Glossar

A

Angriffsmuster

Ein Angriffsmuster ist eine sich wiederholende Reihung von Aktionen, welche typisch für eine bestimmte Art eines Angriffs sind und an denen sich ein Angriff erkennen lässt.

Eine verbreitete Angriffsart ist beispielsweise der Man-in-the-Middle Angriff. Hierbei klinkt sich der Angreifer typischerweise in den Kommunikationskanal zwischen den Kommunikationspartnern ein. Er erlangt hiermit die Kontrolle über den Datenverkehr zwischen den Netzwerkteilnehmern, da dieser über den Angreifer als Mittelsmann läuft. Das bedeutet, der Angreifer kann die ausgetauschten Nachrichten nach Belieben einsehen und manipulieren.

Anomalieerkennung

Wie in Netzwerken im Office-Bereich, gibt es auch in Fertigungsnetzwerken Datenaustausch zwischen Maschinen. Dieser folgt im Normalfall einem bestimmten Muster, da der Datenverkehr direkt mit den an den Werkstücken durchgeführten Bearbeitungsschritten zusammenhängt. Mit Hilfe der Anomalieerkennung werden dabei im Netzwerk Abweichungen von diesem Muster (dem Normaldatenverkehr) erkannt, die auf einen Angriff hindeuten könnten.

In einem ersten Schritt erlernt das Anomalieerkennungssystem mit Hilfe verschiedener Algorithmen aus dem Bereich des maschinellen Lernens welchen Mustern der normale Datenverkehr folgt und verbessert die Güte der Klassifizierung in Normaldatenverkehr und Anomalie kontinuierlich.

Arbeitsvorbereitung

Die Arbeitsvorbereitung ist eine Phase im Produktlebenszyklus und beinhaltet Maßnahmen zur Vorbereitung der Produktion, in der Planungs- und Steuerungsaufgaben für die Fertigung bearbeitet werden. Die Arbeitsvorbereitung hat das Ziel, einen reibungsfreien und effizienten Ablauf zu gewährleisten. Sie kann in die Arbeitsplanung und Arbeitssteuerung unterteilt werden.

Asset (Bedrohungsmodellierung)

Im Kontext der Bedrohungsmodellierung versteht man unter einem Asset eine Ressource, der ein Wert beigemessen wird. Man unterscheidet 3 grundlegende Arten von Assets: Information Assets (Daten); Process Assets (Funktionen oder Software) und Physical Assets. Jeder Asset-Typ unterliegt dabei Bedrohungen, vor denen es geschützt werden muss.

Authentizität (Schutzziel)

Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Die Authentizität übertragener Daten zwischen zwei Anlagen kann beispielsweise durch eine digitale Signatur oder einen Nachrichtenauthentifizierungscode sichergestellt werden.

B

Bedrohung

Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann. Trifft eine Bedrohung auf eine Schwachstelle (insbesondere technische oder organisatorische Mängel), so entsteht eine Gefährdung. Eine Gefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ein Risiko ist ein eventuelles, hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung bewertetes, zukünftiges Ereignis.

Bedrohungsanalyse

Bei einer Bedrohungsanalyse erfolgt ausgehend von der Bestimmung der zu schützenden Werte eine Analyse der aktuell erkennbaren Bedrohungen, die auf diese Werte einwirken können. Zur Beurteilung von Gefahrenwerden Bedrohungen, denen ein System ausgesetzt ist, in einer Bedrohungsanalyse eingeschätzt.

Die Bedrohungsanalyse basiert auf einem Bedrohungsmodell, mit dessen Unterstützung frühzeitig potentielle Schwachstellen erkannt werden können, um so gezielt und effizient bereits in der Planungsphase von Anlagen und Komponenten Sicherheitsmaßnahmen zu etablieren.

Bedrohungsmodellierung

Abgeleitet von der Bedrohungsanalyse erfolgt die Bedrohungsmodellierung, bei der die IT-Systemlandschaft als Bewertungsfaktor einbezogen wird. Zudem werden innere und äußere Systemgrenzen bestimmt und Datenflüsse zwischen Systemkomponenten betrachtet. Oft ist dabei eine individuelle Behandlung einzelner Bedrohungen und Sicherheitslücken sowie die Kontrolle der implementierten Verfahren erforderlich.

Bei der Bedrohungsmodellierung werden die zu schützenden Assets, Bedrohungen, Strategien zur Risikominderung (Mitigation Strategies), Schwachstellen (Vulnerabilities) des betrachteten Systems bzw. der Systemumgebung erfasst. Zur Visualisierung des Bedrohungsmodells kommen z.B. Datenflussdiagramme, Bedrohungsbäume oder Anwendungsdiagramme zum Einsatz.

C

Computer Emergency Response Team

Ein Computer Emergency Response Team (CERT) übernimmt bei konkreten IT-Sicherheitsvorfällen die Rolle des Koordinators, um alleine oder in Kooperation mit anderen Einheiten eine Lösung des Problems schnellstmöglich zu erzielen.

Es handelt sich dabei um ein vorab festgelegtes Computer Notfallteam, welches die Verantwortung für die Bearbeitung von IT-Sicherheitsvorfällen übernimmt (z. B. Bekanntwerden neuer Sicherheitslücken in bestimmten Anwendungen, akute Verbreitung von Schadsoftware oder gezielten Angriffen).

Computer Integrated Manufacturing

Computer Integrated Manufacturing (CIM) beschreibt die Nutzung von computerbasierter Steuerung im betrieblichen Produktionsablauf. Der Begriff wurde in den 70er/80er Jahren geprägt und sollte die damals monolithischen CAx Systeme zusammenfassen. Bei CIM werden Produktionsschritte miteinander vernetzt, damit Daten jederzeit allen berechtigten Stakeholdern zugänglich sind. In der Industrie 4.0 werden die Merkmale von CIM aufgegriffen und mit Semantic Web Technologien verknüpft. Durch die Vernetzung der Maschinen untereinander und mit dem Internet entstehen neue Bedrohungen für das CIM, so dass die IT-Sicherheit zunehmend in den Fokus rückt.

Computerized Numerical Control

Computerized Numerical Control (CNC), zu Deutsch „rechnergestützte numerische Steuerung“, ist ein elektronisches Verfahren zur Steuerung von Werkzeugmaschinen. Viele in der Industrie eingesetzte CNC Steuerungen sind jedoch nicht dafür ausgelegt, den Bedrohungen durch computergestützte Angriffe Stand zu halten. Da im Rahmen des CNC Verfahrens Datenassets auf Maschinen verarbeitet werden, müssen Maßnahmen zur Gewährleistung einer durchgängigen Sicherheitskette integriert werden.

Cyber Physical Systems

Ein cyber-physisches System (CPS) bezeichnet den Verbund von Softwarekomponenten mit mechanischen und elektronischen Teilen zu einer Einheit. Durch den Einsatz von CPS in der Produktion werden die klassischen Systemgrenzen zwischen Unternehmensnetzwerk („Office-IT“) und Steuerungsnetzwerk in der Fertigung („Produktions-IT“) durchbrochen. Dabei ermöglichen CPPS die Optimierung und Flexibilisierung der Produktion in einer vernetzten Fabrik.

D

Demonstrator

Bei den Demonstratoren, welche in IUNO entstehen, handelt es sich um Prototypen, d.h. funktionierende Versuchsobjekte, anhand deren die Tauglichkeit und Akzeptanz der Lösung sowie der Zugewinn an Sicherheit untersucht wird.

Das vielfältige Themenfeld der Industrie 4.0 wird in IUNO in vier Anwendungsfälle aufgeteilt, zu denen jeweils Demonstratoren entstehen. Diese ergeben zusammen ein repräsentatives Bild der Herausforderungen der IT-Sicherheit in Industrie 4.0. Dabei handelt sich zum ersten um die kundenindividuelle Produktion durch intelligente Werkstücke und die Simulation von Produktionsschritten; zum zweiten um einen Technologiedaten-Marktplatz zum sicheren Handel von Maschinendaten; zum dritten um eine Web-Plattform für sichere, ortsunabhängige Fernwartungszugriffe; und zum vierten um einen visuellen Leitstand für vernetzte Produktionsumgebungen.

Dezentrale Steuerung

Bei der dezentralen Steuerung werden die Produktionsprozesse nicht von einem zentralen Standort koordiniert, sondern die untereinander vernetzten Produktionsanlagen und Produkte steuern die Prozesse selbst. Damit soll ein effizienterer Produktionsablauf geschaffen und somit Kosten eingespart werden können. In Bezug auf die IT-Sicherheit erfordert eine dezentrale Steuerung u.a. die sichere Identifizierung von Werkstücken sowie eine Berechtigungsprüfung für Prozessanweisungen.

Digitale Identität

Digitale Identitäten ermöglichen die eindeutige Identifizierung von Entitäten. Im Sinne der Industrie 4.0 können dies beispielsweise Maschinen, Maschinenkomponenten, Maschinenbenutzer, Werkstücke oder Produkte sein. Eine digitale Identität ist dabei eine Art Ausweis, mit dem sich die jeweilige Entität identifizieren kann.

Eine Identität repräsentiert eine bestimmte Kombination von Eigenschaften und Rollen eines Objekts (physisch, kontextuell, logisch), die mit einem eindeutigen Bezeichner benannt wird. Die einzelnen Rollen und Eigenschaften bestimmen die Art, wie eine Identität agiert und interagiert (z.B. welche Informationen mit anderen Identitäten ausgetauscht werden). Digitale Identitäten sind die Grundlage für die Nutzerauthentifizierung bei der Fernwartung. Darüber hinaus ist es mit Hilfe von digitalen Identitäten ist es möglich, Technologiedaten nur für bestimmte Maschinen verwertbar zu machen.

E

Einzellosfertigung

Die Losgröße ist ein fertigungstechnischer Begriff für die Serien- oder Auftragsgröße, d.h. die Menge der in einem Los zusammengefassten Stücke einer Produktart, die ohne Unterbrechung und Umrüsten von Maschinen gefertigt werden. Losgröße 1 bedeutet in diesem Zusammenhang, dass potentiell für jeden Fertigungsauftrag umgerüstet werden muss. Jeder Auftrag wird also individuell gefertigt. Die Einzellos-Fertigung, wie sie in der Industrie 4.0 zunehmend anzutreffen ist, erfordert die Vernetzung der Maschinen, da der Aufwand für die Konfiguration der Maschinen damit geringer wird.

ERP-System

Ein Enterprise Ressource Planning System (ERP-System) ist ein IT-System, das Ressourcenplanung und Geschäftsprozesse in einem Unternehmen unterstützt. In der Vision der Industrie 4.0 kommuniziert die Produktion mit dem ERP System, indem Kundenaufträge direkt über das ERP System an die Fertigung weitergegeben- und dort umgesetzt werden.

Extract-Transform-Load

Extract, Transform, Load (ETL) beschreibt den Prozess, bei dem Daten aus mehreren gegebenenfalls unterschiedlich strukturierten Datenquellen in einer Zieldatenbank vereinigt werden.

Der ETL-Prozess wird bei visuellen Security Leitständen verwendet. Dabei werden Meldungen über sicherheitsrelevante Ereignisse aus verschiedensten Quellen in einer vernetzten Produktion (z. B. Sensoren, Anomalieerkennung, SIEM Systeme) zusammengefasst und für die Visualisierung bereitgestellt.

F

Fernwartung

Bei der Fernwartung von Industriekomponenten wird eine Verbindung mit einer räumlich entfernten Produktionsanlage über teils unsichere und öffentliche Netze hergestellt, über welche schützenswerte Daten und Steuerungsbefehle ausgetauscht werden. Der Fernzugriff erfolgt dabei in der Regeldurch einen Wartungsdienstleister (bspw. der Maschinenhersteller). Dabei können z.B. Verschleiß- und Füllzustände, etc. sehr genau und zeitnah zu ermittelt und die Wartung und Instandhaltung des Systems mit möglichst geringen Standzeiten organisiert werden. durch Sicherheitslücken in Fernwartungszugängen ergeben sich Risiken in Bezug auf Angriffe von Außerhalb, da bspw. unberechtigte Dritte auf das IT-System zugreifen können.

Firewall

Eine Firewall ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt. Eine Firewall lässt dabei nur Verbindungen zu, die einer vordefinierten Regel entsprechen. Alle anderen Verbindungsversuche werden geblockt.

Eine Firewall Regel definiert beispielsweise, wer (welche Quell-IP-Adresse) über welches Kommunikationsprotokoll oder welchen Port mit welchem Ziel (IP-Adresse des Zielcomputers oder Zielnetzwerks) eine Verbindung aufbauen darf. Im Kontext der Fernwartung sorgt kann eine Firewall beispielsweise dafür sorgen, dass nur berechtigte Wartungsdienstleistereine bestimmte Art von Verbindung zu einer zuvor festgelegten Maschine aufbauen können.

H

Hardware Vertrauensanker

Ein hardwarebasierter Vertrauensanker ist ein eingebetteter elektronischer Schaltkreis, auf dem Zertifikate sicher abgelegt werden und dadurch das erste Glied einer Vertrauenskette aufgebaut werden kann. Diese gibt es etwa in Form eines Sicherheitschips, der in der Maschine verbaut wird. Der Sicherheitschip in der Maschineüberprüft dabei als Vertrauensanker die Echtheit einer digitalen Signatur.

Sicherheitschips können nicht nur als Daten-Tresor eingesetzt werden, sondern erlauben auch aktive Authentifizierung und bilden damit einen Vertrauensanker in der virtuellen Welt. In einem Sicherheitschip kann individueller Datencode gesichert und verschlüsselt abgelegt werden. Fehler und Manipulationen am Datencode können so frühzeitig erkannt und unerlaubte Veränderungen am System verhindert werden. Durch die Verbindung mit gesicherter Hardware wird Software also vertrauenswürdig.

Historiendaten

Historiendaten sind Bewegungsdaten, die über einen längeren Zeitraum gespeichert werden und die es ermöglichen bestimmte Abläufe nachzuvollziehen. Dabei handelt es sich zum Beispiel um Daten zu Aufträgen, Beständen oder Bestellungen. Daten zählen zu den wertvollsten Gütern einer Produktionsanlage. Da ein Datenverlust schwerwiegende Folgen, wie Compliance Probleme nach sich ziehen kann, sollten diese besonders geschützt werden.

Human-Machine-Interface

Ein Human-Machine Interface (HMI), auch Mensch-Maschinen-Schnittstelle genannt, dient der Interaktion eines menschlichen Benutzers mit einer Maschine oder Anlage. Meist handelt es sich dabei um eine grafische Benutzeroberfläche. Auf dieser können Befehle eingegeben und Informationen über die Maschine angezeigt werden.

I

Identity and Access Management-System

Das Identity and Access-Management-System (IAM-System) dient der Authentifizierung von Benutzern. Das IAM-System hat die Aufgabe, die Benutzer und Zugriffsberechtigungen zu verwalten und sicherzustellen, dass ein Benutzer, der sich an einem System anmeldet, auch der ist, für den er sich ausgibt.

Hier reicht es nicht, nur die Identität des Benutzers zu prüfen und dessen Zugriffsberechtigung freizuschalten. Neben einer Identitätsprüfung gilt es zu kontrollieren, ob die Anmeldedaten von einem vertrauenswürdigen System stammen, das über eine sichere Verbindung kommuniziert.

Industrial Rights Management

Ziel des Technologiemarktplatzes, welcher in IUNO entsteht, ist der sichere Handel mit Daten zur Konfiguration von Produktionsanlagen. Industrial Rights Management befasst sich mit der Erweiterung der Produktionsumgebung und Kontrollmöglichkeiten der Nutzung dieser Daten.

Industrial Trusted Platform Module

Ein Trusted Platform Module (TPM) ist ein Chip, kryptografische Funktionen in zertifizierte Hardware implementiert. Die Funktionen die ein TPM bereitstellt, können auch in Software umgesetzt werden. Ein TPM enthält kryptografische Schlüssel, die nicht ausgelesen oder kopiert werden können. Darüber hinaus überprüft das TPM bei jedem Zugriff auf eine der geschützten Informationen die Authentizität und Integrität der zugreifenden Entität und gibt die Informationen erst bei bestandener Überprüfung frei. Das TPM bildet insofern in sicherheitsrelevanten Funktionen den notwendigen Vertrauensanker.

Heute am Markt verfügbare TPMs sind für den Einsatz in klassischer Office IT ausgelegt. Bei den meisten dieser TPMs fehlen jedoch gewisse Funktionen die für den Einsatz in der vernetzen Produktion unersetzlich sind oder sie sind den Bedingungen in der Produktion (bspw. Temperaturbereiche, Staub, Feuchtigkeit) nicht gewachsen. In IUNO wird daher ein speziell auf die Anforderungen in der Industrie ausgerichteter Industrial TPM entwickelt, welcher in Werkzeugmaschinen bzw. Produktionsanlagen verbaut werden kann und dort als Hardware Vertrauensanker dient.

Industrie 4.0

Industrie 4.0 bezeichnet die industrielle Produktion nach der 4. industriellen Revolution. Bei der 1. industriellen Revolution erfolgte im 19 Jh. eine Mechanisierung der Produktion durch Maschinen. Die 2. industrielle Revolution fing mit der Einführung der Fließbandproduktion sowie der Elektrizität als Antriebskraft an. Ab den 1970er Jahren, in der sog. 3. Revolution, erlebten die Automatisierung durch Elektronik und die IT einen Aufschwung.

Bei der 4. industriellen Revolution liegt der Fokus auf der Digitalisierung und der Integration cyber-physischer Systeme. Im Zentrum steht dabei oft die kundenindividuelle Massenproduktion (Mass Customization) als Paradigma. Durch semantische Technologien können Maschinen, Werkstücke oder auch Produkte Informationen miteinander austauschen. Intelligente Werkstücke können sich so z.B. selbst den optimalen Weg durch die Produktion suchen.

Integrität (Schutzziel)

Integrität steht für die Unversehrtheit einer Sache. Im Kontext der IT-Sicherheit bedeutet dies, dass der Inhalt einer Nachricht, von Daten oder der Aufbau und die Funktionsweise eines Systems unverfälscht sind.

Fehlende Integrität, bedingt durch eine Manipulation von Daten oder Steuerungssystemen kann zu massiven Problemen bei der Produktion und Qualitätsmängeln bei Produkten führen. Eine Verletzung des Schutzziels Integrität liegt z.B. dann vor, wenn Produktionsdaten auf dem Weg von der Steuerung zur Maschine unberechtigt modifiziert werden.

Integritätsüberwachung

Die Integritätsüberwachung wird als ein Sicherheitsmechanismus für Hardware, Software und einzelnen Nachrichten eingesetzt. Dadurch lässt sich die Kommunikation in Produktionsnetzwerken überwachen. Ziel der Integritätsüberwachung ist die Erfassung aller Änderungen und deren Ursachen.

Intelligentes Werkstück

Das intelligente Werkstück hat Kenntnis über sich selbst und „weiß“, zu was es werden soll und wie es bearbeitet werden kann. Es kennt beispielsweise auch seine individuellen Eigenschaften (Soll/Ist). Diese Intelligenz bzw. dieses Wissen des Werkstücks kann durch ein digitales Abbild (digitaler Zwilling) erreicht werden, einer Datei, die mit dem Werkstück wandert oder zentral abgelegt ist und kontinuierlich aktualisiert wird. Durch das Wissen über die ausstehenden Bearbeitungen bis zum fertigen Endprodukt und die Kommunikationsfähigkeit, kann das Werkstück darüber hinaus selbständig und dynamisch einen Weg durch die Fertigung wählen.

Internet der Dinge

Im „Internet der Dinge“ kommunizieren intelligente Gegenstände miteinander, um Informationen auszutauschen und bestimmte Aktivitäten durchzuführen. Jeder Gegenstand verfügt dabei über eine eindeutige Adresse/digitale Identität und kann aktiv kommunizieren.

Der Begriff „industrielles Internet der Dinge“ wird häufig synonym zu Industrie 4.0 verwendet und bezeichnet die enge Vernetzung von Produktionsanlagen, Werkstücken und Produkten. Diese tauschen selbstständig und kontinuierlich Informationen aus, um sämtliche Produktions- und Logistikprozesse des Unternehmens und der Geschäftspartner eng miteinander zu verzahnen.

IT-Sicherheit

IT-Sicherheit umfasst die Entwicklung, Implementierung und das Betreiben technischer Maßnahmen zur Erreichung wichtiger Schutzziele (u.a. Vertraulichkeit, Integrität und Verfügbarkeit). IT-Sicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.

Im Bereich der Produktion wurde IT-Sicherheit in der Vergangenheit oft nur unzureichend berücksichtigt, wodurch es immer wieder zu Angriffen und Ausfällen kommt. Die Angriffsfläche vergrößert sich in der Industrie 4.0 enorm, da noch wesentlich mehr auf Dynamik, Vernetzung, Autonomie und Kollaboration von industriellen Anlagen und Komponenten gesetzt wird. Für IUNO ist IT-Sicherheit ein zentrales Thema, das es im Kontext der Industrie 4.0 umzusetzen gilt.

K

Kundenindividuelle Produktion

Eine kundenindividuelle Produktion wendet sich nicht mehr an einen anonymen Markt, sondern deckt spezifische Kundenwünsche ab. Im Gegensatz zur Mass-Customization werden Produkte nicht nur an festgelegten Variationspunkten dem Kundenwunsch angepasst, sondern das Produkt wird individuell nach den Vorgaben des Kunden produziert. Dabei sollen trotzdem die Skalenvorteile einer Massenproduktion greifen um das Produkt kostengünstig herzustellen.

M

Machine as a Service

Machine as a Service (MaaS) ist ein Geschäftsmodell, bei dem die Nutzung einer Maschine als Dienstleistung angeboten wird. Der Kunde bezahlt in diesem Modell nur für die von der Maschine zur Verfügung gestellte Leistung (bspw. nach Stückzahl) oder die Nutzungszeit. Die Maschine verbleibt jedoch im Eigentum des Anbieters und wird auch von diesem in Betrieb genommen, gewartet und ggf. erweitert.

Maschinendaten

Die Maschinen sind nicht nur mit Aktoren, sondern auch mit Sensoren ausgestattet, die ständig Daten über ihren Zustand sammeln. So kann sich die Maschine etwa melden, wenn eine Wartung nötig ist oder wenn einem Teil ein Defekt droht und ein Austausch einen Schaden verhindern kann. Diese Daten kann der Hersteller beispielsweise dazu verwenden, die Maschinenwartung zu optimieren oder die Maschine selbst zu verbessern.

Maschinenkonnektivität

Maschinenkonnektivität bezeichnet die Vernetzungsfähigkeit von Fertigungsanlagen. Nach einem Prozessschritt kommuniziert eine Maschinebeispielsweise mit einer anderen Maschine, um diese darüber zu  informieren,  dass sie den Prozessschrittabgeschlossen hat.

Maschinenspezifikationsmatrix

In einer Maschinenspezifikationsmatrix wird beschrieben, welche Bearbeitungsschritte eine Maschine durchführen kann und welche Zeiten für die unterschiedlichsten Bearbeitungen benötigen. Diese Matrix wird benötigt, um eine dynamische und automatische Planung von Ressourcen und Fertigungswegen vorzunehmen. Die Maschine kann anhand der Matrix entscheiden ob sie eine bestimmte Bearbeitung durchführen kann oder nicht.

Mitarbeiterstammdaten

Mitarbeiterstammdaten sind personenbezogene Daten über Mitarbeiter des Unternehmens. Um das Grundrecht auf informationelle Selbstbestimmung zu gewährleisten, müssen solche Daten besonders geschützt werden. Maßgeblich für den Datenschutz in Unternehmen sind die Regelungen des Bundesdatenschutzgesetzes (BDSG). Unternehmen dürfen Daten über ihre Beschäftigten nur so speichern, wie sie zur Durchführung des Beschäftigtenverhältnisses erforderlich sind.

N

Nicht-abstreitbarkeit (Schutzziel)

Ein System gewährleistet die Verbindlichkeit bzw. Zuordnung einer Menge von Aktionen, wenn es nicht möglich ist, dass ein Subjekt im Nachhinein die Durchführung einer solchen Aktion abstreiten kann. Damit kann zum Beispiel eine Datenübertragung nach einem Login als authentisch eingestuft werden, sofern der Datenaustausch auf der Strecke nicht manipuliert wurde. Erfolgt die Übertragung aber über ein unverschlüsseltes W-LAN und findet eine Manipulation statt, werden die Schutzziele Integrität und Vertraulichkeit verletzt. Wird dagegen die Verbindung mit einem Störsender blockiert, werden die Schutzziele Verfügbarkeit und Verbindlichkeit verletzt.

O

Open Platform Communications

Open Platform Communications (OPC) ist ein offener, plattformunabhängiger Standard für den Datenaustausch zwischen verschiedenen Systemen. In der Industrie 4.0 kann OPC dort eingesetzt werden, wo Sensoren, Regler und Steuerungen verschiedener Hersteller ein gemeinsames, flexibles Netzwerk bilden. Ohne einen gemeinsamen Standard benötigten zwei Geräte zum Datenaustausch genaue Kenntnis über die Kommunikationsmöglichkeiten des Gegenübers. Erweiterungen und Austausch gestalten sich entsprechend schwierig.

P

Patchlevel

Das Patchlevel gibt den installierten / eingesetzten Versionsstand von Virendefinitionen, Systemupdates, Softwareversionen oder Firmwareversion an.

Physically Unclonable Functions

Eine Physically Unclonable Function (PUF) ist eine kryptographische Funktionseinheit, welche sich direkt aus der physischen Struktur eines Objekts ergibt, d.h. das Eingabe-Ausgabe-Verhalten ist hochgradig von den physikalischen Eigenschaften des Trägerobjekts (In der Praxis meist ein elektronischer Baustein) abhängig. PUFs werden durch Unsicherheit (im Sinne von Prozessstreuungen) in der Fertigung, die zu Zufälligen Mikroeigenschaften führt, erzeugt. Die Eigenschaft ist intrinsisch und kann zur Ableitung von kryptografischen Schlüsseln verwendet werden. Ein Anwendungsbeispiel ist der Schutz von Software. Hierbei wird der zu schützende Code mit einem durch die PUF generierten Schlüssel verschlüsselt. Dadurch kann dieser nur auf der Anwenderplattform entschlüsselt werden, in welcher der Sicherheitschip mit der PUF eingebaut ist.

Piraterieschutz

Piraterieschutz dient dazu, die illegale Herstellung von Produktkopien zu verhindern. Aktuelle Konzepte für den Piraterieschutz sind häufig physische Absicherungsmaßnahmen oder Verschleierungsmechanismen. Ziel ist es, den wirtschaftlichen Schaden durch Piraterie zu vermeiden.

Plug-and-Produce

Die sogenannte Plug-and-Produce-Fähigkeit von Komponenten ist eine der Visionen in Bezug auf Industrie 4.0. Das Prinzip gleicht dem einer USB-Schnittstelle am Computer, über die sich angeschlossene Peripheriegeräte direkt anmelden und diesem mitteilen, welche Fähigkeiten sie haben und wie man mit ihnen kommuniziert. Genauso sollen sich in der Fabrik der Zukunft auch einzelne Komponenten selbst in der Produktionsanlage anmelden. Angestrebt wird eine dezentrale Intelligenz des Systems. Das bedeutet, dass die Komponenten Steuerungsfunktionen des Leitrechners selbst übernehmen sollen.

Produktionskonfiguration

Üblicherweise hat ein Produktionsablauf einen starren Charakter. Die flexible Produktionskonfiguration begegnet diesen statischen Abläufen, indem Werkstücke sich dynamisch ihren Weg durch die Fertigung suchen können. Fertigungsleitsysteme, welche dynamisch Fertigungswege von Werkstücken anpassen können, optimieren den statischen Fertigungsprozess ebenfalls.

Produktionsplanung- und steuerung

Die Produktionsplanung- und –steuerung (PPS) dient der Unterstützung des (operativen) Produktionsmanagements bei der Ausformung des Produktionsprogramms und des Produktionsvollzugs nach wirtschaftlichen Aspekten.

Public Key Infrastruktur

Im Rahmen der Kryptologie stellt eine Public-Key-Infrastruktur (PKI) ein System zur Erzeugung, Verteilung, Verwaltung und Überprüfung von digitalen Identitäten auf Basis eines asymmetrischen kryptographischen Systems dar. Dabei können die innerhalb einer PKI ausgestellten Zertifikate beispielerweise zu Absicherung einer Maschinengestützten Kommunikation zwischen unterschiedlichen Kommunikationspartnern hinsichtlich der IT-Sicherheit Schutzziele eingesetzt werden. Die PKI übernimmt in diesem Zusammenhang die Aufgaben der Geheimhaltung von privaten Schlüsseln sowie den Schutz vor Missbrauch und Fälschung den zugehörigen öffentlichen Schlüsseln. Darüber hinaus können mittels einer PKI erzeugte und verwaltete Schlüsselpaare für diverse andere kryptographische Verfahren verwendet werden.

R

RAMI 4.0

Das Referenzarchitekturmodell Industrie 4.0, kurz RAMI 4.0 ermöglicht die systematische Einordnung von Herausforderungen, Konzepten und Lösungen der Industrie 4.0 nach (Software-) Abstraktionsschichten, Rolle im Lebenszyklus und Hierarchieebenen. Das Modell gibt eine Orientierung, auf der die Anforderungen der Anwenderindustrien gemeinsam mit national und international vorhandenen Standards aufgetragen werden, um Industrie 4.0 zu definieren und weiterzuentwickeln. Überschneidungen und Lücken in der Standardisierung werden auf diese Weise sichtbar und können geschlossen werden.

Remote-Attestation

Remote-Attestation ermöglicht es, dass Änderungen am Computer des Benutzers von autorisierten Parteien erkannt werden. Zum Beispiel können Software-Unternehmen nicht autorisierte Änderungen an Software identifizieren, einschließlich der Benutzer, die ihre Software manipulieren, um technologische Schutzmaßnahmen zu umgehen. Es funktioniert, indem die Hardware ein Zertifikat generiert, welche Software gerade läuft. Der Computer kann dieses Zertifikat dann einem entfernten Teilnehmer präsentieren, um zu zeigen, dass unveränderte Software gerade ausgeführt wird.
Remote-Attestation ist in der Regel mit Public-Key-Verschlüsselung kombiniert, so dass die gesendeten Informationen nur von den Programmen gelesen werden können, die die Attestation vorgestellt und angefordert haben.

Risikomodellierung

Bei einer Risikomodellierung erfolgt basierend auf der Bedrohungsmodellierung eine Bewertung der Bedrohungen mit dem Ziel, die technischen Maßnahmen so zu wählen, dass vorhandene Risiken auf vertretbare Restrisiken reduziert werden können. Hier kommt der Aspekt der Eintrittswahrscheinlichkeit zum Tragen.

S

Security by Design

Das Konzept von Security by Design bedeutet, dass ein System von Grund auf so konzipiert wurde, dass Sicherheit weitestgehend sichergestellt ist. Dabei wird die IT-Sicherheit kontinuierlich entlang des gesamten Lebenszyklus eines Systems mitgedacht, im Gegensatz zur Nachrüstung von Sicherheitsfeatures.

Security Information and Event Management

Security Information und Event Management (SIEM) ist ein Ansatz des Sicherheitsmanagements, der darauf abzielt eine umfassende und ganzheitliche Sicht auf die IT-Sicherheit eines Unternehmens zu gewährleisten. Das Grundprinzip hinter SIEM besteht darin, die Ereignisse und Prozesse, die die Sicherheit des Unternehmens betreffen jederzeit kontrollieren zu können.
SIEM beinhaltet die Verwaltung von Identitäten, Zugriffrechten und ermöglicht die Überwachung von Benutzeraktivitäten, Netzwerkereignissen und Bedrohungen sowie anderen sicherheitsrelevanten Informationsquellen. SIEM bietet unter anderem eine Echtzeit-Identifizierung von anomalen Verhalten und verdächtiger Aktivitäten.

Selbstkonfiguration

Unter Selbstkonfiguration wird die Inbetriebnahme einer Komponente ohne menschlichen Eingriff bezeichnet. Bei der Selbstkonfiguration (auch autonome Konfiguration) ist der Aufwand eines manuellen Eingriffs nicht nötig, da sich Systeme selbst, ohne weiteres Zutun, konfigurieren und den Gegebenheiten anpassen.

Shop-Floor-Ebene

Der Begriff Shop-Floor wird sehr branchenspezifisch im Bereich der Produktionsplanung und -steuerung verwendet und bezeichnet sämtliche Aktivitäten und Funktionen im Bereich der Fertigung. Das Management auf Shop-Floor Ebene dient der dynamischen, flexiblen und Ressourcen schonenden Feinsteuerung der Produktion. Im Detail bedeutet dies minutengenaue Terminierung der Produktionsprozesse, permanente Transparenz in der Fertigung und optimale Auslastung der Kapazitäten.

Sicherheitsgateway

Ein Sicherheitsgateway ist ein System aus soft- und hardwaretechnischen Komponenten, um verschiedene Netzwerksegmente oder Kommunikationssysteme sicher zu koppeln. Hierzu werden sämtliche Nachrichten, die durch ein Sicherheitsgateway laufen, nach bestimmten Regeln geprüft.

Sicherheitspolicy

Eine Sicherheitspolicy beschreibt Sicherheitsanforderungen an Infrastruktur, Prozesse und anzuwendende Werkzeuge zur Gewährleistung einer bestimmten Stufe an Informationssicherheit innerhalb einer Institution. Dieses Maß wird meist anhand der Security-Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität definiert. Daneben wird der Begriff Sicherheitspolicy auch in einem engeren Sinn als Regelungen für den Einsatz bestimmter Sicherheitstechnologien wie VPN oder Firewalls verwendet.

Simulationsplattform

Eine Simulationsplattform besteht aus zwei logischen Bausteinen: Einer Plattform, welche eine einheitliche Ausführungsumgebung darstellt und der Simulation, welche ein modelliertes Systemverhalten beisteuert.
Beispielsweise können auf einer Simulationsplattform mehrere unterschiedliche Maschinensteuerungen und ihre Interaktion simuliert werden. Die Resultate können dann auf die realen Steuerungen übertragen werden.

Speicherprogrammierbare Steuerung

Eine speicherprogrammierbare Steuerung (SPS) ist ein Gerät zur Steuerung oder Regelung von Maschinen- und Anlagenprozessen, die digital programmierbar sind. SPS werden heute in fast allen Komponenten einer Produktionsanlage eingesetzt. In SPS welche heute in der Produktion eingesetzt werden, sind Sicherheitsfeatures oft nicht oder nicht ausreichend implementiert, was sie zum Ziel von Angriffen machen kann.

Switch

Ein Switch ist eine Weiche bzw. Verteiler in Computer-Netzwerken. Es ist ein Kopplungselement, das Netzwerksegmente miteinander verbindet. Mit Hilfe von Switches kann der Datenverkehr kontrolliert werden.

T

Technologiedaten

Technologiedaten enthalten Parameter, mit denen eine Maschine für eine bestimmte Art der Bearbeitung oder ein bestimmtes Material konfiguriert werden kann. Bei Laserschneidmaschinen sind dies beispielsweise Fokuspunkt, Vorschubgeschwindigkeit oder Schneidgaszufuhr.
Bei der Auslieferung einer Maschine steht oft nur ein Grundumfang an Technologiedaten für Standard-Anwendungen zur Verfügung. Für weitere Anwendungen der Maschine müssen die notwendigen Technologiedaten selbst entwickelt oder von Dritten bezogen werden.

Technologiedatenmarktplatz

Auf dem Technologiedatenmarktplatz können Technologiedaten von Maschinenbetreibern lizenziert und entsprechend der Lizenz auf bestimmten Maschinen genutzt werden. Der Betreiber des Marktplatzes ist für die Sicherstellung eines störungsfreien Ablaufs der Aktionen auf dem Technologiedatenmarktplatz verantwortlich. Der Schutz der Technologiedaten vor unberechtigter Nutzung oder Weitergabe der Daten ist zu jedem Zeitpunkt zu erfüllen.

Trust Boundary

An einer Vertrauensgrenze (Trust Boundary) ändern Programmdaten oder Ausführungsprogramme ihr „Vertrauenslevel“. Der Begriff bezieht sich auf eine beliebige Grenze, innerhalb derer ein System allen Teilsystemen (einschließlich Daten) vertraut. Eine Datenvertrauensgrenze ist ein Punkt, an dem Daten von einer nicht vertrauenswürdigen Quelle stammen. Zum Beispiel Benutzereingabe oder eine Netzwerk-Steckdose.

Trust Management

Beim Trust Management handelt es sich um die Unterstützung und Verwaltung von Vertrauensverhältnissen durch IT-Systeme. Hierbei werden beispielsweise kryptografische Mechanismen eingesetzt mit denen sich Personen und Systeme gegenseitig identifizieren und verifizieren können.

Trusted Partner

Der Begriff Trusted Partner steht für die Vertrauensbeziehung zwischen Geschäftspartnern die z.B. im Rahmen der Fernwartung Informationen austauschen um die Fernwartung von Maschinen und Komponenten zu ermöglichen.

V

Verfügbarkeit (Schutzziel)

Ein System gewährleistet die Verfügbarkeit, das heißt, dass Daten und IT-Systeme zur Verfügung stehen und von autorisierten Subjekten genutzt werden können. Unter die Verfügbarkeit fällt der Grad der Funktionalität der informationstechnischen Systeme. Konkret bedeutet dies, dass die Systeme jederzeit betriebsbereit sein sollen und die Verarbeitung der Daten auch korrekt abläuft. Die Effizienz von Produktionsanlagen spiegelt sich in der Sicherstellung der geforderten Verfügbarkeit und deren optimaler Auslastung bei minimalem Ressourceneinsatz wider.

Vernetzte Fertigung

Ziel der vernetzten Fertigung ist eine durchgängige Kommunikation von cyber-physischen Systemen in der Produktion. Verschiedene Einheiten im Unternehmen sollen miteinander kommunizieren oder organisieren sich sogar selbst. Dabei wissen die Maschinen einer komplett vernetzten Produktion genau, wo welches Werkstück gerade benötigt wird und wie es zu bearbeiten ist.

Vertraulichkeit (Schutzziel)

Unter Vertraulichkeit versteht man, dass Daten nur von Berechtigten eingesehen werden können. Das bedeutet auch, dass Daten lediglich von autorisierten Benutzern gelesen werden können sollen. Dies gilt sowohl für den Zugriff auf gespeicherte Daten als auch während der Datenübertragung.

Virtuelle Anlage/ Maschine

Eine virtuelle Maschine ist die Simulation einer realen Produktionsmaschine und somit das digitale und idealisierte Abbild dieser Maschine. Dabei ist die virtuelle Maschine eine kostengünstige Möglichkeit für Tests und zur Simulation von ganzen Produktionsanlagen.

W

Werkstückidentifikation

Unter Werkstückidentifikation versteht man die Erkennung von Werkstücken anhand einer eindeutigen Eigenschaft. Beispielsweise kann dies durch Labels, etwa optische Barcodes oder funkbasierte Technologien wie RFID gewährleistet werden. So kann eine Zuordnung zum jeweiligen Kundenauftrag erfolgen.

Die Werkstückidentifikation ist notwendig, da die Produkte oft kundenindividuell angefertigt werden und die Einzelteile am Ende zusammenpassen müssen. Ein Arbeitsinhalt von IUNO ist die labellose Identifikation von Werkstücken anhand verschiedener Eigenschaften wie Form, Farbe oder Beschichtung. Der Vorteil dieser Art der Werkstückidentifikation ist, dass keine Labels aufgebracht werden müssen, die bestimmte Bearbeitungsschritte (Bspw. Lackieren) stören.