an den Standards und Eckpunktepapieren des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an [7]. Die Basis für den Betrieb einer derartigen Cloud Manufacturing-Lösung bildet der Aufbau eines Informationssicherheitsmanagementsystems nach ISO 27001 mit der Vorgehensweise und Maßnahmen der BSI Standardreihe „100-2 IT-Grundschutz und Vorgehensweise“ [8]. Nach dieser Richtlinie sind folgende Schritte zur Erstellung eines Informationssicherheitskonzepts notwendig: Strukturanalyse, Schutzbedarfsfeststellung, Basis-Sicherheitscheck sowie ergänzende Sicherheitsanalysen.

Die Strukturanalyse liefert im ersten Schritt bereits gute Ergebnisse für ein besseres Verständnis der notwendigen Sicherheit in produzierenden Unternehmen. Sie beinhaltet im Wesentlichen die Erfassung der zum Geltungsbereich zugehörigen Geschäftsprozesse, Anwendungen und Informationen, die Netzplanerhebung und die Erfassung von IT-Systemen und ähnlichen Objekten. Da sich die hier zu untersuchenden Sicherheitsschnittstellen auf eher physikalische Komponenten mit räumlicher Zuordnung beziehen, werden vor allem die IT-Systeme und Räume sowie der Netzplan betrachtet.

Der Netzplan visualisiert den Aufbau des Sicherheitskonzepts innerhalb des Unternehmens und die entsprechenden Schnittstellen nach außen (Bild 3). Die zugehörigen Komponenten bzw. IT-Systeme sind dabei die Maschinen- bzw. CPS-Steuerungen, BDE-Terminals, Switches, Sicherheitsgateways, Router, automatische Identifikationssysteme, Server, Access Point sowie die verschiedenen Ein- und Ausgabegeräte wie bspw. Notebook, Büro-PC oder mobile Endgeräte. An dieser Stelle sind die Sicherheitsgateways als die wichtigsten Komponenten hervorzuheben. Hierzu werden alle möglichen Verschlüsselungen wie bspw. aus den Bereichen des Online-Bankings untersucht. Die IT-Systeme bilden die technische Grundlage auf der die Manufacturing Apps wie u. a. die KPI-App ausgeführt und zum Betrieb benötigt werden. Diese werden in IT-Systeme beim Serviceanbieter und beim jeweiligen Kunden untergliedert. Für den vorliegenden Betrachtungsbereich sind insbesondere die jeweiligen Systeme beim Kunden relevant.

Um eine räumliche Zuordnung der IT-Systeme vornehmen zu können, werden zunächst die wichtigsten Räume anhand verschiedener Sicherheitskriterien unterschieden. Zur Definition werden u. a. Faktoren wie der Schutz gegenüber elementaren Gefahren (Brand, Wasser, Sturm), Stromausfälle, Diebstahl und Vandalismus untersucht.

Ein hochgesicherter/gesicherte Serverraum wird definiert als ein besonders geschützter Raum gegenüber elementaren Gefahren (Feuer, Wasser, Wind, Erdbeben), Stromausfall, Diebstahl, Vandalismus und Manipulation. Während Schutz gegenüber elementaren Gefahren durch Standortwahl und bauliche Maßnahmen (z. B. Feuerlöschanlage) erreicht werden können, wird der Schutz gegenüber Diebstahl, Vandalismus und Manipulation durch mehrstufige Zugangskontrollen, einer Aufteilung der Befugnisse und Zutrittsprotokollierung erreicht. Ein Büroraum wird definiert als ein normal geschützter Raum gegenüber elementaren Gefahren, Diebstahl, Vandalismus und Manipulation. Bei Büroräumen ist im Gegensatz zum Serverraum keine Aufteilung der Befugnisse notwendig. Ein Produktionsgebäude sowie ein Lagergebäude werden ebenfalls als ein normal geschütztes Gebäude definiert. Daher gelten die gleichen Sicherheitsbestimmungen wie für einen Büroraum. Eine Lagerfläche im Außenbereich hingegen wird definiert als ein normal geschützter Bereich gegenüber Diebstahl, Vandalismus und Manipulation. Der Schutz gegenüber Diebstahl, Vandalismus und Manipulation wird in diesem Fall durch mehrstufige Zugangskontrollen, Zutrittsprotokollierung und bauliche Maßnahmen (z. B. Umzäunung, Kameraüberwachung) erreicht.

Nach detaillierter Definition der Räume und Flächen lassen sich die im Netzplan befindlichen IT-Systeme zuordnen (Bild 3). Es ist allerdings zu beachten, dass Mehrfachnennungen möglich sind, da bspw. mobile Endgeräte an verschiedenen Stellen im Unternehmen ihren Einsatz finden. Im gesicherten Serverraum befinden sich Router N3, Sicherheitsgateway N1 und N8, Switch N4, N7 und N9 sowie der Kundenserver C3. In den Büroräumen sind Büro PCs C1, Notebooks C1 bzw. mobile Endgeräte C2a-f aufzufinden. Das Produktionsgebäude beinhaltet Büro PCs C1, Notebooks C1 bzw. mobile Endgeräte C2a-f, BDE-Terminals C4, Maschinen- bzw. CPS-Steuerungen C5a-d und automatische Identifikationssysteme C5e. Die Lagergebäude umfassen mobile Endgeräte C2a-f, BDE-Terminals C4, Maschinensteuerungen C5a-d sowie automatische Identifikationssysteme C5e. Im Bereich der Außenlagerflächen sind meist nur mobile Endgeräte C2a-f in der Anwendung.

Fazit

Zusammenfassend kann festgestellt werden, dass der Einsatz von Cloud Manufacturing neben einem hohen Nutzen ebenfalls neue Risiken mit sich bringt. Für die Schaffung einer physischen Sicherheit sind sowohl die genaue Regelung der Schnittstellen zwischen Räumen und deren Sicherheitsbestimmungen als auch die wohlüberlegte Zuordnung der IT-Systeme notwendig.

Schlüsselwörter:

Cloud Manufacturing, Kennzahlen, KPI, Produktionsplanung, Fabriksicherheit, Sicherheitsschnittstellen, Software as a Service

Literatur:

[1] Xu, X.: From cloud computing to cloud manufacturing. Robotics and Computer-Integrated Manufacturing, 2011.
[2] Grenzenlose Vernetzung steigert Effizienz und Nachhaltigkeit, Nachhaltige Produktion September, http://www.virtualfortknox.de, 2012.
[3] Holtewert, P.; Wutzke, R.; Seidelmann, J.; Bauernhansl, T.: Virtual Fort Knox – Federative, secure and cloud-based platform for manufacturing. Forty Sixth CIRP Conference on Manufacturing Systems, Portugal (Setubal), 2013.
[4] VDI: VDI-Richtlinie 5600, Manufacturing Execution Systems (MES). Beuth, Berlin, 2007.
[5] Gligor, V. et. al.: Towards a Theory of Trust in Networks of Humans and Computers. In D. Hutchison, T. Kanade, J. Kittler, J. M. Kleinberg, F. Mattern, & J. C. Mitchell (Hrsg.), Lecture Notes in Computer Science (S. 223–242). Berlin, Heidelberg: Springer, 2011.
[6] Landherr, M.; Holtewert, P.; Kuhlmann, T.; Lucke, D.: Virtual Fort Knox – Eine flexible und sichere Plattform für Engineering Anwendungen in Fabrikplanung und -betrieb. wtOnline, Sonderheft Industrie 4.0, Oktober 2012.
[7] BSI.: Eckpunktepapier: Sicherheitsempfehlungen für Cloud Computing Anbieter. Bonn: Bundesamt für Sicherheit in der Informationstechnik, 2012.
[8] BSI.: Leitfaden Informationssicherheit. Bonn: Bundesamt für Sicherheit in der Informationstechnik, 2012.