WINGbusiness Heft 01 2015

WINGISSN 0256-7830; 48. Jahrgang, Verlagspostamt A-8010 Graz; P.b.b. 02Z033720M

1/15

Management Information 4.0

26

IT Security und Safety 4.0

6

Vernetzung und Komplexität

10

IT Security 4.0

business

Die Welt erwartet Sie.Mit einer Karriere bei Kapsch eröffnen sich Ihnen globale Cancen.Informieren Sie sich jetzt: onestepahead.net

Kapsch Group

always one step ahead

Kapsch_WINGbusiness_210x135_abf_20150326.indd 1 26.03.15 07:16

3WINGbusiness 1/2015

EdITorIal

Liebe Leserin, lieber Leser,

es ist eine phantastische Zeit in der wir leben. Vieles was unseren Vorgängern unmöglich erschien, ist heute machbar geworden. Der technische Fortschritt hat dazu maßgeblich beigetragen. Heute herrscht in unserem täglichen Leben fast schon ein Überangebot an Fortschritt. Überangebot führt einerseits zu günstigen Preisen und andererseits zu immer kürzer werdenden Technologiezyklen und Marketinghypes.In der Informatik ist es ähnlich. Es wird mit größter En-ergie alles (zu verkaufen) versucht, was technisch möglich ist. Ähnlich wie bei Googles Glass–Brille oder dem „One Laptop per Child“, werden neue Dinge mit der Hoffnung geschaffen, dass sich ein sinnvoller Anwendungsfall zumin-dest im Nachhinein ergeben wird. Manchmal geht das gut, manchmal geht es schlecht aus, und manchmal entstehen dadurch Systemlösungen mit unvorhersehbaren, meist nega-tiven, Nebeneffekten.Die größte Revolution aus Sicht der Informatik war die In-formatisierung unser Geschäfts- und Verwaltungsprozesse mit Hilfe globaler Netzwerke. Erst im Nachhinein wurde man sich der Risiken dieser Netzwerke bewusst, wozu ge-genseitige Abhängigkeiten, Dominoeffekte und Sicherheits-risiken durch die physische Verbindung von IT-Systemen in Netzwerken gehören.Die Informatik hat in den letzten 10 Jahren die Rechnung für den Enthusiasmus der Pionierzeit bezahlt und beispiels-weise mit Systems Engineering wissenschaftliche Methoden entwickelt, um solche Systeme im Vorhinein besser zu pla-nen. Wie lehrreich und wichtig diese 10 Jahre waren, zeigt sich auch daran, dass Hype-Themen wie „Big-Data“ schnell ins rechte Lot gerückt werden konnten und heute niemand ernsthaft an das blinde, planlose Suchen nach Strukturen im Daten-Heuhaufen glaubt.Umso interessanter ist aus der Perspektive einer nach den geschilderten bitteren Erfahrungen nunmehr relativ „abge-klärten“ Fachdisziplin zu beobachten, dass sich im Bereich der Produktionswissenschaften mit 10-jähriger Verspätung ein ähnlicher Hype abzeichnet. Nachdem sich die Experten immer noch nicht einig sind, ob die Computer-Integrierte Fertigung (CIM) nun gescheitert ist oder nicht, versucht man die Probleme dadurch zu lösen, indem man Alles mit

Allem verbindet. Womit das funktionieren soll, darüber ist man sich einig: durch Informations- und Kommunikations-technologie. Wie man das machen will, soll vorwiegend im deutschsprachigen Raum in großangelegten „Industrie 4.0“ Forschungsprojekten ergründet werden. Sollte dies funktio-nieren, wäre es eine Revolution – darum 4.0 – für „4. Indus-trielle Revolution“.Indem wir nun nicht mehr Bürorechner sondern Maschinen und Steuerungscomputer miteinander verbinden, schaffen wir sogenannte cyber-physische Systeme, die nicht nur un-geheure Potenziale eröffnen können, sondern auch ebenso große Sicherheitsrisiken schaffen. Besonders die Ereignisse der letzten Monate haben dies drastisch gezeigt, als bekannt wurde, dass offenbar Geheimdienste SIM-Karten - die Basis unserer mobilen Kommunikationsnetzwerke - erfolgreich gehackt haben oder dass es für Experten verblüffend einfach war, über eine Sicherheitslücke in das ConnectedDrive Sy-stem von BMW einzudringen und damit beispielsweise Au-tos über Fernzugriff zu öffnen. Und dies war nicht nur bei einem Auto, sondern bei geschätzten 2 Millionen möglich!Damit wird das vielgepriesene „Internet der Dinge“ mehr und mehr zu einem Schreckgespenst als zu einer neuen Hoffnung auf Fortschritt. Dies ist ein Grund, warum wir dieses Heft unter das Thema IT-Security gestellt haben. Das „4.0“ steht dabei in Klam-mern und soll den Bezug zu Aspekten der Industrie 4.0 Initi-ative herstellen. Wir möchten Sie für dieses wichtige Thema sensibilisieren und Ihnen aktuelle Denkansätze näher brin-gen. Dazu haben wir Experten aus Wissenschaft und Praxis um Beiträge gebeten.Das Spektrum reicht von einem Beitrag zu Sicherheit und Systemphilosophie von cyber-physischen Systemen bis zur Beschreibung eines konkreten Umsetzungsprojekts eines Industrie-4.0 Management-Informationssystems für Audi. Dazwischen spannt sich ein Bogen, in dem international tätige Anbieter von Business Informationssystemen (Kap-sch BusinessCom und IBM Security Solutions) sowie auf Systemsicherheit spezialisierte Dienstleister (Ikarus Security Software und XiTrust Secure Technologies), Sicherheitskon-zepte im Zusammenhang mit Industrie 4.0 vorstellen.

An dieser Stelle möchte ich mich bei meinem Mitarbeiter, Herrn Dipl.-Ing. Christoph Wolfsgruber, für die Unterstüt-zung bei der Zusammenstellung dieses Heftes bedanken.

Ich hoffe, dass die Artikel, die wir in diesem Heft für Sie zu-sammengestellt haben, Ihr Interesse finden und verbleibe im Namen des Redaktionsteams mit freundlichen Grüßen.

Ihr Sieg fried Vössner

Univ.-Prof.

dipl.-Ing. dr.techn.

Siegfried Vössner

IT Security 4.0

Quelle: SplashData, Liste der schlechtesten Passwörter der Welt

WINGbusiness 1/20154 WINGbusiness 1/2015

Top-Thema: IT Security

Siegfried VössnerIT Security und Safety 4.0 Herausforderungen und Bedrohungen im dämmernden Zeitalter von Cyber-Physischen Systemen von Systemen 6Welche Sicherheitskonzepte brauchen IT-Systeme zur Unterstützung von Industrie 4.0?

Joe Pichlmayr, Herbert SauruggVernetzung und Komplexität 10Ein Plädoyer für einen kritischeren Umgang mit dem Thema Vernetzung

Robert KernstockUmfassender Schutz unternehmenskritischer daten 15

Robert JankovicsÜber die digitalisierung aller Branchen 18IT-Sicherheit 4.0

Helmut Aschbacher, Gerhard Fliess, Gerald WagnerWie können kostengünstig und sicher Endsysteme für Industrie 4.0 Wartungslösungen angebunden werden? 22datenintegrität, -authentizität, Vertraulichkeit und Konnektivität: Herausfordernde aufgabenstellungen und kostengünstige lösungsansätze für die Industrie der Zukunft

Christoph Wolfsgruber, Gerald LichteneggerManagement Information 4.0 26


Inhaltsverzeichnis

EdITorIal IT Security 4.0 3

lEUTE/KÖPFE dipl.-Ing. Herbert Steiner 9

Call For PaPErS Themenschwerpunkt „Innovation Strategy“ in WINGbusiness Heft 03/2015 14

UNINaCHrICHTEN Matthias Friessnig, Alexander Pointner Fablab, ein Maker Space an der TU Graz 17

DDipl.-Ing. Bernhard Bauer Einblick in die Welt der Bauingenieure an der TU Graz die BIT-BaU‘14 21

WINGnet Philipp Wörgötter lookIN Infineon 2014, Graz 25

WING-PaPEr Friemann Felix, Gram Markus, Schönsleben Paul, Biedermann Hubert Einflussfaktoren und ausrichtung von Produktionsstrukturen in der Prozessindustrie 30

FaCHarTIKEl Martin Wifling, Wolfgang Unzeitig, Michael Schmeja, Alexander Stocker Smart Factories durch Smart Workers der Mensch als Produktions-Wissensarbeiter im Mittelpunkt von Industrie 4.0 36

ParTNEr Uwe Brunner aufbruchsstimmung – der IMC rüstet sich für die Zukunft 39

IMPrESSUM Impressum 38

6 WINGbusiness 1/2015

ToP-THEMa

Siegfried Vössner

IT Security und Safety 4.0 Herausforderungen und Bedrohungen im dämmernden Zeitalter von Cyber-Physischen Systemen von Systemen

Welche Sicherheitskonzepte brauchen IT-Systeme zur Unterstützung von Industrie 4.0?

Ein Blick zurück

In der Geschichte der Menschheit hat es schon immer ein Auf und Ab von Kulturen und Strömungen gegeben. Meist wellenförmig bildeten sich Zen-tren kultureller und wirtschaftlicher Aktivität, verteilt über die ganze Erde. Einige der Inhalte werden im Laufe der Zeit explizit oder implizit wieder-entdeckt. Man denke zum Beispiel nur an das Sprichwort der Griechen: „Alter Wein in neuen Schläuchen“, die Renais-sance oder das Biedermeier.

Auch in Technik und Wissenschaft ist das so. Viele „neue“ Ideen sind in Wirklichkeit Jahrzehnte, gar Jahrhun-derte alt und kehren immer wieder. So auch als Zukunftsvisionen von Leonar-do da Vinci bis Jules Verne, Gene Rod-denberry und wie sie alle heißen.

An dieser Stelle kam und kommt die Technologie ins Spiel, die es durch ihre, besonders in den letzten zwei Jahrhun-derten, rasante Weiterentwicklung er-

möglicht hat, dass sich mehr und mehr der Ideen immer besser umsetzen las-sen. Die Faszination der Technik hat dazu geführt, dass sich die Wissenschaft hauptsächlich auf die Entwicklung von Technologie konzentriert und deren Nutzen, Auswirkungen und Risiken aus dem Blickfeld verloren hat.

Dabei sind diese Themen genauso in den oben erwähnten Zukunftsvisionen größtenteils schon vorhanden und the-matisiert. Seit vergleichsweise kurzer Zeit befasst sich die Wissenschaft mit technischen Systemen als Ganzes, ih-ren Architekturen, Eigenschaften und Interaktionen mit Mensch und Um-welt.

Systeme und Systeme von Systemen umgeben uns

Unter einem System verstehen wir eine Ansammlung von Elementen/Objekten und deren Eigenschaften, die durch Wechselbeziehungen miteinander ver-

bunden sind (Hall und Fagen 1956). Manche Systeme sind zudem auch noch aus Teilsystemen aufgebaut bzw. sind ein System von Systemen. Seit je-her sind wir von solchen Systemen um-geben oder ein Teil davon. Man denke beispielsweise nur an das Ökosystem. Seit vergleichsweise kurzer Zeit haben die Menschen nun begonnen, diese Systeme selbst zu schaffen und sind dabei erst ganz am Anfang, die Eigen-schaften dieser als Ganzes zu verstehen. Die meisten Technischen Universitäten sind dabei, dafür Lehrstühle einzurich-ten – so beispielsweise auch die Tech-nische Universität Graz zum Thema Systemarchitektur.

Cyber-Physische Systeme

Die größten, von Menschen geschaf-fenen Systeme waren historisch gese-hen Bauwerke und Maschinen und in letzter Zeit vernetzte Informationssy-steme.

Foto: Fotolia


ToP-THEMa

Was liegt nun näher als diese Werke zu verbinden? Somit könnte es möglich werden, alle von Menschen geschaf-fenen Systeme zu wenigen, großen Sy-stemen zu verbinden.

Eine der ersten Ideen, „intelligente“ Maschinen zu vernetzen, findet man beispielsweise beim Schriftsteller Karel Capek (1920) oder in den Kurzgeschich-ten „I, Robot“ von Isaac Asimov 1950.Konkreter werden diese Systeme in der Hightech-Strategie „Industrie 4.0“ des deutschen Bundesministeriums für Bildung und Forschung beschrieben (2011). Dort heißt es unter anderem:

„ …Cyber-Physische Systeme (CPS) sind Netzwerke kleiner mit Sensoren und Ak-toren ausgestatteter Computer, die als sogenannte Eingebettete Systeme in Mate-rialien, Gegenstände, Geräte und Maschi-nenteile eingebaut und über das Internet miteinander verbunden werden. In einem derartigen Internet der Dinge verbinden sich die physische und die digitale Welt. Anlagen, Maschinen und einzelne Werk-stücke tauschen kontinuierlich Informa-tionen aus. Sämtliche Produktions- und Logistikprozesse werden integriert. Aus dieser Schlüsseltechnologie leiten sich zahl-reiche industrielle Anwendungen ab: In Zukunft werden viele Prozesse in Echtzeit über große Entfernungen gesteuert und koordiniert....“

Dazu muss angemerkt werden, dass diese Vision Teil einer Strategie ist, die bis ins Jahr 2025 blickt und auch expli-zit den notwendigen Forschungsbedarf betont. Seit etwa einem Jahr hat sich massiv der Ergebnisdruck von der An-wenderseite erhöht, und es entstehen mit Unterstützung von Systemliefe-ranten erste pragmatische Lösungen. Lösungen, die neben den technischen Herausforderungen auch eine beträcht-liche Sicherheitsherausforderung dar-stellen.

Sicherheitsherausforderungen und Bedrohungen

Einige der Grundrisiken, die bei solchen Systemen auftreten können, sind schon ebenso lange bekannt, wie die eingangs beschriebenen Zukunftsvisionen. Bei-spielsweise die Gefährlichkeit des von Menschen geschaffenen Wesens Golem (im Talmud nachzulesen), die Gefahr des Informationsmissbrauchs in Geor-ge Orwells „1984“, den Science Fiction

Filmen „The Matrix (1999) oder „Termi-nator 3: Rise of the Machines (2003)“, um nur ein paar wenige zu nennen.Nachdem einige dieser Zukunftsvisi-onen reale Wirklichkeit geworden sind, wurden aus Risiken auch konkrete Be-drohungen.

Da hier die Verhinderung von Sy-stem-Fehlfunktionen mit signifikanten Auswirkungen auf Systemfunktion und Umwelt im Vordergrund stehen, erscheint es sinnvoll, den Begriff Sy-stem-„Sicherheit“ gemeinsam für beide Bereiche „Safety“ und „Security“ zu verwenden. Dabei sei auch angemerkt, dass viele Systeme, die wir heute bauen auch ohne Angreifer instabil und ge-fährlich sind. Menschliche Aktivitäten können dies noch verstärken. Hier wäre beispielsweise die Cyberkriminalität zu nennen, ob sie nun kriminelle Beweg-gründe oder solche der Staatssicherheit hat.

Waren es bei IT-Systemen „lediglich“ Angriffe auf Daten und Rechneranla-gen, sind es nun IT-basierte Angriffe auf physische Systeme. Cyber-physische Angriffe sind heute Realität geworden. Auch gibt es bereits eine Reihe von Ausfällen kritischer Infrastruktur (z.B. Kraftwerke), welche durch IT-Angriffe durchgeführt wurden.

Angesichts der bereits bestehenden Realität ist es notwendig, das bestehen-de Risiko methodisch zu klassifizieren, analysieren, bewerten und gezielt Ge-genmaßnahmen zu ergreifen. In die-sem Bereich gibt es bereits einige Kon-zepte für den Schutz von IT-Systemen und den Schutz von kritischer Infra-struktur, die sich auf cyber-physische Systeme, wie I4.0 sie entwirft, übertra-gen lassen.

Nach einer methodischen und (möglichst) umfassenden Schwach-stellen- und Fehleranalyse, werden im Zuge einer Risikobewertung die mög-lichen Fehlfunktionen von Systemen hinsichtlich ihrer Auswirkungen und der Auftretenswahrscheinlichkeit be-wertet. Dabei spielt es zuerst einmal keine Rolle, ob die Fehlfunktion auf-grund eines Designfehlers, von höherer Gewalt oder bewusst durch Angreifer verursacht wurde.

Im Folgenden sollen speziell die für cyber-physische Systeme besonders re-levanten Sicherheitsrisiken einzeln her-vorgehoben werden.

Steigende Komplexität

Ein inhärentes Risiko ist die drama-tisch gestiegene Komplexität von Ein-zelkomponenten. Intelligente Algorith-men, die komplexe Systemfunktionen ermöglichen, werden mit immer kom-plexeren Computerprogrammen um-gesetzt. Neben der Fehleranfälligkeit durch die immens gestiegene Anzahl an Programmzeilen, wird ein metho-disches Testen sehr aufwändig und aus Kostengründen selten durchgeführt.

Daneben gelingt es noch weniger, die Interaktion und gegenseitige Be-einflussung der Einzelkomponenten im Gesamtsystem zu testen. Ein mo-dernes, numerisch gesteuertes Bear-beitungszentrum beispielsweise, wird von einem hochkomplexen Computer-system gesteuert. Somit wird Wartung und Fehlersuche sehr, sehr aufwändig bzw. unmöglich.

Mangelnde Fehlertoleranz durch man-gelnde Diversität

Ein weiteres Problem liegt in den ver-meintlichen Vorteilen der Wiederver-wendung von Systemkomponenten. Dieses Konzept kommt aus der Massen-fertigung und hat dort hauptsächlich aus Kostengründen seine Berechtigung. Gefährlich wird ein solches Konzept, wenn man daraus große Systeme baut. Alle mit den gleichen Fehlern, alle mit den gleichen Schwachstellen, alle gleich angreifbar (Abbildungen 1 und 2).

Ein gutes Beispiel dafür sind unsere mobilen Kommunikationsnetzwerke, deren Sicherheit an der Sicherheit der SIM-Karten (subscriber identity modu-le) hängt. Ein erfolgreicher Angriff auf ein Einzelsystem lässt sich auch auf un-zählige andere replizieren. Gleiches gilt für andere Netzwerkkomponenten wie Server, Router oder Internetmodems

Abb. 1: Systemstabilität durch Diversi-tät. Durch die vorgesehene Diversität der Systemkomponenten wirken sich Ausfälle (symbolisiert durch das rote Trapez) nur lokal aus


ToP-THEMa

und sogar für Großserienprodukte, wie die im Editorial erwähnten Autos. Dies ist die Kehrseite von „Copy & Paste“.

Netzwerkeffekte

Durch die Verbindung von Einzelsy-stemen entstehen darüber hinaus noch eine Reihe anderer Sicherheitsrisiken.An erster Stelle sei hier systemisches Versagen zu nennen. So kann es bei-spielsweise zu unbeabsichtigten Ketten-reaktionen, wie dem Abschalten von Energiesystemen und Leitungsknoten und damit auch zu gefährlichen Netz-schwankungen bzw. Ausfällen kom-men. So brachen beispielsweise im Au-gust 2003 im Nordosten der USA weite Teile des Stromversorgungsnetzes zu-sammen. Auslöser war eine Kettenreak-tion bei der die Steuerungen einzelner Verteilerknoten andere im Netzwerk dazu brachten, sich ebenfalls abzu-schalten. Ein weiteres Beispiel wäre der „Flash-Crash 2010“, bei dem compu-tergestützte Handelssysteme den Dow Jones Index um fast 10 % schwanken ließen.Mit einer solchen Vernetzung geht eine gesteigerte Fehlerwahrscheinlichkeit

einher. Die Ausfallswahrscheinlichkeit eines vernetzten, von allen Einzelkom-ponenten abhängigen Systems ist in der Regel viel höher als die von Einzel-systemen (Abbildung 3).

Zwar können in solchen Systemen Redundanzen durch identische Sy-steme eingebaut werden, jedoch muss dabei oft aus Kostengründen auf voll-ständige Redundanz verzichtet wer-den. Das damit verbundene Risiko ist die „Globalisierung“ der von Fehlfunk-tionen beeinflussten Bereiche durch weitreichende Vernetzungen. Lokale Fehler führen nunmehr zu globalen, oft fatalen Effekten.

Darüber hinaus bieten vernetzte Sy-steme eben durch die Vernetzung eine deutlich höhere Erfolgschance für An-griffe. Einerseits sind in der Regel nicht alle Systemkomponenten auf dem tech-nisch sichersten Stand. Eine Schwach-stelle führt nicht zum Ausfall bzw. zum Eindringen von Angreifern in ein Subsystem (Abbildung 4), sondern er-möglicht es Angreifern, dieses System als Ausgangsbasis für weitere Angriffe aus dem Inneren zu verwenden (Abbil-dung 5).Andererseits lässt sich aufgrund glei-cher Systemarchitekturen bzw. -kon-zepte oftmals mit einem Angriff ein weitreichender Schaden anrichten.

Ansätze für Sicherheitskonzepte für Industrie 4.0

Nicht nur aus Platzgründen überwiegt in diesem Beitrag die Analyse von He-rausforderungen und Bedrohungen. Ansätze für Sicherheitskonzepte für zu-künftige Industrie 4.0 Konzepte stehen bereits jetzt im Mittelpunkt umfang-reicher Forschungen. Besonders eta-blierte Wissenschaftsrichtungen, wie Systems Engineering und die Betriebs- bzw. Wirtschaftsinformatik, können hier auf bestehenden Konzepten und Ergebnissen aufbauen. Die wichtigsten Ansätze mit dem größten Verbesse-rungspotenzial und mit der größten Relevanz aus heutiger Sicht sind:

Architektur-Maßnahmen: Weiter-entwicklung von bestehenden Syste-marchitekturansätzen für große, ver-teilte Systeme mit dem Ziel, nützliche (Anwenderfokus) testbare, wartbare und zukunftssichere Systeme zu bau-en.

Gestaltungsmaßnahmen: Weitere Ver-schränkung der Methoden der mecha-nischen und der Software-Entwicklung mit dem Ziel, die Informations- und Kommunikationstechnologien besser in die (physischen) Systemfunktionali-täten zu integrieren.

Verbesserung von Betriebssicherheit (Safety) und von Schutzmechanismen (Security) sowohl von Einzelkompo-nenten als auch von sie verbindenden Netzwerken. Dies gilt sowohl für die zugrunde liegende Technologie als auch für die Implementierung (Pro-zesse und Prozessdisziplin).

Ausblick und Schlussbemerkung

Selten verlaufen positive und nachhal-tige Veränderungen „revolutionär“. Selten sind sie von vorn herein plan-bar – weder in Ort noch Zeit. Genauso wie Karl Marx enttäuscht war, dass die von ihm erhoffte Revolution nicht in Deutschland sondern in Russland statt-gefunden hat, kann es sein, dass auch

Abb. 2: System-Monokulturen durch Wiederverwendung von Systemkompo-nenten. Neben den offensichtlichen Ko-steneinsparungs- und Vereinheitlichungs-effekten, führt ein solches Design zu systemweiten, simultanen Auswirkungen von Komponentenausfällen (symbolisiert durch das rote sowie die orangen Trapeze).

Abb. 3: Ausfallsrisiko eines stark ver-netzten Systems. Durch die Abhängigkeit der Systemgesamtfunktion von allen einzel-nen Systemkomponenten, führt schon die Fehlfunktion einer einzigen Komponente zum Gesamtausfall des Systems. Dabei ist die Systemzuverlässigkeit weit geringer als die seiner Einzelkomponenten.

Abb. 4: Sicherheitsrisiko bei Angriff auf ein Teilsystem eines nicht vernetzten, heterogenen Systems. Obwohl es gelingt, die Sicherungseinrichtungen eines Teilsy-stems (dargestellt durch den roten Kreis im rechten Teil) zu überwinden, ist die Sicher-heit der anderen Teilsysteme dadurch nicht kompromittiert.

Abb. 5: Sicherheitsrisiko bei Angriff auf ein Teilsystem eines vernetzten Systems mit gemeinsamem Sicherheitsmechanis-mus. Trotz der einfacheren Administrier-barkeit und des in Summe oftmals höheren Sicherheitsstandards, bedeutet ein erfolg-reicher Angriff auf ein Teilsystem (gelber Pfeil im linken Teilbild) eine Gefährdung aller Komponenten des Gesamtsystems. Dieses hier abgebildete Szenario ist in der Praxis häufig zu beobachten.


ToP-THEMa

Univ.-Prof.


Siegfried Vössner

Vorstand des Instituts für Maschinenbau- und BetriebsinformatikTU Graz

die „4. Industrielle Revolution“ anders abläuft als geplant.

Die Informationstechnologie und die sie begleitende wissenschaftliche Forschung wird jedenfalls alles in ih-ren Möglichkeiten stehende tun, um zum Erfolg dieses Konzeptes beizutra-gen. Ob es nun eine Revolution oder einfach „nur“ ein wichtiger Fort-Schritt wird, die wissenschaftlichen Erkennt-nisse werden jedenfalls wiederum den Produktionswissenschaften und der Informatik gleichermaßen zugutekom-men.

Autor:

Univ.-Prof. Dipl.-Ing. Dr. techn. Sieg-fried Vössner, Studien an der Tech-nischen Universität Graz und der Stan-ford University, USA.Forschungs- und Lehraufenthalte an der Stanford University, USA und Auckland University, Neuseeland.Consulting Projekte (McKinsey & Company und selbständig): Konzepti-on und Durchführung internationaler Projekte in den Bereichen Strategie,

Logistik und IKT sowie Business Infor-mation Systems.Im Jahre 2003 Berufung als ordent-licher Professor an die Technische Uni-versität Graz.Vorstand des Instituts für Maschinen-bau- und Betriebsinformatik, Tech-nische Universität Graz. Vize-Dekan der Fakultät für Maschinen-bau und Wirtschaftswissenschaften.

Autor vieler Fachartikel und Mitautor eines Fachbuches für IT-Organisation sowie eines Standardwerkes für Sy-stems-Engineering.

dipl.-Ing. Herbert Steiner

Herbert Steiner ist Wirtschaftsingenieur in Maschinenbau mit Abschluss an der Technischen Universität Graz.1997 startete er seine berufliche Laufbahn bei Volkswagen do Brasil. 1998 wech-selte er zur AUDI AG nach Ingolstadt. Dort war Herbert Steiner in verschiedenen Bereichen wie Controlling, Finanzen und Einkauf tätig. 2002 folgte die Berufung zum Assistenten des Vorstands für Beschaffung. Im Jahr 2004 übernahm er die Leitung des Beschaffungsbereiches Einkaufsstrategie und -systeme. 2006 wechselte der heute 41-Jährige zur SEAT S.A. nach Matorell und übernahm dort für vier Jahre die Leitung des Generalsekretariats des Unternehmens. An-schließend war Herbert Steiner Geschäftsführer der Seat Componentes, eines der Getriebewerke des Volkswagen-Konzerns. Seit 2014 ist Herbert Steiner Geschäftsführer der Motorenproduktion von Audi Hungaria, welches bei einer jährlichen Produktion von rund zwei Millionen Mo-toren das größten Motorenwerk der Welt ist. Seine Freizeit verbringt der gebür-tige Salzburger mit Wintersport, Mountainbiken und Motorradfahren.

lEUTE/KÖPFE


ToP-THEMa

Joe Pichlmayr, Herbert Saurugg


Ein Plädoyer für einen kritischeren Umgang mit dem Thema Vernetzung Fast täglich berichten die Medien über neue IT-Sicherheitsschwachstellen oder von konkreten Cyber-Angriffen. Die Bandbreite geht dabei von „Sicherheitsexperten haben gleich mehrere Lücken im Mobilfunknetz entdeckt“ über „Ha-cker stahlen Banken eine Milliarde Dollar“ bis hin zu „Gezielter Angriff auf ein Stahlwerk in Deutschland“ oder „1,6 Milliarden Euro Schaden durch Industriespionage in Österreich“. Ganz abgesehen von den unzähligen Vorfällen im privaten aber auch unternehmerischen Umfeld, die nicht breit publik werden. Gleichzeitig sind in den vergangenen Jahren die Anstrengungen zur Erhöhung der IT-Sicherheit massiv angestiegen, was sich nicht zuletzt auch in einer nationalen Cyber-Sicherheitsstrategie niedergeschlagen hat. Doch warum ist keine Verbesserung zu bemerken bzw. wann wird diese endlich eintreten?

Albert Einstein wird gerne mit „Pro-bleme kann man niemals mit der-

selben Denkweise lösen, durch die sie entstanden sind.“ zitiert. Hierin liegt möglicherweise auch die wesentliche Erkenntnis, warum trotz steigender Anstrengungen keine Verbesserung zu beobachten ist. Natürlich gab es in den letzten Jahren wesentliche Fortschritte in der IT-Sicherheit. Jedoch handelt es sich um ein ständiges Hase-Igel-Ren-nen, da es vorwiegend um Symptombe-handlungen geht. Die tiefergründigen Ursachen sind, sofern sie betrachtet werden, nur schwer zu beseitigen, da viele Basistechnologien nie für den heutigen Einsatzzweck konzipiert wur-den. Eine nachträgliche Änderung ist jedoch nur mit erheblichem Aufwand möglich, zu denen unter den heutigen wirtschaftlichen Rahmenbedingungen

kaum jemand bereit ist. Zum anderen hängen viel zu viele Dinge voneinander ab, die eine Änderung nicht so einfach machen. Müssen wir daher mit diesen Unzulänglichkeiten leben, oder macht es doch Sinn, über mögliche Alterna-tiven nachzudenken?

Sowohl-als-auch-Denken

Um diese Frage beantworten zu kön-nen, muss unser bisheriger linearer Entweder-oder-Denkrahmen verlassen werden. Dieser hat sich in der Vergan-genheit sehr bewährt und zu unserem gesellschaftlichen Erfolg beigetragen. Jedoch haben sich in den vergangenen Jahren zahlreiche Rahmenbedin-gungen gravierend verändert. Dadurch stoßen unsere bisherigen Lösungsan-sätze zunehmend an Grenzen. Lineares

Denken basiert auf einfache Ursache-Wirkungs-Beziehungen und vermeidet die Auseinandersetzung mit komple-xen Vernetzungen und Wechselwir-kungen. Komplexe Herausforderungen werden vereinfacht und in Einzelthe-men zerlegt, um sie mit den bisherigen Verfahren analysieren und bearbeiten zu können. Zahlreiche aus dem Ruder gelaufene Großprojekte zeugen davon.

Um jedoch mit den neuen Heraus-forderungen umgehen zu lernen, muss sich auch unser Denken und Handeln an die neuen, von Menschen geschaf-fenen, Rahmenbedingungen anpassen. Durch die einfache und kostengün-stige Verfügbarkeit von Informations- und Kommunikationstechnik hat die technische Vernetzung massiv zuge-nommen und ganz unbestritten auch viel Positives geschaffen. Vieles was


ToP-THEMa

noch vor wenigen Jahren unvorstellbar war, ist heute selbstverständlich. Viele Erfolge in der Automatisierung und Effizienzsteigerung und damit Pro-duktivitätssteigerung wären ohne diese Errungenschaften nicht möglich gewe-sen. Jedoch gibt es auch Schattenseiten dieser Entwicklungen, die uns meist nicht so Bewusst sind, da sie häufig erst zeitverzögert auftreten.

Daher ist es notwendig, nicht nur die Vorteile, sondern auch die potenti-ellen Nachteile von Entwicklungen zu betrachten. Zum anderen wird es auch weiterhin Bereiche geben, wo unser bisheriges lineares Denken ausreichen und erfolgreich sein wird. Jedoch benö-tigen wir zusätzlich ein vernetztes, sy-stemisches Denken, um auch mit den potenziell negativen Auswirkungen der Vernetzung besser umzugehen lernen.


Vernetzung führt neben den zahl-reichen Vorteilen auch zu Entwick-lungen, die uns bisher weniger vertraut sind.

So steigt etwa die Komplexität und Dynamik in einem System. Kom-plexe Systeme weisen eine Reihe von Eigen-schaften auf, die wir von unseren bis-herigen technischen Lösungen kaum kennen. Es kommt zu nicht-linearen Wirkungen. Eingriffe wirken sich mög-licherweise über längere Zeit nicht oder wie intendiert aus. Und scheinbar aus dem Nichts reagiert das System plötzlich völlig unvorhergesehen oder weit heftiger als erwartet. Gerade am Beispiel Finanzsystem ist das immer wieder zu beobachten. Lange Ursache-Wirkungsketten bzw. indirekte und irreversible Wirkungen reduzieren die Berechen- und Steuerbarkeit. Kleine Ursachen können große Wirkungen verursachen, wie folgendes Beispiel zeigt. Der Ausfall eines Steuerrechners in einer Nebenanlage eines großen Pro-duktionsbetriebes führte zu einem Do-

minoeffekt, der in einem mehrtägigen Betriebsstillstand endete.

Aus dem ursprünglichen Schaden in der Höhe von 2.000 Euro entstand ein Folgeschaden in der Höhe von 50 Milli-onen Euro. Zeitverzögerte Wirkungen können wir auch in der IT-Sicherheit mitverfolgen, wo Schwachstellen oft über Jahre vorhanden sind. Eine we-sentliche Rolle spielt dabei, dass durch eine oft nicht zu Ende gedachten Ver-netzung die Reichweitenbegrenzungen für Störungen minimiert oder aufgeho-ben werden. Durch vordergründige Ef-fizienzsteigerungsmaßnahmen entste-hen schwer beherrschbare systemische Risiken.

Systemische Risiken

Systemische Risiken sind durch einen hohen Vernetzungsgrad und nicht intendierte Wechselwirkungen mit weitreichenden Dominoeffekten und Nichtlinearität gekennzeichnet. Dar-über hinaus werden diese systematisch unterschätzt und in vielen Risikoma-nagementansätzen nicht ausreichend berücksichtigt, da besonders externe Faktoren zum Tragen kommen. Auf-grund der Seltenheit des bisherigen Eintritts werden sie häufig vernach-lässigt und damit völlig unterschätzt. Hier besteht ein Sicherheits- bzw. Ver-letzlichkeitsparadox. Je sicherer etwas scheint, desto verwundbarer ist es gegenüber großen Störungen, da mit der Zeit auch die erforderlichen Hand-lungskompetenzen zur Bewältigung von Störungen abnehmen.

Betriebswirtschaftliche Optimierung und Effizienzsteigerung

Während viele Probleme in der Cyber- und IT-Sicherheit ungelöst sind, bzw. durch ständig neue überholt werden, schreitet die technische Vernetzung scheinbar unaufhaltsam voran. We-sentliche Treiber sind dabei betriebs-wirtschaftliche Überlegungen und

der Druck zur Effizienzsteigerung. Dabei wird leicht übersehen, dass ein Widerspruch zwischen Effizienzsteige-rung und Systemsicherheit besteht. Be-triebswirtschaftliche Optimierungen und Effizienzsteigerungen machen durchaus Sinn, solange sie nicht zum Selbstzweck oder zur reinen Rendi-tenbeschaffung werden. In vielen Be-reichen sind wir aber bereits dort an-gelangt. Immer häufiger werden für die Systemsicherheit wichtige Redun-danzen und Reserven eingespart, da sie betriebswirtschaftlich „totes Kapital“ darstellen. Auch beim Fachpersonal wird der Sparstift angesetzt. Immer weniger haben immer mehr zu tun. Die Fehleranfälligkeit und damit die Verwundbarkeit steigen. Wenn sich die Maßnahmen negativ auswirken, ist es meist bereits zu spät bzw. sind schon ir-reversible oder kostenintensive Folgen eingetreten.

Kritische Infrastruktur und strate-gische Schocks

Diese Entwicklungen können fast überall beobachtet werden, so auch im Bereich unserer Kritischen Infra-strukturen. Gleichzeitig führt die zunehmende Vernetzung, etwa Stich-worte wie „Smart-Metering“, „Smart-Grid“, „Industrie 4.0“ oder „Internet of Things“ dazu, dass immer mehr bisher getrennte Domänen miteinander ver-netzt und damit wechselseitig abhän-gig gemacht werden. Ohne Strom- und Telekommunikationsversorgung geht heute so gut wie gar nichts mehr, oft nicht einmal die Wasserversorgung.

Eine europäische Großstörung im Stromversorgungssystem („Blackout“) würde innerhalb weniger Tage zu einem völligen gesellschaftlichen Kol-laps führen, wie etwa eine Studie des Deutschen Bundestages zum Schluss kommt. Dabei geht es gar nicht um Worst-Case Szenarien. Bereits ein halb-tägiger europaweiter Stromausfall hät-te das Potenzial, unsere unvorbereitete und hoch vernetzte Gesellschaft ins Chaos stürzen. Ein solches Ereignis wird zum strategischen Schock und würde unser Zusammenleben nachhal-tig verändern.

Wir sind verwundbar, ohne das uns das Bewusst wäre, noch dass wir dafür entsprechende Notfall- und Krisenplä-ne hätten. Störungen werden ausge-


ToP-THEMa

schlossen und sind in vielen Bereichen undenkbar, was jeder Erfahrung wider-spricht, wie etwa auch gerade der breit angelegte Angriff auf den Banksektor wieder einmal zeigt. Scheinbar ist es ge-lungen, durch eine breite Kompromit-tierung über Banken- und Ländergren-zen hinweg einen Schaden von rund einer Milliarde Dollar zu verursachen. Möglicherweise nur die Spitze des Eis-berges, wenn man auf die Erkenntnisse der letzten Jahre zurückblickt.

Wir vertrauen unseren Sicherheitslö-sungen – zu Recht?

Den neuen Herausforderungen durch die zunehmende IT-Vernetzung im In-frastrukturbereich will man mit ent-sprechenden Sicherheitslösungen be-gegnen. Die Frage, warum Lösungen, die bisher im IT-Umfeld nur bedingt erfolgreich waren, im Bereich der Kri-tischen Infrastruktur mit „more or less of the same“ besser funktionieren sollen, ist bisher unbeantwortet geblie-ben.

Hinzu kommt, dass im Bereich der Steuerung und Automatisation von Infrastrukturen ganz andere Lebenszy-klen als in der klassischen IT-Welt zum Tragen kommen. Es geht nicht nur um wenige Jahre, sondern oft um mehrere Jahrzehnte. Diese Infrastrukturen müs-sen über viele Monate ununterbrochen funktionieren und verfügbar sein. Ein Neustart nach einem Sicherheitsup-date, wie das etwa in der IT-Welt üblich ist, ist häufig nicht möglich. Hier pral-len gänzlich unterschiedliche Welten und Philosophien aufeinander. Denn es geht nicht nur um die IT-Infrastruk-tur oder Software, sondern um die dahinterliegenden Systeme, die damit gesteuert werden.

Eine Warnung sollten auch die zahl-reichen erfolgreichen Angriffe gegen die Sicherheitsindustrie sein. Menschen und vor allem Kriminelle sind sehr kre-ativ: Wenn sich abzeichnet, dass sich der Aufwand lohnen könnte, werden

entsprechend hohe Ressourcen einge-setzt. Angreifer verfügen über eine sehr professionelle „Unternehmensstruktur“ und Infrastruktur. Dass es nicht immer nur um Geld geht, zeigt auch die stei-gende Anzahl von Angriffen auf Infra-strukturen. Breit bekannt gewordene Angriffe, wie der gegen das iranische Atomprogramm oder der Angriff auf einen deutschen Hochofen stellen da-bei nur die Spitze des Eisberges dar.

Das Bewusstsein um die Bedro-hungen aus dem Cyberbereich ist in den letzten Jahren deutlich gestiegen. Dennoch stellen diese nur einen Teil der tatsächlichen Bedrohungen für un-sere Infrastrukturen dar. Störungen können in vernetzten Systemen durch viele Ereignisse ausgelöst werden. Soft-warefehler, Naturereignisse, mensch-liches Versagen, aber auch exotisch an-mutende Ereignisse wie Sonnenstürme können zu weitreichenden Folgen füh-ren. Gerade letztgenannte werden von der OSCE zu den größten globalen Ri-siken gezählt, sind aber gleichzeitig lo-kal kaum bekannt. Es geht daher längst nicht nur um Angriffe, wie meist vor-dergründig diskutiert wird.

Wir sind als Gesellschaft durch die Abhängigkeiten von der Kritischen Infrastruktur massiv verwundbar. Das war auch bisher so. Neu ist jedoch, dass die Reichweite der Störbarkeit und die Geschwindigkeit der Ausbreitung in vernetzten Systemen exponentiell zu-genommen haben, was etwa auch 2007 die geplatzte amerikanische Immobi-lienblase gezeigt hat. Kaum jemand hatte die darauffolgenden globalen Schockwellen im Finanz- und Wirt-

schaftssystem am Radar, geschweige für möglich gehalten.

Es wäre daher blauäugig, diese Tat-sachen beiseite zu schieben. Denn die meisten Unternehmen und insbeson-dere unsere Logistikketten hängen ganz wesentlich von der Verfügbarkeit dieser Infrastrukturen ab. Und somit die ganze Gesellschaft.

Systemdesign

In der Natur gibt es nur komplexe Systeme und zudem eine sehr lange Entwicklungs- und Erfolgsgeschichte. Grund genug, um von ihr zu lernen. In wenigen Worten lässt sich das auf die Reduktion des Energiebedarfs, die Erhöhung der Fehlerfreundlichkeit und Fehlertoleranz, sowie auf eine dezentrale Steuerung bzw. Regelung zusammenfassen. Damit können Ab-hängigkeiten deutlich reduziert und die Widerstandsfähigkeit („Resilienz“) des Systems deutlich erhöht werden. Kein Fehler im System darf sich auf das gesamte System negativ auswirken können.

Zellulare Strukturen und Regel-kreise, wie sie etwa bereits in der Auto-matisationstechnik zum Einsatz kom-men, sind hier gefragt. Viele derzeitige Konzepte, wie die massive Erhöhung der zentralisierten Vernetzung (Stich-wort: Smart), widersprechen diesem Ansatz und führen zu einem weiteren Anstieg der Verwundbarkeit.

Sicherheit versus Robustheit

Zum anderen ist es erforderlich, ei-nen neuen Blickwinkel auf das The-


ToP-THEMa

ma „Sicherheit“ zu werfen. Während unsere bisherigen Sicherheits- und Ri-sikobetrachtungen zur Vorsicht mah-nen, fordert der Robustheitsansatz zur Stärke auf. Um die Zuverlässigkeit eines Systems beurteilen zu können, ist eine Risikobeurteilung nur bedingt hilfreich, da diese auf definierte und bekannte Einzelszenarien basiert. Die Feststellung, ob ein System grundsätz-lich fragil oder robust ist, lässt auf eine generelle Widerstandsfähigkeit gegenü-ber Störungen jeglicher Art schließen. Denn während Risiken und Sicherheit hypothetisch sind, ist die Fragilität und Robustheit eines Systems messbar.

Mit der Komplexität steigt auch die Variabilität des Systemverhaltens. Da-her ist es notwendig, dass ein System mit möglichst vielen unbekannten Situationen und Störungen umgehen kann. Unsere Kritische Infrastruktur, insbesondere die Stromversorgung, muss daher unter diesen Gesichtspunk-ten weiterentwickelt werden. Dabei müssen alte, wenn auch bewährte, Denkmuster verlassen werden.

Zusammenfassung

In diesem Beitrag wurde versucht, das Thema IT-Sicherheit aus einem etwas anderen Blickwinkel zu betrachten. Etwa auch mit dem Hinweis, dass Si-cherheitstechnik nicht nur zur Lösung beiträgt, sondern auch Teil des Pro-blems sein kann.

Technische Vernetzung schafft nicht nur Vorteile. Die reine Verhinderung von Störungen führt jedoch zu Schein-sicherheit und schiebt den Zeitpunkt von dann kumulierenden Störungen nur hinaus. Daher müssen wir auch mit möglichen (externen) Störungen rech-nen und umgehen können. Durch er-

lebte Erfahrungen aus begrenzten Ereignissen bzw. Übungen kann auch die dafür er-forderliche Hand-lungskompetenz erworben und er-halten werden.

Häufig erlebter Aktionismus ist dabei kontrapro-duktiv. Statt die Ursache eines Pro-blems zu suchen und dort anzusetzen, wird gerne nur eine Symptombehand-lung durchgeführt, da diese rasch ange-wandt werden kann und ein schnelles („vermarktbares“) Ergebnis liefert. Fun-damentale Lösungen hingegen führen kurzfristig häufig zu Nachteilen und bringen erst langfristig einen positiven Nutzen bzw. Mehrwert. Vermeintlich einfachen und raschen Lösungen sollte daher mit einer Portion Skepsis begeg-net werden.

Im Umgang mit komplexen Syste-men ist vernetztes Denken und Han-deln unverzichtbar. Damit werden mögliche externe oder in Wechselbe-ziehung stehende Faktoren erfassbar und das ganze Muster erkennbar. Zum anderen ist es erforderlich, unser bis-heriges Systemdesign generell zu über-denken. Dezentrale Strukturen sind wesentlich robuster gegenüber Stö-rungen und Voraussetzung, um auch mit unvorhersehbaren Ereignissen und Störungen umgehen zu können. „Too-big-to-fail“ ist weder im Finanz- noch im Infrastruktursektor nachhaltig.

Auch wenn wir hier skizzierte Sze-narien bisher noch nicht erlebt haben oder uns kaum vorstellen können, stellt sich die Frage, wären wir darauf vorbe-reitet?

Kritische Infra-strukturen

Darunter sind jene Infrast rukturbe-reiche zu verstehen, die für das funk-tionieren unseres Gemeinwesens von elementarer Bedeu-tung sind. Wie etwa die Energie- und IKT-Infrastruktur,

„Probleme kann man niemals �mit derselben Denkweise lösen, durch die sie entstanden sind.“ Albert Einstein„The greatest danger in times of �turbulence is not the turbulence; it is to act with yesterday’s logic.” Peter Drucker„Systemische Risiken werden massiv �unterschätzt.“„Unsere Infrastruktur ist stark ver- �wundbar.“„Wir brauchen vernetztes Denken �und Handeln!“

oder unser Gesundheitswesen und die gesamte Versorgung mit lebenswichti-gen Gütern.

Management-Summary:

Technische Vernetzung schafft viele Vorteile, hat aber auch bisher wenig beachtete Schattenseiten, die meist erst zeitverzögert zum Tragen kommen. Mit der Vernetzungsdichte erhöht sich die Komplexität von Systemen. Gleichzei-tig sinkt die zentralisierte Steuerbarkeit dieser. Wir sind daher zunehmend mit neuen Herausforderungen konfron-tiert, denen mit vernetztem Denken und Handeln zu begegnen ist. Der rei-ne Fokus auf den eigenen Bereich bzw. auf das Wesentliche reicht bei weitem nicht mehr aus, um mit den neuen ver-netzten Realitäten sinnvoll umgehen zu können.

Autoren:

Herbert Saurugg, Jahrgang 1974, war 15 Jahre Berufsoffizier im Bereich der Füh-rungsunterstützung und IKT-Sicherheit beim Österreichischen Bundesheer. Er ist Gründungsmitglied von Cyber Secu-rity Austria - Verein zur Förderung der Sicherheit Österreichs strategischer In-frastruktur (www.cybersecurityaustria.at) und Initiator der zivilgesellschaft-

Herbert Saurugg,

MSc

Vernetzung & Komple-xität & CSa Board

Joe Pichlmayr

Geschäftsführender Gesellschafter IKarUS Security Software GmbH & CSa Board


ToP-THEMa

Call for Papers

Themenschwerpunkt: Innovation Strategy

in WINGbusiness 03/2015

Beschreibung

Für die Ausgabe 03/2015 laden wir Sie herzlich ein, Beiträge zum Themen-schwerpunkt „Innovation Strategy“ einzureichen.

Von Interesse sind Artikel zu Pro-jekten und Forschungstätigkeiten, die unterschiedliche Strategien im Innovationsmanagement oder die erfolgreiche Umsetzung von inno-

vativen Produktideen am Markt be-schreiben.Es können zwei unterschiedliche Bei-tragsarten übermittelt werden:

Die Verfassung eines Textes als Be- �richt aus der Praxis.Die Einreichung eines wissenschaft- �lichen Beitrages in Form eines wis-senschaftlichen Papers (WINGPaper mit Reviewverfahren; die Ergebnisse des Reviewverfahrens erhalten Sie 4-8 Wochen nach der Einreichfrist).

Hinweise für AutorInnen: Vorlagen zur Erstellung eines WING-Papers und konkrete Layout-Richt-linien sind als Download unter http://www.wing-online.at/de/wing-business/medienfolder-anzeigen-preise/ oder unter der e-mail [email protected] verfügbar.Bitte senden Sie Ihre Beiträge als PDF an [email protected]. Annahmeschluss: 01.07.2015

Schwerpunkt-Themen WINGbusiness 2015

Heft 02/2015: „Flexibles arbeiten“

Heft 03/2015: „Innovation Strategy“

Heft 04/2015: „recht am Bau“

lichen Initiative „Plötzlich Blackout!“ - Vorbereitung auf einen europaweiten Stromausfall. Aktuell beschäftigt er sich mit dem Thema „Vernetzung & Komplexität“ und den möglichen ge-sellschaftlichen Auswirkungen(www.saurugg.net). Joe Pichlmayr, Jahrgang 1970, ist Ge-schäftsführer bei IKARUS Security Software (www.ikarus.at) und beschäf-tigt sich seit 1994 mit Virenschutz und Security. Er ist ebenfalls Gründungs-mitglied von Cyber Security Austria

und Hauptorganisator der Cyber Secu-rity Challenge Austria bzw. European Cyber Security Challenge 2015 (www.cybersecuritychallenge.at), mit derer junge IT-Sicherheits-Talente für Behör-den und Unternehmen gewonnen wer-den.

Cyber Security Austria

ist ein gemeinnütziger, unabhängiger und überparteilicher Verein, der sich aus ehrenamtlichen Mitgliedern aus

unterschiedlichsten Branchen zu-sammensetzt. Cyber Security Austria adressiert Querschnitts(sicherheits)themen im Bereich der Strategischen/Kritischen Infrastruktur.

Bildquellen:

Fotos: Public Domain (http://pixabay.com)Grafik: Herbert SauruggFoto Herbert Saurugg: Andreas Wa-stian, Foto Joe Pichlmayr: Ikarus


ToP-THEMa

robert Kernstock

Umfassender Schutz unternehmenskritischer daten Vorneweg ein möglicherweise entmutigendes Statement: niemand kann sich vor Cybercrime-Attacken schützen. Know-How und technische Möglichkeiten von Cyberkriminellen sind auf höchstem Niveau, und wie in anderen kri-minellen Bereichen auch sind die „Guten“ immer einen Schritt hinter dem „Bösen“ zurück. Man kann sich eine Botnet-Ausstattung bereits um wenige 100 Euro online im Internet kaufen, und mit Hilfe der hervorragenden Dokumentation auch ohne besondere Kenntnisse damit gezielte Angriffe starten. Nach oben ist die Grenze naturgemäß offen, ebenso wenig das Ausmaß der Schäden.

Unser Wirtschafts- und Sozialleben ist angewiesen auf elektronische

Kommunikation: beispielsweise wür-de eine Bank deren elektronisches Kommunikationssystem durch einen gezielten Angriff lahmgelegt wird, nach etwa drei Tagen in massive wirt-schaftliche Schwierigkeiten geraten. Vergleicht man die sicherheitstech-nischen Grundlagen der Kommunika-tionssysteme mit anderen Bereichen kritischer Infrastruktur, beispielsweise dem Straßenverkehr, so fällt auf dass im Verkehrsbereich eine Vielzahl von gesetzlichen und technischen Rah-menbedingungen sowie Know-How der Verkehrsteilnehmer existieren die es dem Benutzer ermöglichen relativ sicher von A nach B zu kommen. Dies ist bei elektronischen Kommunikati-onssystemen großteils nicht der Fall: es fehlen in weiten Bereichen Grundlagen bzw. beruhen diese auf Standards die keine rechtliche Verbindlichkeit haben, beispielsweise bei Identifikations- und

Autorisierungsverfahren. Wäre es mög-lich ein KFZ mit unterschiedlichen Kennzeichen zu versehen und mehre-re Führerscheine zu besitzen, oder das KFZ je nach Lust und Laune mit ver-schiedenen Kraftstoffen zu betreiben? Während man einem KFZ-Halter zu-mindest ein Basiswissen über Airbags, Gurtsysteme, Winterreifenpflicht etc. zubilligen kann, darf man aber bezwei-feln dass der durchschnittliche Internet-Benutzer das Thema Virenschutz, Pass-wortregeln und Identitymanagement wirklich anwendet. Man kann auch da-von ausgehen dass der Straßenerhalter rechtzeitig vor Gefahren wie Glatteis, Lawinen oder Staus warnt, während dies beim Internet in erster Linie auf Eigeninitiative beruht.

In diesem Umfeld stellt ein umfas-sender Schutz vor Cyber-Bedrohungen für Unternehmen eine Herausforde-rung dar. Man muss sich allerdings fra-gen was wirklich eine Bedrohung für

ein spezifisches Unternehmen darstellt. Nach übereinstimmender Experten-meinung sind dies sog. Advanced Per-sistant Threats, also langandauernde technisch gefinkelte und vor allem ge-zielte Angriffe die den Zugang zu sen-siblen Daten zum Ziel haben. Sensible oder unternehmenskritische Daten sind jene Informationen, die das Überleben einer Organisation sichern, beispiels-weise Vorstandsinformationen, Über-nahme- und Verkaufspläne, geistiges Eigentum, Kundeninformationen, etc. Sie machen nur wenige Prozent des gesamten Datenbestandes aus, stehen aber für etwa 70 Prozent des Unterneh-menswerts. Sie haben größten Einfluss auf Wachstum, Reputation und Mar-kenwert. Trotz des enormen Stellen-werts dieser sensiblen Daten verfahren viele Unternehmen damit leichtfertig, wissen beispielsweise nichts über Lage, Zugangsberechtigungen und Schutz dieser Daten. Das macht die Überwa-chung und ihren Schutz sehr schwie-

Foto: IBM Market Asset Manager


ToP-THEMa

rig. Tatsächlich braucht es in über 95 Prozent der Fälle oft Tage oder mehr, bis ein Datenverlust bemerkt wird. Zudem sind in 90 Prozent der Fälle Wochen oder Monate notwendig, um Sicherheitslücken zu schließen, von denen potenziell massive Gefahren für das Geschäft ausgehen.

Der IBM X-Force-Threat Intelligence Report basiert auf Auswertungen von nahezu 1.000 Kundensituationen in 133 Ländern und liefert dazu recht ein-drucksvolle Daten: Im ersten Halbjahr 2014 wurden z.B. zwölf Prozent mehr Sicherheitsvorfälle als im Jahr zuvor entdeckt – das sind 91 Millionen Vorfäl-le insgesamt oder durchschnittlich 1,7 Millionen pro Woche. Der Anstieg von Spam erreichte dabei den höchsten Wert in den vergangenen 2,5 Jahren, womit E-Mails als Mittel für die Verbrei-tung von Malware unangefochten an erster Stelle bleiben. Allerdings schließt ein Großteil der Attacken in irgendei-ner Weise menschliches Fehlverhalten mit ein – entweder weil ein Mitarbeiter zum Beispiel durch Doppelklick einen infizierten Anhang oder eine URL ge-öffnet hat, einen Default-Nutzernamen und Passwort genutzt oder vertrauliche Informationen an falsche Adressaten geschickt hat:

Eine sinnvolle Abwehr von Cyberat-tacken kann mit einem permanenten Monitoring realisiert werden:

Wer greift an? �Was ist das Ziel der Attacke? �Wie wird die Attacke technisch �durchgeführt?Stellt die Attacke eine Bedrohung �dar?

Anstatt zu versuchen das eigene Netz-werk zu 100 % abzusichern (was tech-nisch und finanziell extrem aufwendig ist und in Wahrheit nie realisiert wer-den kann) begegnet man den Angrei-fern mit Intelligenz, indem die Atta-cken in „Real Time“ analysiert und das Bedrohungspotential bewertet wird. Wenn eine bedrohliche Attacke erfolgt, ist man durch die Information über die Attacke sofort in der Lage entspre-chende Maßnahmen einzuleiten. Dies setzt natürlich voraus dass man diese Attacken kennt. X-Force erforscht per-manent die weltweit durchgeführten Attacken und liefert die Angriffsvek-toren an eine Datenbank, welche eine wesentliche Informationsquelle für Security Information und Event Ma-nagement Systeme (SIEM) darstellt.

Üblicherweise besteht die IT-Securi-ty meist aus einzelnen, nicht miteinan-der kommunizierenden Komponenten, organisatorisch sowie technisch. Der Einsatz einer integrierten SIEM-Lösung stellt sicher dass die Informationen aus allen Security-Komponenten auf einer zentralen Informationskonsole verar-beitet werden und mit voreingestell-ten Sicherheitsregeln permanent abge-glichen werden. Damit werden auch Fälle aufgedeckt wie jener aus einer konkreten Kundensituation, der mit konventionellen Securitykomponen-ten unentdeckt bleibt: ein Mitarbeiter

loggt sich zu einer Zeit am Unterneh-mensstandort ein den er laut Zutrittssy-stem gar nicht betreten hat, legt einen Benutzer mit umfassenden Zugriffs-rechten an, loggt sich mit diesem er-neut ein, führt eine Datenbankabfrage

auf Kundendaten durch, speichert die Daten auf einem Datenträger der auf der fraglichen Workstation eigentlich nicht zulässig ist, und löscht den Benut-zer anschließend wieder … ein korrekt konfiguriertes SIEM-System produziert sofort einen Alarm und speichert den Vorfall sodass der gesamte Angriff nachvollziehbar und transparent wird.

Eine besondere Problematik ergibt sich im Bereich der Fertigungsindu-strie. Das Schlagwort Industrie 4.0 ist in aller Munde: Ziel ist die intelligente Fabrik (Smart Factory), die sich durch Wandlungsfähigkeit, Ressourceneffizi-enz und Ergonomie sowie die Integrati-on von Kunden und Geschäftspartnern in Geschäfts- und Wertschöpfungs-prozesse auszeichnet. Technologische Grundlage sind Cyberphysische Sy-steme und das Internet der Dinge (Quelle: Wikipedia).

Aus Sicht der IT-Security stellt dieses Konzept einen nicht zu vernachlässi-genden Unsicherheitsfaktor dar. Exper-ten sehen die Fertigungsindustrie als prädestiniert für Attacken an, da die Vernetzung von Zulieferern, Konstruk-tion und der Produktion immer enger wird, damit mit „vereinfachter Kommu-nikation“ immer bessere und schnel-lere Ergebnisse erzielt werden können. Dies erleichtert das Abgreifen von Key Know-How in digitaler Form. Mobile Devices bringen neue Probleme, da für Hacker „i-Pad & Co“ zunehmend leichte Ziele sind, und die zunehmende Nutzung von Standardsoftware in der Produktion führt zu aktuell ungelösten Problemen im Patch Management. Aus unserer Security Intelligence (X-Force) wissen wir andererseits dass die Ha-cker- Community regelmäßig Shopf-loor Exploits veröffentlicht (inklusive der zugehörigen Pentesting Tools)

Höchste Priorität in der Produktion haben Taktzeiten und Produktions-mengen, wobei Maßnahmen für Secu-rity dies nicht beeinträchtigen dürfen. Die Anlage wird als Gesamtgewerk ge-liefert: Modifikationen müssen im Ge-samtkontext geplant und durchgeführt werden. Das Risiko ist auch deshalb so hoch, weil das Thema Security in der Konzeptphase der Fabriken bisher kei-ne Rolle gespielt hat.

Auch hier kann eine intergrierte SIEM-Lösung Abhilfe schaffen. Diese

Quelle: X-Force Threat Intelligence Quarterly 2014


ToP-THEMa

Mag.

robert Kernstock

IBM Security Solutions, Business development Executive

ermöglicht die Überprüfung von Kom-munikationspfaden, beispielsweise das

Aufdecken unauto-risierter Kommu-nikation zwischen verschiedenen Zo-nen innerhalb der Produktionsum-gebung, zwischen Produktion und Office IT (Intra-net), sowie externer Kommunikation. Das SIEM Dash-board stellt den aktuellen Security-

Status dar und alarmiert automatisch im Falle von Sicherheitsbrüchen, und

zwar für das Gesamtsystem ohne Un-terscheidung der Produktions- und Office-IT.

Autor:

IBM Security Solutions, Business De-velopment ExecutiveJahrgang 1956, Ausbildung Betriebs- und Wirtschaftsinformatik, beruf-liche Erfahrung als Management Consultant und Manager in IT-Con-sultingunternehmen in Österreich und Zentral- und Osteuropa,bei IBM seit 2006. Verantwortlich für Security seit 2014.

UNINaCHrICHTEN

Matthias Friessnig, alexander Pointner

Fablab, ein Maker Space an der TU Graz Seit dem letzten Jahr betreibt das Institute of Production Science and Management gemeinsam mit dem Institut für Industriebetriebsbetriebslehre und Innovationsforschung als erste österreichische Universität ein „FabLab“.

FabLabs sind Hightech-Werkstätten für die Produktion, in welchen ein

reger Austausch von Know-how und Erfahrungen über spezifische Produkte und Produktionsmöglichkeiten statt-findet. Das Wort FabLab steht dabei als Abkürzung für Fabrication Laboratory. In dieser Einrichtung haben sogenann-te „Maker“ die Möglichkeit, unkom-pliziert moderne und bedienerfreund-liche Produktionsmaschinen für die Prototypenfertigung nach einer kurzen Einschulung selbst und vor allem ko-stenlos zu nutzen. In Workshops und Seminaren treffen sich Gleichgesinnte und arbeiten gemeinsam oder alleine an Ihren Projekten. Ein FabLab ist so-mit ein Ort der Bildung und Wissens-vermittlung.

Am Institute of Production Science and Management und mit der Un-terstützung des Institutes für Indus-triebetriebslehre und Innovationsfor-schung bei Prof. Christian Ramsauer wurde im Oktober 2014 ein derartiges FabLab an der TU Graz eröffnet. Das erste FabLab weltweit wurde 2002 von Professor Neil Gershenfield am Center for Bits and Atoms des Massachusetts Institute of Technology gegründet, wel-cher später die internationalen FabLab Association und die FabFoundation ins Leben rief. Nach der Eröffnung im Jahr 2014 ist die TU Graz damit die erste österreichische Universität, die ein FabLab betreibt und Mitglied der FabLab Association und der FabFoun-dation ist. Das FabLab Graz befindet sich am FSI in der Inffeldgasse 11 im 1. Stock in Graz und steht nicht nur allen Studierenden zur Verfügung, sondern ist jeden Donnerstag zwischen 14 und 18 Uhr auch für Privatpersonen öffent-lich und kostenlos zugänglich. Neben zwei unterschiedlichen 3D-Druckern stehen den Nutzern auch ein 3D-Scan-ner, Laser-Cutter, Vinylcutter und eine CNC-Fräsmaschine für den privaten Gebrauch zur Verfügung. Dementspre-

chend ausgestattet Hightech-Werkstät-ten sind somit die Grundlage für die Herstellung von stark an die Kunden-bedürfnisse angepassten Produkten. (weitere Informationen unterhttp://fablab.tugraz.at).

Prof. Christian Ramsauer (li.) im FabLab Graz (Quelle: TU Graz/Lunghammer)

Erste Prototypen aus dem FabLab Graz (Quelle: TU Graz/Lunghammer)


ToP-THEMa

robert Jankovics

Über die digitalisierung aller Branchen

IT-Sicherheit 4.0 Der Wunsch einer allgegenwärtigen Verfügbarkeit von Informationen aus jeglichen Lebensbereichen führt dazu Infor-mationen in Echtzeit durch IT-Unterstützung zu sammeln, zu verarbeiten und an anderer Stelle für die Konsumation wieder bereitzustellen. Aus dieser Tatsache heraus hat sich eine Bewegung ergeben die nicht mehr aufzuhalten ist, und die ihren Weg aller Wahrscheinlichkeit nach weiter fortsetzen wird - die Digitalisierung aller Lebensbereiche, und umgelegt auf unser Wirtschaftsleben, die Digitalisierung aller Branchen. Doch wo viel Licht scheint fällt auch viel Schatten, und so gehen mit allen Annehmlichkeiten dieser Entwicklung auch viele Risiken und Notwendigkeiten für neue Sicherheitslösungen einher.

Industrie 4.0 ist in der Realität ange-kommen

Im Februar 2015 erschien ein ausführ-liches Interview mit Herrn Siegfried Russwurm über die Folgen der Digi-talisierung für die Arbeitswelt in der Wochenzeitung „Die Zeit“. Herr Rus-swurm bekleidet eine Doppelfunktion im Vorstand der Siemens AG.

Er forciert als Chief Technical Offi-cer die Digitalisierung aller Geschäfte (Züge, Kraftwerke, Stromübertragung, Medizintechnik, Fabrikautomatisie-rung, Kfz-Elektrik), während er sich gleichzeitig als Personalchef um die Folgen für 350.000 Beschäftigte im Konzern kümmert. Über 4,4 Milliar-den Euro wird Siemens 2015 für For-schung und Entwicklung investieren, einen Großteil davon in „digitale The-men“. [1]

Herr Russwurms Einblicke lassen er-kennen in welchem Wandel sich die In-dustrie derzeit befindet. Das Internet of Things findet Anwendung in Roboter und Maschinen von Fertigungsstraßen, in RFID Tag versehenen Einzelbautei-len, und in Fertigungsprozess übergrei-fenden Monitoring- und Steuerungs-Systemen. Diese Einzelteile fügen sich am Ende der Entwicklung zu einem Wandel der Produktion zusammen, der derzeit unter dem Begriff Indus-trie 4.0 subsummiert wird. Siemens befindet sich in dieser Entwicklung in breiter Gesellschaft vieler Industrietrei-benden.

So melden Aufzüge von Thysse-nkrupp beispielsweise bereits vorab selbstständig, wann welcher Teil als nächstes gewartet werden muss, oder bieten intelligente Funktionen an wie eine Missbrauchserkennung oder eine

selbsttätige Wiederbelebung im Stö-rungsfall.

Der digitale Umbruch betrifft alle Bereiche

Längst ist von dieser Entwicklung je-doch nicht mehr nur die Industrie, die in einer Smart Factory intelligente Pro-dukte mit eigenen digitalen Identitäten produziert, betroffen. Vielmehr ist die Digitalisierung der uns umgebenden Welt in allen Bereichen zu beobach-ten. Als Beispiele aus unterschiedlichen Branchen seien die folgenden genannt:

Health & Life Science: Mit etwas �Vorlaufzeit aber doch hat die elektro-nische Gesundheitsakte ELGA ihren Dienst aufgenommen und stellt me-dizinischem Personal, sowie dem Pa-tienten, Gesundheitsdaten orts- und

Foto: Mon5ter; thinkstockphotos.com / Kapsch


ToP-THEMa

zeitunabhängig zur Verfügung. Im Life Style Sektor erobern zeitgleich sogenannte Wearables, mit Sensoren vernetzte Kleidung und Gadgets, den privaten Health Bereich.End-Consumer Services: Den An- �wendungsfällen scheinen hier keine Grenzen gesetzt zu sein. Derzeit er-schließen Smartphone Apps verstär-kt neue Geschäftsfelder im Personen-transport. Durch die Anwendungen werden klassische Vermittlungszen-tralen (und deren Vermittlungspro-visionen) ausgespart, wie das neu am Markt auftretende Transportun-ternehmen Uber oder die Teilnah-me traditioneller Taxi Fahrer an der Vermittlungs-App myTaxi demons-trieren. Dem Anwender werden der Standort des nächsten Wagens und die voraussichtlichen Kosten vor der 1-Klick-Bestellung am Smart Phone dargestellt, sowie alsdann die Warte-zeit durch die Echtzeitvisualisierung des herannähernden Wagens per GPS Tracking kurzweilig gestaltet.M2M – Machine to Machine Kom- �munikation: M2M Kommunikation wirkt oft im Verborgenen, überall dort wo Maschinen ihren Status an andere Maschinen, entweder zu mo-nitoring Zwecken, oder zum Auslö-sen von Wartungsintervallen oder Bestellungen, melden. So melden Textilautomaten der Firma Seiden-sticker beispielsweise den Bestand an Automaten-Hemden direkt an Systeme des zur Nachfüllung der Ware und zur Entleerung des Geld-behälters zuständigen Dienstleister.Smarter Cities: Egal ob es sich um �den Bereich Transport & Automoti-ve, um Location based Services im individual Konsum, oder um den Bereich intelligenter Energienetze handelt. Alle Teilnehmer am vitalen Stadtleben, sei es als Dienste-Anbie-ter oder –Konsument, interagieren untereinander in einem implizi-ten Zusammenleben. Das Ziel von Smarter Cities ist es, die Steuerung dieses Zusammenlebens, durch die weitere Vernetzung von Informati-onsströmen und der Abstimmung all dieser Bereiche untereinander, Ressourcen optimiert zu gestalten.

Grundlage für diese voranschreitende Digitalisierung ist es, dass eine große Anzahl an Devices (Sensoren, Aktoren, visualisierende Elemente, Kommuni-

kationselemente, …) miteinander über ein gemeinsames Netzwerk in Verbin-dung treten. Das Internet der Dinge ist der Grundbaustein für alle darauf auf-setzenden Anwendungen. Eine aktu-elle Marktstudie prognostiziert daher für das Jahr 2018 ca. 20 Milliarden an IP-fähigen Devices.

Traditionelle Sicherheitslösungen greifen nicht mehr

Die tiefe Verwurzelung digitaler Sy-steme lässt erahnen, dass eine ordnungs-gemäße Funktion dieser essentiell ist, und ernstzunehmende Folgeschäden drohen wenn Störungen aufgrund eines breitflächigen Virenbefalls auf-treten, oder schlimmer, durch gezielte Manipulation erfolgen.

Begleitend zur Digitalisierung ent-stehen neue Sicherheitsherausforde-rungen und das Verlangen nach an-gemessenen Lösungen. Traditionelle Betrachtungsweisen, die oftmals auf dem Paradigma eines vertrauenswür-digen, internen Netzwerkbereichs ba-sieren, und dessen Kommunikations-regeln über eine klassische Firewall abgebildet werden, funktionieren nicht länger. In einer Welt in der Schnittstel-len, Sensoren und Displays in hoher Anzahl an öffentlichen Orten verbaut sind, und in der Dienste auf einer Viel-zahl an unterschiedlichen und mobilen Endgeräten konsumiert werden wollen, ist das Trennen zwischen intern und extern, und das fixe Verdrahten von Kommunikationswegen schlichtweg nicht mehr möglich. Ähnliches gilt für das Unterscheiden zwischen bösartigen und nicht bösartigen Inhalten in mo-dernen Kommunikationsnetzen.

Lange schon arbeiten Autoren von Viren, Malware und Trojanern mit ausgefeilten Verschleierungstechniken daran die Erkennungsrate von klas-sischen Antiviren-Schutzprogrammen zu senken. Und das leider mit nicht zu verachtendem Erfolg. Pattern basieren-de Erkennungsalgorithmen scheitern zunehmend an sich selbstständig ver-änderndem Schadcode (Polymorphis-mus), Verschlüsselung (encrypted pay-load) und komplexen Angriffsmustern (z.B. Trennung von Erstinfektion und nachladen von tatsächlichem Schad-code).

Neue Sicherheitskonzepte sind gefor-dert

Die erfreuliche Nachricht lautet, dass der Markt für Sicherheitslösungen be-reits innovative Produkte und Konzepte zur Verfügung stellt. Die Bandbreite dabei ist breit gefächert und bietet ei-nen Mix aus konzeptionellen Ansätzen und Technologie. Die Herausforderung besteht darin für das eigene Betäti-gungsfeld die richtige Auswahl der zur Verfügung stehenden Ideen zu einer sinnvollen Gesamtlösung zusammen zu führen. Die folgenden Konzepte und Technologien können Bestandteil einer solchen Gesamtlösung sein:

Netzwerksegmentierung: Die klas- �sische Aufteilung zwischen einem internen und einem öffentlichen Netzbereich greift zu kurz. Eine Seg-mentierung in funktionsbedingte Netzbereiche schafft eine Kapselung in Vertrauenszonen mit definierten Schnittstellen zu anderen Seg-menten hin.

Abbildung 1: Zahlenmäßiges Wachstum von IP fähigen Geräten bis 2018


ToP-THEMa

Next-Generation Firewall: Eine Netz- �werksegmentierung macht aus si-cherheitstechnischer Sicht nur dann Sinn, wenn die Segmentübergänge durch Firewalls reglementiert wer-den. NG Firewalls bieten über das reine Abbilden einer Kommunika-tionsmatrix hinaus, die Möglichkeit auf Benutzer Rollen (Administrator, Mitarbeiter, Partner, Konsument) und/oder auf Anwendungsebene (nicht alles was auf Port 443 erreich-bar ist bietet eine Webseite an, es kann sich auch um ein Service für den P2P File Transfer handeln) ein-zuschränken.SCADA-/Modbus-/Feldbus-Firewall: �Speziell im Industrie und Automa-tisierungstechnik Umfeld werden spezielle Kommunikationsprotokol-le eingesetzt (z.B. IEC 60870–5–104, Anwendungsbezogene Norm für Fernwirkaufgaben in IP-Netzen). Da diese Protokolle aus Zeiten hoher physischer Abschottungen stammen, unterstützen sie in der Regel keine Security-Mechanismen (Authenti-fizierung, Verschlüsselung, Schutz gegen Replay-Attacken, ..). Um diese Protokolle dennoch entsprechend sicher zu betreiben, bieten spezielle Firewall Hersteller Module für diese Industrieprotokolle an.Malware & APT (Advanced Per- �sistent Threat) Protection: APT Protection Lösungen werden an neuralgischen Stellen im Netzwerk integriert. Schadcode, der sich über das Netzwerk bewegt, wird durch unterschiedliche Erkennungsalgo-rithmen identifiziert. Darunter fal-len neben der klassischen Pattern basierten Erkennung, das Analy-sieren des dynamischen Verhaltens zur Laufzeit (Sandboxing), sowie das Abgleichen mit einer umfang-reichen Cloud basierten Intelligence Datenbank, in der Charakteristika aktueller Angriffswellen weltweit gesammelt werden.2-Faktor- und Cloud Authentifi- �zierung: In vielen Bereichen be-schränkt sich die Zugangskontrolle zu Netzwerkdiensten alleine auf gül-tige Zugangsdaten mit Benutzerna-me und Passwort. Das Problem wird in letzter Zeit vor allem dadurch verschärft, dass viele Benutzer ihre beruflich eingesetzten Passwörter auch auf diversen anderen Portalen und Cloud-Diensten verwenden. Ein

Security-Breach dieser Dienste stellt ohne 2-Faktor Authentifizierung auch ein Sicherheitsrisiko für eigene Zugänge dar. Authentifizierungs-verfahren für Cloud Dienste die es erlauben gegen ein firmeninternes Verzeichnis zu authentifizieren (OA-uth, SAML), und die Übertragung über das Internet dadurch obsolet machen, werden noch nicht flächen-deckend eingesetzt.

Innovative Endpoint Security Lö- �sungen: Neben klassischen Antivi-ren-Lösungen existieren eine Reihe weiterer Ansätze Endarbeitsplätze sicherer zu gestalten. Einige von die-sen Lösungen setzen auf Verhaltens basierte Erkennungsalgorithmen. Sogenannte Ransomware, das ist Schadsoftware die das befallene System mutwillig unbrauchbar ma-chen (z.B. alle Benutzerdateien auf lokalen Festplatten und auf Netzlauf-werken verschlüsseln) und erst nach Aufforderung einer Lösegeldzahlung die Wiederfreigabe versprechen, ist eindeutig an ihrem Verhaltensmu-ster zu erkennen. Das Verhalten der Schadsoftware kennzeichnet sich durch sequentielle Verschlüsselungs-operationen vieler Dateien aus, und kann durch das markante Verhalten identifiziert und blockiert werden. Andere Lösungen bauen darauf auf Systeme wie zum Beispiel einen Steuerungs-PC in einem definierten Zustand einzufrieren und allen da-rüber hinaus laufenden Prozessen die Netzwerkkommunikation oder Interaktion mit lokalen Dateien und Ressourcen zu untersagen. Tech-nisch gesprochen handelt es sich da-bei um einen Kernel-Level Filter der das erlaubte Verhalten von Systemen sehr granular spezifizieren lässt.

Die Darstellung geeigneter Sicherheits-maßnahmen lässt sich weiter fortfüh-ren, und jede Technologie muss vor allem in organisatorische Prozesse eingebettet werden um einen sicheren Betrieb zu gewährleisten. In einer wirtschaftlichen Betrachtung muss je-denfalls die Frage gestellt werden, an welcher Stelle ein Investment in Sicher-heit am sinnvollsten getätigt ist. Eine geeignete Herangehensweise an diese Bewertung ist die Einführung eines Information Risk Managements (IRM) das Geschäftsrisiken auf technische Risiken herunterbricht und vice versa. Mit der Einführung eines IRM lassen sich Risiken der Informationstechnolo-gie wirtschaftlich fassen und durch die Überführung in ein allenfalls bereits vorhandenes Enterprise Risk Manage-ment (ERM) als Geschäftsrisiko eben-gleich wie andere Marktrisiken behan-deln.

Der geeignete Technologiepartner

Die beschriebenen Aspekte der Digi-talisierung beobachten wir bei dem überwiegenden Großteil unserer Kun-den in allen Branchensegmenten. Kap-sch BusinessCom versteht sich im Zuge dessen als Technologie Partner.

Wir empfehlen unseren Kunden nicht welche Geschäftsfelder sie er-schließen sollen oder auf welche Art und Weise das am besten gelingt. In der Transformation einer existierenden Geschäftsvision zu einem konkret aus-gestalteten und Technologie gestützten Geschäftsprozess jedoch, sehen wir un-sere Kernkompetenz. Das bestehende Portfolio deckt dabei von der vollstän-dige Kette, angefangen bei der eigent-lichen Prozesstransformation und -aus-gestaltung, über die Implementierung in entsprechend sichere Technologien, bis hin zum operativen und sicheren Betrieb, alle Elemente ab.

Autor:

Dipl.-Ing. Robert Jankovics hat Wirt-schaftsingenieurwesen für Informatik an der TU Wien studiert und sich be-reits im Laufe seines Studiums auf In-formationssicherheit spezialisiert. Als Teamlead für den Bereich Security Audit & Assessment bei Kapsch Busi-nessCom beschäftigt er sich intensiv mit dem Themengebiet aktueller Si-cherheitsbedrohungen.


ToP-THEMa

dipl.-Ing.

robert Jankovics

Teamlead Security audit Kapsch BusinessCom

Quellenangaben:

[1] DIE ZEIT Nº 04/2015, Artikel „DIGI-TALISIERUNG: „Da bin ich Optimist“, Autor DIETMAR H. LAMPARTER

Abbildungen

Grafik 1: Mon5ter; thinkstockphotos.com / Kap-sch

Grafik 2: http://blogs.cisco.com/news/cisco-visual-networking-index-vni-global-ip-traffic-and-service-adoption-forecast-update-2013-2018Grafik 3: KrulUA; think-stockphotos.com

Das Institut für Baubetrieb und Bauwirtschaft veranstaltete am

6. November 2014 bereits zum achten Mal den Berufs- und Informationstag Bau, die BIT-BAU’14 an der TU Graz.

Diese in Österreich einzigartige Studien- und Berufsmesse für die Bau-branche sprengte auch heuer wieder alle Besucherrekorde. Mehr als 600 Studierenden, Absolventinnen und Absolventen, sowie Schülerinnen und Schülern aus ganz Österreich wurde das breite Anwendungsspektrum des Bauingenieurwesens präsentiert. Auch der Andrang seitens der Aussteller war enorm. So mussten aufgrund von be-grenzten Platzverhältnissen erstmals Absagen erteilt und die Zahl der Firmen auf 22 beschränkt werden. Diese Ver-treter der Wirtschaft (aus allen DACH Ländern) stellten ihr Betätigungsfeld und Arbeitsgebiet vor und spannten den Bogen von Systemlieferanten, Pla-nungsbüros hin zu ausführenden Un-ternehmen sowie öffentlichen Auftrag-gebern. Dabei standen den Besuchern operative Mitarbeiterinnen und Mit-arbeiter, aber auch Vertretungen der Geschäftsleitungen und Personalab-teilungen der Unternehmungen Rede und Antwort und hatten auch wieder einige Jobs und Praktika im Gepäck.

Abseits des regen Treibens der Messe erhielten Schülerinnen und Schüler bei

den begleitenden Vorträgen alle Infor-mationen zum Studium und hatten die Möglichkeit in einem vom Institut aus-gelobten Wettbewerb die „Brückenbau-Reife“ zu erlangen.

Die 37 eingereichten Konstrukti-onen aus (vorgegebenen) 500 Trink-halmen mussten dabei eine Weite von 2 Metern überspannen. Die präsen-tierten Brückenbauwerke waren in ihrer Kreativität und Vielfalt kaum zu schlagen, nur in ihrer Stabilität waren Unterschiede zu erkennen. So konnte sich mit einer maximalen Traglast von 50 und 30 Kilogramm (Messergebnis nach genormtem Belastungstest) die HTL Ortweinschule gleich die beiden Bestplatzierungen sichern und verwies die Schulen aus Villach, Wels, Linz, Mödling und Zeltweg auf die Ränge.

Die von den Schülern gewonnenen Preise er-streckten sich dabei von einer Klassenreise inkl. A rchitekur f ühr ung durch Graz (sponsored by Landesinnung Bau) über einen Bewerbungs-workshop (sponsored by Personos) bis hin zu einer Exkursionen zu den Brückenbaustellen der Tunnelkette Klaus

(sponsored by Asfinag), sodass auch die teilweise weniger erfolgreichen Klas-senkollegen der Gewinnerteams einen Grund zum Feiern hatten.

„Wir sehen in der Berufsmesse die Chance, unsere Studierenden bereits im Rahmen ihrer Ausbildung an die Praxis heranzuführen bzw. den Schülerinnen und Schülern das mögliche zukünftige Betätigungsfeld näher zu bringen“, so die Veranstalter Prof. Dr.-Ing. Detlef Heck, DDipl.-Ing. Bernhard Bauer und Dipl.-Ing. Jörg Koppelhuber.

Fotos und weitere Informationen zur Messe, sind unter www.bit-bau.at und https://www.facebook.com/media/set/?set=a.566777686801335.1073741831.145488238930284&type=1 zu finden.

ddipl.-Ing. Bernhard Bauer

Einblick in die Welt der Bauingenieure an der TU Graz – die BIT-BaU‘14

UNINaCHrICHTEN


ToP-THEMa

Helmut aschbacher, Gerhard Fliess, Gerald Wagner

Wie können kostengünstig und sicher Endsysteme für Industrie 4.0 Wartungslösungen angebunden werden?

datenintegrität, authentizität, Vertraulichkeit und Konnektivität: Heraus-fordernde aufgaenstellungen und kostengünstige lösungsansätze für die Industrie der Zukunft Wie aktuelle Forschungsprojekte, wie beispielsweise ASSIST 4.0, zeigen ist das Thema „Konnektivität mit technischen Systemen/Anlagen“ eine große Herausforderung der Industrie 4.0 (Industrie der Zukunft). Besonders im Umfeld der Aufgabenstellung „Wartung und Instandhaltung“. Die Konnektivität mit den Endsystemen ermöglicht neben klas-sischen vorbeugenden Wartungs- und Instandhaltungsmaßnahmen auch die Erschließung neuer innovativer Dienstlei-stungsgeschäftsmodelle, z.B.: Smart Services, proaktive Dienstleistungserbringung für die Industrie. Allerdings müssen dabei Datenintegrität, -authentizität und Vertraulichkeit garantiert werden. In diesem Artikel wird daher die Fragestel-lung an Hand eines Beispiels geklärt, wie dies zu ermöglichen ist. Dabei wird eine Lösung vorgestellt, die kostengünstig Maschinenteile fälschungssicher kennzeichnen kann und dabei auch die zu Grunde liegende Basistechnologie für eine sichere Kommunikation mit dem Endsystem nutzt.

Einleitung

XiTrust wurde 2002 gegründet und ist ein kompetenter und innovativer Part-ner im Bereich für die Entwicklung und Erweiterung von sicheren und effizient gelösten Geschäftsprozessen. Entspre-chend dem Missionstatement „Creating security … developing quality“ setzt XiTrust laufend innovative Projekte mit namhaften Projektpartnern im dynamischen Umfeld der Datensicher-heit um. Das XiTrust Leistungsangebot bietet Kunden ein breites Portfolio in

den Bereichen Datensicherheit, digitale Signatur, Langzeitarchivierung, medi-enbruchfreie Geschäftsprozesse und Healthcare. Das Kernstück der Pro-duktpalette stellt der modulare XiTrust Business Server (XBS) dar, der ein weites Spektrum an Funktionen (XiTrust) bie-tet und der für Kundenprojekte ständig weiterentwickelt wird.

Im Rahmen des vom FFG geför-derten Forschungsprojektes Assist 4.0 werden neue innovative Assistenzsy-steme von den Unternehmen KNAPP AG, AVL GmbH und Infineon Techno-

logies AG in Kooperation mit XiTrust entwickelt, die den Einsatz von Pro-duktions- und Servicemitarbeitern revolutionieren sollen. Ein zentrales Softwaresystem in Kombination mit modernen mobilen Endgeräten wie Ta-blets, Smartphones oder Datenbrillen unterstützen das Servicepersonal situa-tionsangepasst mit Informationen und visualisierten Daten, um Servicefälle besonders effektiv und effizient abzu-wickeln.

Einer der insgesamt sechs Anwen-dungsfälle, welche in diesem Projekt

Foto: XiTrust Secure Technologies GmbH


ToP-THEMa

konzipiert, umgesetzt und evaluiert werden, wird in Kooperation mit dem Industriepartner KNAPP AG entwi-ckelt. Als einer der Weltmarktführer auf dem Gebiet der Lagerautomation und Logistik mit mehr als 1600 In-stallationen gehören Wartung und Instandhaltung zu den Kerngeschäfts-feldern der KNAPP AG. Durch diese globale Positionierung am Markt steigt jedoch das Risiko, dass die eigenen Produkte und Ersatzteile zum Ziel von Produktfälschern werden.

Daraus resultiert der Bedarf, Maschi-nenteile fälschungssicher kennzeichnen und nachverfolgen zu können. Bisher eingesetzte analoge wie auch digitale Merkmale können mit geringem Auf-wand gefälscht werden. Veränderte di-gitale Dokumente bzw. nachgebaute di-gitale Legitimationskennzeichnungen sind immer möglich.

Das FuE Projekt basiert auf dem Ansatz, elektronische Mechanismen zu etablieren, mit Hilfe derer die Gül-tigkeit von Maschinenteilekennzeich-nungen (hinsichtlich Authentizität und Datenintegrität) verifiziert werden kann. Dazu werden elektronische Si-cherheitsmerkmale benötigt, mit de-nen man die Integrität der Maschinen-teiledaten überprüfen kann.

Hintergrund: Optische Sicherheits-merkmale und Public-Key-Krypto-graphie

Optische Sicherheitsmerkmale werden im analogen Bereich angewandt, da sie leicht an Bauteilen angebracht werden können. Die Merkmale können aus-schließlich von einer authentisierten Stelle erzeugt werden. So können bei-spielsweise die Sicherheitsmerkmale auf Banknoten nur von autorisierten Druckereien angebracht werden. Ein weiteres Beispiel für ein optisches Merkmal ist der QR-Code. QR-Codes sind vergleichbar mit Barcodes, bieten aber die Möglichkeit größere Daten-mengen zu codieren und stellen eine Schnittstelle zwischen der digitalen und der analogen Welt dar. Sie werden entweder eingraviert, an der Oberfläche in Form von Etiketten angebracht oder digital dargestellt. Um die codierten Daten auswerten zu können, wird die Darstellung mit Hilfe eines entspre-chenden Lesegerätes, wie beispielswei-se einem Smartphone, abgefilmt und interpretiert.

Um Daten hinsichtlich ihrer Integri-tät und Authentizität zu überprüfen, kann die Methodik der digitalen Si-gnatur eingesetzt werden. Die elektro-nische Signatur ist ein eigenständiges Datenpaket, das für die jeweiligen Bau-teildaten berechnet und mit diesen ver-knüpft wird. Mithilfe der angefügten Signatur können die Daten bezüglich ihrer Gültigkeit validiert werden. Da-für kommt das Verfahren der Public-Key-Kryptographie zum Einsatz, welches sich eines privaten und eines öffentlichen Schlüssels bedient. Dabei werden zwei wesentliche Prozesse un-terschieden:

Das Erstellen einer digitalen Signa- �tur mit dem privaten Schlüssel, der nur der ausstellenden Einheit be-kannt ist unddas Überprüfen der Signatur mit �dem öffentlichen Schlüssel.

Nur wer im Besitz des privaten Schlüs-sels ist, kann die Signatur erzeugen. Der öffentliche Schlüssel kann beliebig verteilt werden (z.B. über eine Public-Key-Infrastruktur) und wird benötigt, um die Signatur auf ihre Gültigkeit zu prüfen.

Die smarte Lösung zur Maschinen-teilekennzeichnung – s/QR Code

Im Zentrum der Maschinenteilkenn-zeichnung steht die Überprüfbarkeit und Nachvollziehbarkeit von Kunden-, Maschinenteil- und Ortsinformati-onen. Die Informationen werden ge-sammelt mit einer optionalen Referenz (ein ganzes Bild würde die Kapazität eines QR-Codes überschreiten) zu einer

Bauteilabbildung in ein digitales Doku-ment geschrieben und im XiTrust Busi-ness Server für dieses Dokument wird eine digitale Signatur errechnet und abgespeichert.

Signatur und Dokument werden jeweils verschlüsselt und ein QR-Code wird generiert. Durch die Verbindung der Signatur und der Codierung in ei-nen QR-Code (signed QR Code bzw. s/QR Code), ist es möglich eine fäl-schungssichere Maschinenteilekenn-zeichnung zu schaffen, welche nur von einer autorisierten Stelle erzeugt und einfach geprüft werden kann.

Prozessablauf

Der Ablauf zur fälschungssicheren Kennzeichnung von Maschinenteilen lässt sich in zwei Systemkomponenten gliedern:

Komponente 1 besteht aus einer Software und der dazugehörigen Ser-verinfrastruktur zur Generierung des s/QR-Codes unter der Verwendung des privaten Schlüssels. Die zur Speiche-rung vorgesehenen Informationen wer-den am Verifikationsserver hinterlegt.

Komponente 2 ist eine Prüf-Appli-kation auf einem mobilen Endgerät, welche den s/QR-Code interpretieren und sich gegenüber dem Verifikations-server authentisieren kann, um u.a. auf Maschinenteilebilder oder ergänzende Wartungsinformationen zuzugreifen.

Die Sicherheit der Kommunikation zwischen den Systemkomponenten wird durch die Anwendung standar-disierter Verschlüsselungsverfahren ga-rantiert.

Abbildung 1 Prozessablauf zur Erstellung des QR Codes


ToP-THEMa

Generierung des s/QR Codes

Abbildung 1 zeigt den Prozessablauf zur Ausstellung eines s/QR-Codes. Zu Beginn des Erstellungsvorgangs über-gibt ein Mitarbeiter Kunden-, Maschi-nen- und Ortsangabedaten und, sofern möglich, ein Maschinenteilebild an die firmeninterne Registrierungsstelle.

(Schritt 1.1). Die Daten werden zunächst auf Vollständigkeit und Korrektheit geprüft, woraufhin die Generierung des s/QR-Codes am Er-stellungsserver ausgelöst wird (Schritt 1.2). Dabei wird das Maschinenteile-bild am Verifikationsserver publiziert (Schritt 1.3). Nach Abschluss des Gene-rierungsprozesses erhält der zuständige Mitarbeiter eine automatisierte Rück-meldung des Systems (Schritt 1.4).

Der s/QR Code kann ab diesem Zeitpunkt zur Maschinenteilemarkie-rung verwendet werden.

Registrierung der Prüf-Applikation

Die Überprüfung des s/QR-Codes, wie sie beispielsweise im Rahmen von War-tungsarbeiten oder zur Nachbestellung von Maschinenteilen erforderlich ist, wird mittels einer Prüf-Applikation er-möglicht. Diese ist z.B. über die Unter-nehmenswebsite frei erhältlich. Um die Sicherheit der Daten zu gewährleisten ist eine Registrierung notwendig, um Zugriff auf die Systeme zu erhalten. Die Registrierung erfolgt nach Installa-tion der Applikation am Endgerät und erfordert die Übermittlung der Ruf-nummer an den Server.

Die Registrierung wird dem Erstel-lungsserver gemeldet, welcher mittels SMS einen PIN Code zur Freischaltung an das Endgerät übermittelt. Der PIN Code wird zur Authentifizierung ein-gegeben und das Gerät am Verifikati-onsserver registriert.

Prüfen des s/QR-Codes

Die Überprüfung des s/QR-Codes wird durch die Nutzung der Applikation auf dem mobilen Endgerät durchgeführt (Abbildung 1). Der s/QR-Code wird mithilfe der integrierten Kamera ein-gelesen (Schritt 2.1), am mobilen End-gerät angezeigt, und die Signatur mit dem öffentlichen Schlüssel am Endge-rät verifiziert (Schritt 2.2).

Falls erforderlich wird das Maschi-nenteilebild vom Verifikationsserver ge-

laden (Schritt 2.3). Zusätzlich besteht die Möglichkeit ein Ampelsystem einzusetzen, um die Gültigkeit des s/QR Codes visuell darzustellen.

Fazit

Im Zuge des FuE Projekts ASSIST 4.0 konnte XiTrust am Beispiel der sicheren Maschi-nenteilekennzeich-nung aufzeigen, dass durch die in-novative Verknüp-fung bestehender Basistechnologien die effiziente und ko s t en g ü n s t ige Umsetzung von Si-cherheitslösungen möglich ist. Das da-bei entwickelte Sy-stem besticht dank standardisier ter Systemschnittstel-len und Nutzung bewährter Krypto-graphie-Konzepte durch Robustheit, Verfügbarkeit und gleichzeitige Er-weiterbarkeit.

Autoren:

Gerald Wagner BScstudiert Softwareentwicklung-Wirt-schaft an der Technischen Universität Graz. Er schreibt aktuell seine Diplom-arbeit im Bereich Enterprise Mobility.Seit Beginn 2015 arbeitet er bei XiTrust als Entwickler für mobile Lösungen.

DI Gerhard Fließ studierte Telematik an der TU Graz. Er hat an der FH Campus02 und an der TU Graz gelehrt. Seit 2003 ist er für XiTrust Secure Technologies GmbH tätig. Er ist für die Entwicklung verant-wortlich, nimmt der Rolle des Scrum Masters ein und war maßgeblich an der Entwicklung der QR-Code Lösung beteiligt.

DI (FH) DI Dr.techn. Helmut Aschba-cher studierte IT & IT Marketing an der FH CAMPUS 02 sowie Telematik an der TU Graz. Er schrieb seine Dissertati-on an der TU Graz zum Thema IKT-basierte Dienstleistungen und Smart Services. Seit 2013 ist er bei XiTrust Secure Tech-nologies GmbH als Product Owner für Service Innovationsprojekte verant-wortlich und als FuE Projektleiter tätig. Er forscht und publiziert seit 2006 zum Thema Service Engineering, Service Design und Smart Services (proaktive IKT basierte Dienstleistungen).

dipl.-Ing. (FH)


Helmut aschbacher

XiTrust Secure Tech-nologies GmbH

dipl.-Ing.

Gerhard Fließ


Gerald Wagner BSc



WINGNET

Philipp Wörgötter

lookIN Infineon 2014, GrazAm Mittwoch, den 3. Dezember

2014, durften wir die Firma Infineon zu einem LookIN bei uns in der Tech-nischen Universität Graz willkommen heißen.

Wie bei den von uns veranstalteten Firmenpräsentationen üblich, wurde nicht nur ein Überblick über die Struk-turen eines namhaften international tä-tigen Unternehmens gegeben, sondern außerdem ein spannender Fachvortrag gehalten. In diesem Fall war das The-ma „Machen Sie die Zukunft sichtbar (Kleine Chips, große Wirkung)“.

Wieder einmal hatten sich zahlreiche Studenten in der Aula auf dem Campus der Alten Technik versammelt, um sich weder den Vortrag noch das anschlie-ßende Buffet inkl. anregender Diskus-sionen mit zwei Infineon-Mitarbeitern entgehen zu lassen. Frau Bergknapp begann den Abend mit einem sehr in-teressanten Einblick in die Unterneh-

menswelt von Infineon. Dabei zeigte sie besonders die Internationalität und Vielseitigkeit ihres Unternehmens auf. Weiteres gab sie einen Einblick über die Entwicklung über Infineon in der Ver-gangenheit. Infineon ist einer der welt-weit führenden Herstellern von Mikro-chips und Leistungshalbleitern.

Derzeit beschäftigt Infineon unge-fähr 30 000 Mitarbeiter aus rund 60 Nationen. Hauptaugenmerk der Infi-neon Österreich liegt besonders auf Forschung und Entwicklung. Weiteres informierte Frau Bergknapp, welche selbst Betriebswirtschaftslehre stu-dierte und die Personalleiterin von Infineon darstellt, über die vielfältigen Möglichkeiten, die sich für junge Tech-nikerInnen bei Infineon bieten, sei es im Rahmen eines Praktikums, einer Abschlussarbeit oder eines Direktein-stiegs.

Herr Band referierte im Anschluss über die Forschungs- bzw. Entwick-lungsmöglichkeiten am Standort Ös-terreich. Durch die sehr persönliche Atmosphäre konnten schon während des Vortrags detaillierte Fragen des interessierten Publikums beantwortet werden.

Nach den Präsentationen bot sich den Studierenden wie immer die Mög-lichkeit, bei einem lockeren und form-losen Zusammenkommen, individu-elle Fragen zu klären und in direkten Kontakt mit Führungspersönlichkeiten zu treten. Bestens gestärkt durch das reichhaltige Buffet, diskutierten Stu-denten und Referenten noch bis in die späten Abendstunden.

Rückblickend betrachtet war der Abend ein voller Erfolg für alle Beteili-gten und wir hoffen, die Vertreter von Infineon bald wieder bei uns begrüßen zu dürfen.

SCOOP & SPOON ist Österreichs führendes Marketing- und Kommunikationstechnologie-Unternehmen. Wir entwickeln begehrens werte Marken für unsere Kunden, ob mit Service Design, Branded Content, Mobile, Social Media, Digital Display, Usability, Smart Phone Apps, Tablet Apps, Websites etc. SCOOP & SPOON ist heute mit mehr als 50 Mitarbeitern an den Standorten Graz, London und Wien vertreten.

Für unser Büro in Graz suchen wir

Head of B2B-Group / Accountmanagement (m/w)Ihre Aufgaben • Marketing- und Kommunikationsberatung von internationalen B2B-Kunden • Entwicklung von Marketingkonzeptionen • Eigenverantwortliche Abwicklung von Kundenprojekten mit Schwerpunkt auf digitale Medien• Teamleitung

• Berufs- und Führungserfahrung im Kundenkontakt einer Kommunikationsagentur oder in einer Marketingabteilung / Marketingleitung

• Führungserfahrung /-verantwortung • Sehr gute Englischkenntnisse • Einsatzbereitschaft und schnelle Auffassungsgabe • Niveauvolle, kommunikative und zuverlässige Persönlichkeit • Hohes Maß an Verantwortungsbewusstsein, Genauigkeit, Zuverlässigkeit und Teamfähigkeit

Unsere Projekte sind vielseitig und spannend. Wir ermöglichen Ihre fachliche als auch persönliche Weiterentwicklung. Zusätzlich können wir Ihnen ein innovatives Umfeld in einem international ausgerichteten Team bieten.

Das Mindestgehalt beträgt 4.200 Euro brutto pro Monat auf Basis einer Vollzeitbeschäftigung. Je nach Ausbildung und Berufserfahrung ist eine Überbezahlung möglich.


ToP-THEMa

Christoph Wolfsgruber, Gerald lichtenegger

Management Information 4.0 Die breite Verfügbarkeit moderner Informationssysteme und die auch unter dem Schlagwort Industrie 4.0 zu findenden Konzepte zur transparenten betrieblichen Informationsbereitstellung bieten neue Möglichkeiten für das Management. Dennoch werden die Tätigkeiten des Sammelns, Analysierens und Aufbereitens von Informationen für das Manage-ment-Reporting in der produzierenden Industrie vielfach noch manuell ausgeführt. Der Trend zum Smartphone als Betriebshandy bietet hier einen interessanten Ansatzpunkt, das betriebliche Informationswesen zu revolutionieren. Im Rahmen der Kooperation des Instituts für Maschinenbau- und Betriebsinformatik (MBI) an der TU Graz mit der Audi Hungaria Motor Kft. wurde diese Entwicklung aufgegriffen. Für die Produktion im weltgrößten Motorenwerk in Györ wurde ein speziell auf die Möglichkeiten von mobilen Endgeräte abgestimmtes Management-Informationssystem konzipiert und ein Prototyp implementiert.

Mit der Hightech-Strategie 2020 initiierte die deutsche Bundesre-

gierung das Zukunftsprojekt Industrie 4.0, um die deutsche produzierende Industrie und den Maschinenbau ge-genüber der Konkurrenz aus Amerika und Asien zu stärken. Durch die Ver-schmelzung von physischer und di-gitaler Welt und die Vernetzung von Maschinen und Menschen, sollte die Leistungsfähigkeit des produzierenden Gewerbes auf eine neue Stufe gehoben werden. Ziel von Industrie 4.0 ist eine durchgängig transparente Produktion deren hoher Vernetzungsgrad entschei-dend dazu beitragen soll, optimale Entscheidungen in komplexen Produk-tionssystemen treffen zu können. Zen-trale Motivation hinter diesen Anstren-gungen sind die Steigerung sowohl der Ressourcenproduktivität als auch der Ressourceneffizienz (Kagermann, et al., 2013).

Mit dieser Vision eng in Verbindung steht der bereits historische Traum von einer papierlosen Produktion. Von zahl-reichen Unternehmen, bereits seit dem Aufkommen des Computer Integrated Manufacturing (CIM) Konzepts und durch die Implementierung von ERP-Systeme vor mehreren Jahrzehnten angestrebt, hat sich dieser Traum al-lerdings bisher nur selten durchgängig verwirklichen lassen. Vielmehr führte die ständig steigende Verfügbarkeit von Daten sowie die durchaus wün-schenswerte Professionalisierung von Mitarbeitern im Bereich des Einsatzes von Standardsoftwareprodukten (wie beispielsweise Tabellenkalkulations-programme) vor allem im operativen Bereich von Unternehmen zu einer Fülle an heterogenen Lösungen. Hinzu kommt das seit Jahren breite und immer noch steigende Angebot an mobilen Endgeräten, die in ihrer Fähigkeit zur

Darstellung von komplexen Informati-onsinhalten kaum hinter einer professi-onellen Office-Umgebung zurück blei-ben. Unter dem Schlagwort Enterprise Mobility lässt sich hier branchenüber-greifend ein Trend zum Einsatz mobi-ler „Informationsknoten“ beobachten. Eine Umfrage im Rahmen der Studie „Produktionsarbeit der Zukunft – In-dustrie 4.0“ des Fraunhofer-Instituts für Arbeitswirtschaft und Organisa-tion (IAO) in Stuttgart bestätigt, dass mobile Endgeräte und Smartphones weiter in die Produktion vordringen werden. Über 70 % der Befragten waren der Meinung, dass der Einsatz mobiler Endgeräte neue Möglichkeiten in der Nutzung aktueller Produktionsdaten eröffnet (Spath, 2013). Die Mitte des Jahres 2014 bekanntgegebene Partner-schaft zwischen Apple und IBM, in wel-cher die Big Data- und Analytik-Fähig-keiten von IBM mit der Erfahrung von

Foto: AUDI AG


ToP-THEMa

Apple im Endkundengeschäft vereint werden sollen, ist nur ein Beispiel, wie sich die Enterprise Mobility in Zukunft verändern wird (Apple Press, 2014).

Trotz dieser mannigfaltigen tech-nischen Möglichkeiten zeigt sich im betrieblichen Umfeld oftmals noch ein differenziertes Bild. Die vom FIR e.V. an der RWTH Aachen durchge-führte Studie „Produktion am Stand-ort Deutschland“ zeigte, dass aufgrund der momentan sehr großen Anzahl an manuellen Systembuchungen und der schriftlichen Dokumentation echtzeit-fähige Daten, in der für ihre jeweiligen Anwendungen benötigten Qualität, die Ausnahme darstellen. Bei kleinen und mittleren Unternehmen überwiegt mit 57% die schriftliche Dokumentation als Rückmeldeinstrument der Bewe-gungs-, Bestands- und Positionsdaten vom Shop Floor. Bei Großunterneh-men setzen immer noch 39% auf diese Art der Informationsgewinnung, wäh-rend schon vielerorts Systeme zur Be-triebsdatenerfassung (BDE) im Einsatz sind. (Schuh & Stich, 2013).

Auch bei Audi Hungaria Motor Kft., welche nahezu die gesamte Motoren-palette des Audi Konzerns fertigt und auch Motoren an Volkswagen, Seat und Skoda liefert, sind bereits derartige Sy-steme im Einsatz. Es hat sich allerdings gezeigt, dass der Informationsfluss von den Mitarbeitern und Maschinen am Shop Floor hin zu den Entschei-dungsträgern über mehrere manuelle Bearbeitungsschritte von System- und Informationsbrüchen geprägt ist. Im Detail heißt das, dass als Quellsysteme für das Management Reporting sowohl manuell geführte Schichtbücher als auch operative Key Performance Indi-katoren (KPI) mittels BDE-Systemen, Qualitätssystemen (CAQ ) und ERP-Sy-stemen erfasst werden. Darüber hinaus werden Daten- bzw. Informationslü-cken beispielsweise in der Bestands-verfolgung an neuralgischen Punkten auch durch manuelle Erfassung (Zäh-len) geschlossen. Diese Informationen werden anschließend in mehreren Stu-fen verdichtet und in Wochenberichten für die einzelnen Managementebenen zusammengefasst. In dieser ebenfalls manuell durchgeführten Aggregation werden die für die einzelnen Zielgrup-pen relevanten KPIs aus den Tagesbe-richten der IT-Systeme in eine Tabel-lenkalkulationssoftware übertragen.

Zudem werden bei Kennzahlabwei-chungen zusätzliche Informationen aus dem Schichtbuch (z.B. Ursachen und Maßnahmen) ebenfalls manuell in den Wochenbericht übertragen. Diese Informationen werden anschließend sowohl bei den einzelnen Produktions-linien analog auf Informationstafeln (Shop Floor Management) als auch in konsolidierten Wochenberichten für die einzelnen Managementebenen be-reitgestellt.

Ziel des vorliegenden Projekts war es nun, ein durchgängiges System für sämtliche operative Informationen wie KPIs, Problembeschreibungen, Schwerpunkte und Maßnahmen zu schaffen. Am Shop Floor sollten spe-ziell eingerichtete Informationsstände dazu dienen, sowohl Probleme, welche zuvor im Schichtbuch geführt wurden, digital zu erfassen, als auch relevante Informationen der Produktionslinien wie Kennzahlen und laufende Maß-nahmen darzustellen. Für die einzel-nen Managementebenen sollten die relevanten Informationen automatisch durch ein Eskalationsregelwerk sowohl in der Office-Umgebung als auch auf mobilen Endgeräten verfügbar sein (siehe Abbildung 1). Zudem sollten aus der gleichen Datenquelle Wochenbe-richte in druckbarer Form erstellt wer-den können.

Im Zuge der Konzeption und Um-setzung eines Prototyp-Systems wurde gemeinsam mit dem Projektpartner ein Datawarehouse zur zentralen Da-tenspeicherung eingesetzt, welches mit den operativen Quellsystemen gekop-pelt ist. Eine Hauptfunktion des Sy-stems ist die grafische Darstellung der unterschiedlichen Informationen. Auf-

grund der Limitierung in der Display-größe von mobilen Endgeräten musste im Besonderen darauf geachtet wer-den, ein möglichst effizientes Konzept zur Informationsvisualisierung umzu-setzen. Dabei wurde unter Nutzung der SUCCESS Regeln (Hichert, 2014) eine Darstellung entwickelt, welche in Balkendiagrammen die Zielerreichung der jeweiligen Kennzahlen anzeigt. Ab-bildung 2 zeigt diese Kennzahlsicht mit der visuellen Darstellung der Zielerrei-chung des Prototyp-Systems am iPho-ne. Dabei wird ein an die Produkti-onsstruktur angepasstes hierarchisches Bedienungskonzept verwendet, durch welches für die einzelnen Ebenen die jeweiliges relevanten aggregierten Kennzahlen darstellet werden. Zudem ist durch Umschalten zwischen einer Tages/Wochen- auf eine Wochen/Jah-res Sicht eine Aggregation über die Zeit möglich. Darüber hinaus werden auch zielgruppenspezifisch relevante Schwer-punkte darstellt. Hierfür werden die, in einem täglich am Shop Floor stattfin-denden Abstimmungsprozess, anfal-lenden Probleme und Maßnahmen mit den Kennzahlabweichungen verknüpft. Durch parametrisierbare Eskalationsre-gelsätze können die zu verknüpfenden Informationen zielgruppengerecht (je nach Managementebene) optimiert auf mobilen Endgeräten dargestellt wer-den.

Somit wird ein transparenter, auto-matisierter Informationsfluss ermög-licht. Als Ausblick besteht die Vision, das System soweit autonom zu gestal-ten, dass Probleme bereits direkt aus den Qualitäts- und Betriebsdatener-fassungssystemen abgeleitet werden können. Zudem können ebenso Logi-stikdaten in das System aufgenommen

Abbildung 1: Systemarchitektur des Management Informationssystems


ToP-THEMa

werden und über modellgetriebene Prognosen, ausgehend vom Istzustand der Fertigung, Frühwarn- und entschei-dungsunterstützende Funktionalitäten eingebaut werden.

Bei all diesen Ansätzen und Mög-lichkeiten in der Smarten Fabrik, muss allerdings in großem Maße auf den erfolgskritischen Faktor Sicherheit geachtet werden. Neben der Betriebs-sicherheit steht hier die Daten- und Informationssicherheit, und somit vor allem der Schutz vor unerlaubtem Da-tenzugriff (IT-Security, Cyber-Security), im Fokus. Auch in dem Industriepro-jekt war es eine große Herausforde-rung, in der Umsetzung den sicheren Datentransfer zu externen Endgeräten sicherzustellen. Hier konnte auf be-reits bestehende und ausreichend gesi-cherte innerbetriebliche Schnittstellen und Kanäle zurückgegriffen werden. Ein Mal pro Tag und bei Bedarf auch auf Abruf werden vom Management Information-Server verschlüsselte Da-tenfiles an die Endgeräte der berech-tigten Systemnutzer gesendet. Über die beispielsweise auf einem Smartphone installierte MIS-App, kann der Da-tenanhang, welcher sämtliche für die Darstellung benötigten Informationen beinhaltet, entschlüsselt und geöffnet werden. Diese Daten werden anschlie-ßend von der App in einem gesicher-ten Speicherbereich des Smartphones abgelegt. Somit ist zur Darstellung der Informationsinhalte keine ständige Verbindung zum Server notwendig. Des Weiteren ist mit dieser Art der Da-ten- und Informationsbereitstellung si-chergestellt, dass kein Zugriff auf den Server des Management Informations-systems von außerhalb der gesicherten Systemumgebung erfolgen kann.

Cyber-Physische Systeme: soziotech-nische & IT-Security Aspekte

Die Visionen von Industrie 4.0 gehen jedoch weit über die in dem Projekt gezeigte automatisierte Echtzeit-Infor-mationsbereitstellung hinaus. Über sogenannte Cyber-Physische Systeme (CPS) sollten auch sämtliche Planungs- und Steuerungstätigkeiten von echt-zeitfähigen, kontinuierlich lernenden Optimierungsagenten übernommen werden. CPS sind dabei horizontal und vertikal vernetzte, eingebettete Systeme (embedded systems), die mittels Sen-

soren Daten aus ihrer Umgebung erfas-sen und durch Aktoren auf Vorgänge einwirken. Getrieben wird der Einsatz dieser verteilten, mit ihrer Umgebung gekoppelten Regelsysteme von den drei grundlegenden Entwicklungen. Zunächst führt der immer weiter fort-schreitende Einsatz von Sensorik wie z.B. RFID (vgl. Internet of Things, Em-bedded Everywhere) zu einer Fülle von zur Verfügung stehenden Daten in ho-her Qualität. Des Weiteren besteht die Bestrebung IT Systeme immer mehr zu integrieren und vernetzten, da die isolierte Betrachtung von Subsystemen meist auf Kosten des Gesamtoptimums geht (vgl. Smart Grid Ansätze). Die da-bei erzeugte, immer weiter steigende, Masse an Daten steht allerdings in kei-nem Verhältnis mit der menschlichen Fähigkeit, diese Informationen auch schnell genug zu verarbeiten. Daraus resultiert die Forderung nach mehr Autonomie der Regelsysteme oder in anderen Worten „Human out of the Loop!“ (Lee, 2010).

So manche kritische Stimmen he-ben allerdings hervor, dass gerade di-ese technikzentrierte Perspektive von Industrie 4.0 weitgehend jegliche so-ziotechnische Aspekte ignoriert und dieses Defizit zu einem Debakel, wie auch schon bei CIM, führen wird (Brö-der, 2014). Nicht zuletzt zeigen so man-che verhängnisvolle Entscheidungen von bereits im Einsatz stehender hoch autonom agierender Systeme, dass durch wechselseitige Abhängigkeiten zwischen Algorithmen, Datenbanken und Sensoren sich die Fehlermöglich-keiten dramatisch vermehren. Selbst kleine Fehler können durch im System herbeigeführte, dynamische Effekte größere Zwischenfälle verursachen (si-ehe Artikel IT Security und Safety 4.0 Herausforderungen und Bedrohungen im dämmernden Zeitalter von Cyber-Physischen Systemen von Systemen). Somit kann das Vereisen eines Ge-schwindigkeitssensors zum Absturz eines Flugzeugs führen (Air France Flugs AF447), oder der Tippfehler eines Aktienhändlers zum Einbruch eines Aktienkurses (2010 Flash Crash).

Oft wird in diesem Zusammenhang sogar von einer Ironie der Automati-sierung gesprochen, da je fortgeschrit-tener ein Regelsystem, desto wichtiger auch der menschliche Beitrag zur Überwachung, Einstellung, Wartung

und Verbesserungen. Die Annahme durch intelligente Steuerungssysteme die als „unzuverlässig und ineffizient“ angesehenen menschlichen Bedie-ner zu ersetzten, ist allerdings oft ein Trugschluss, da Menschen gerade bei monotonen Überwachungstätigkeiten besonders schlecht sind. Zudem kann die totale Abgabe der Handlungskom-petenz in die Hände von CPS sogar negative Auswirkungen auf kognitive Fähigkeiten, wie das Aneignen von Wissen, haben (Carr, 2013).

Auch die IT-Security von CPS in der Industrie 4.0 ist in jeder Form eine es-sentielle Herausforderung. Selbst ein-fache Manipulationen in den Daten können enorme Folgen haben und sogar Unfälle auslösen. Die Grenzen zwischen den vormals getrennten In-formations- und Kommunikationstech-nik-Bereichen (IKT) der Produktions-IT und der Business-IT werden durch die CPS von Industrie 4.0 verschwinden. Daraus ergeben sich neue Verwund-barkeiten und den Angreifern eröffnen sich neue Möglichkeiten, in Systeme einzudringen und Schäden auch in der physischen Welt zu verursachen.

Abbildung 2: Darstellungs-Kon-zept am iPhone


ToP-THEMa

ass.Prof. dipl.-Ing.

dr.techn. Gerald

lichtenegger

assistant Professor am Institut für Maschinen-bau- und Betriebsinfor-matik an der TU Graz

Betrachtet man heutige Produk-tionsanlagen, die normalerweise bis zu 25 Jahre in Betrieb sind, stellt man fest, dass man in diesem Bereich auf sehr altbewährte Informations- und Steuerungstechnik setzt. Durch Indus-trie 4.0 stehen diese altgedienten in-dustriellen Steuerungssysteme vor der Herausforderung, mit neuen Schnitt-stellen versehen zu werden und damit einer Vielzahl von Bedrohungen aus dem Internet gegenüberzustehen. Alt-bewährte Schutzmechanismen, wie die Industrieanlagen im Inselbetrieb zu be-treiben, sind aufgrund der Vernetzung nicht mehr sinnvoll umsetzbar.

Zudem ist die klassische Sicherheits-technologie, wie man sie in heutiger Business-IT findet, wie Viren-Scanner, Firewalls, VPNs oder SSL/TLS-ver-schlüsselte Kommunikation zwischen Browsern und Servern in der Unter-nehmens-IT, nicht für die ressour-censchonende, einfache Absicherung beschränkter, vernetzter Komponen-ten im Automatisierungs- und Pro-duktionsumfeld geeignet (Fallenbeck & Eckert, 2014). Viele Komponenten dieser Systeme sind beschränkt hin-sichtlich ihrer Speicherkapazität oder auch ihrer Rechenfähigkeit und ihres Energieverbrauchs. Sie müssen rund um die Uhr ihre Aufgaben erfüllen, oft unter Einhaltung strikter zeitlicher Vorgaben. Es ist daher nicht möglich, im Regelbetrieb Sicherheits-Patches, wie aus der Business-IT wohlbekannt, aufzuspielen. Komponenten können nicht einfach neu gestartet oder neu konfiguriert werden.

Daher besteht hoher Forschungsbe-darf auf dem Gebiet der IT-Sicherheit im Produktionsbereich, denn trotz des hohen wirtschaftlichen Potenzials der Industrie 4.0 darf Innovation nie-mals auf Kosten der Sicherheit erfolgen (Liggesmayer & Trapp, 2014). Zudem müssen Lösungen gefunden werden, welche auch soziotechnische Aspekte in der Automatisierung berücksich-tigen. Dabei steht vor allem die Zu-kunftsperspektive „Smart Machines“ (Artificial Intelligence) im Spannungs-feld. Benötigen wir nicht anstelle der autonom agierenden Softwareagenten,

„Machines that make us smart“ (Intelligence Am-plification) (Brö-der, 2014)?

Literatur:

Apple Press, 2014. http://www.a p p l e . c o m / p r library/2014/07/15 Apple -and-IBM-F o r g e - G l o b a l -Partnership-to-Transform-Enterprise-Mobility.html [28.11.2014].Bröder, P., 2014. Industrie 4.0 und Big Data: Kritische Reflexion Forschungs-politischer Visionen. Universität Sie-gen.Carr, N., 2013. All Can Be Lost: The Risk of Putting Our Knowledge in the Hands of Machines. The Atlantic.Fallenbeck, N. & Eckert, C., 2014. IT-Sicherheit und Cloud Computing. In: Industrie 4.0 in Produktion, Automa-tisierung und Logistik. Wiesbaden: Springer, pp. 397-431.Hichert, R., 2014. Success Regeln. http://www.hichert.com/de/success.html [1.12.2014].Kagermann, H., Wahlster, W. & Helbig, J., 2013. Umsetzungsempfeh-lungen für das Zukunftsprojekt In-dustrie 4.0. München: Acatech.Lee, I., 2010. Cyber Physical Systems: The Next Computing Revolution. University of Pennsylvania.Liggesmayer, P. & Trapp, M., 2014. Safety: Herausforderungen und Lö-sungsansätze. In: Industrie 4.0 in Produktion, Automatisierung und Logistik. Wiesbaden: Springer, pp. 433-450.Schuh, G. & Stich, V., 2013. Produkti-on am Standort Deutschland. FIR e.V. an der RWTH Aachen.Spath, D., 2013. Produktionsarbeit der Zukunft - In-dustrie 4.0. Stutt-gart: Fraunhofer Verlag.

Autoren:

Christoph Wolfsgruber ist Universi-tätsassistent am Institut für Maschinen-bau- und Betriebsinformatik an der TU Graz und beschäftigt sich im Rahmen seines Dissertationsvorhabens mit den neuen Möglichkeiten durch Industrie 4.0. Neben den Informationssystemen liegt dabei der Forschungsfokus vor allem auf intelligenten, onlinefähigen Produktionsplanungs- und Steuerungs-konzepten.

Gerald Lichtenegger ist Assistant Pro-fessor am Institut für Maschinenbau- und Betriebsinformatik an der TU Graz. Als gelernter Produktionstech-niker beschäftigt er sich in Lehre und Forschung mit den Themen Produk-tionsplanung, Produktionssteuerung und dem Einsatz neuer IT-Konzepte im betrieblichen Umfeld. Darüber hinaus forscht Gerald Lichtenegger in den Be-reichen Systemarchitektur und Systems Engineering mit dem Schwerpunkt Gestaltung sozio-technischer Systeme.

dipl.-Ing.

Christoph

Wolfsgruber

Universitätsassistent am Institut für Maschi-nenbau- und Betriebs-informatik an der TU Graz


PaPEr


PaPEr


PaPEr


PaPEr


PaPEr


PaPEr


FaCHarTIKEl

Martin Wifling, Wolfgang Unzeitig, Michael Schmeja, alexander Stocker

Smart Factories durch Smart Workers

der Mensch im Mittelpunkt von Industrie 4.0

Mit dem Begriff Industrie 4.0 wer-den unterschiedlichste Trends

rund um die Weiterentwicklung und Vernetzung von Produktionsstätten zu-sammengefasst. Vieles wird durch Pla-yer aus der IKT-Industrie forciert, und Industrie 4.0 bezieht sich damit oft nur auf die „Informatisierung“ klassischer Fabriken. Dennoch sind eine Reihe von Experten der Ansicht, dass der Mensch in Zukunft als Produktions-Wissensar-beiter eine wesentliche Rolle in Smart Factories darstellen wird.

Vor diesem Hintergrund wurde das vom VIRTUAL VEHICLE koordinierte und von der Europäischen Kommission im Horizon 2020 Programm „Factory of the Future“ geförderte Projekt „Wor-ker-Centric Workplaces in Smart Fac-tories - FACTS4WORKERS“1 gestartet. FACTS4WORKERS soll aufzeigen, wie neuartige IKT dazu beitragen kann, die individuellen Problemlösungs- und In-novationskompetenzen der einzelnen

1 FACTS4WORKERS received funding from the European Union’s Horizon 2020 research and innovation pro-gramme under Grant Agreement nr. 636778, http://facts4workers.eu/

Mitarbeiter in Produktionsstätten zu stärken, die Zufriedenheit und Mo-tivation am Arbeitsplatz zu erhöhen und schlussendlich die Produktivität um 10 % zu steigern. In den nächsten Abschnitten werden im Projekt zu er-forschende Anwendungsfälle für den Einsatz innovativer Technologien am Shop-Floor vorgestellt.

Der assistierte Maschinenbediener

In der heutigen Informationsflut nimmt der Bedarf an kontext-rele-vanter, augmentierter und personali-sierter Information zu. Aufgrund der steigenden Individualisierung von Pro-dukten und den einhergehend kleiner werdenden Losgrößen müssen sich Produktionsmitarbeiter noch dazu mit einer wachsenden Anzahl hoch spezi-eller und rasch wechselnder Informa-tionen aus unterschiedlichen Quellen auseinandersetzen, während häufig beide Hände für den aktuellen Arbeits-schritt benötigt werden. Dies schafft ein enormes Potential für innovative Ein- und Ausgabegeräte wie bspw. Da-tenbrillen, die Informationen im Sicht-

feld des Maschinenbedieners bzw. Ser-vicetechnikers einblenden können.

In der industriellen Praxis nutzen Produktionsmitarbeiter heute selbst im digitalen Zeitalter noch vielfach Checklisten, Arbeitsbeschreibungen, Anleitungen und Aufträge in Papier-form, welche aus digitalen MES- und ERP-Systemen ausgedruckt werden. Die Ursachen sind Medienbrüche, In-kompatibilität von Formaten und feh-lende Interoperabilität von Maschinen und IT-Systemen, sodass die „papier-lose Fabrik“ bzw. die „Digitale Fabrik“ noch immer keine Realität ist.

Mensch-zentriertes Produktions-Wis-sensmanagement

Wissensmanagement will handlungs- und entscheidungsrelevante Informati-onen zum richtigen Zeitpunkt über das richtige Medium bereitstellen und eine Kultur etablieren, in der Wissensteilung gelebt wird. Wissensteilung hat in Pro-duktionsumgebungen vielleicht densel-ben Stellenwert wie in der mit Wissens-arbeit klassisch assoziierten Bürowelt, in welcher die Unterstützung durch

Fotos: Shutterstock


FaCHarTIKEl

neue Konzepte und Technologien wie etwa Web 2.02 seit längerer Zeit bereits intensiv erforscht wird. Doch die Er-kenntnisgewinnung zur Unterstützung von Produktions-Wissensarbeit wurde in den letzten Jahren vernachlässigt, obwohl Shop-Floors gänzlich andere Ansprüche an Wissensmanagement-Systeme hegen als Büroumgebungen.

Beispielsweise müssen Wissensma-nagement-Tools für den Shop-Floor noch einfachere und intuitivere Inter-aktionsmechanismen aufweisen und dabei etwa Sprach-, Touch- oder Ge-stensteuerungen statt komplexer Tex-teingabe nutzen, um Wissensteilung bestmöglich zu unterstützen. Auch lässt sich Erfahrungswissen in der Pro-duktion einfacher durch Nutzung mul-timedialen Contents teilen, als mittels Text.

Beispielsweise könnte ein erfahrener Produktionsmitarbeiter mit Hilfe einer Datenbrille bei einer von ihm durch-geführten Aufgabe an der Maschine Videos aufzeichnen, welche dann im Wissensmanagement-System unter Verwendung einer automatisierten An-notation bspw. über einen an der Ma-schine angebrachten 2D-Code abgelegt werden. Ein unerfahrener Mitarbeiter könnte dieses kodifizierte Erfahrungs-wissen direkt an der Maschine über den 2D-Code abrufen, um eine visuell überzeugendere Hilfestellung für seine Tätigkeiten zu erhalten.

Selbstlernende Arbeitsplätze

Selbstlernende Arbeitsplätze wären in der Lage, Produktionsmitarbeiter durch intelligente Datenverknüpfung optimal in flexiblen Produktionspro-zessen zu unterstützen. Um diese zu realisieren, können Parallelen zu Big Data gezogen werden. Schon heute entstehen in der Produktion weit mehr Daten als jemals zuvor. Damit können Datenwissenschaftler produktionsre-levante Fragestellungen an die Daten stellen, um interessante Korrelationen, beispielsweise für vorrausschauende

2 Stocker, A.; Tochtermann, K.: Wis-senstransfer mit Wikis und Weblogs. Fallstudien zum erfolgreichen Einsatz von Web 2.0 in Unternehmen, Gabler-Verlag, 2012.

Wartung und Ersatzteilbestellung, oder für das Rüsten von Maschinen in flexiblen Produktionsumfeldern zu identifizieren. Maschinen und Werk-zeuge werden im Zeitalter von Big Data bzw. Internet der Dinge als intelligente Dinge gesehen, deren verknüpfte Da-ten vor dem Hintergrund eines großen Ganzen, nämlich der effektiven und ef-fizienten Produktion für kleine Losgrö-ßen interpretiert werden müssen.

Selbstlernende Arbeitsplätze nutzen identifizierte Korrelationen aus der Produktionshistorie und unterstützen Produktionsarbeiter dabei, die Qualität von Bauteilen sicherzustellen, indem sie automatisiert Faktoren identifizieren, welche sich in der Vergangenheit ne-gativ auf die Qualität eines Werkstücks ausgewirkt haben. Die Erkenntnis aus einer Analyse von „Industrial Big Data“ kann beispielsweise sein, dass eine zeit-weise geöffnete Tür (Türsensor-Daten) und die damit verbundene Herabsen-kung- oder Hebung der Raumtempe-ratur (Temperatursensor-Daten) einen Fertigungsprozess negativ beeinflusst hat (Daten aus der Qualitätsmessung). Ein selbstlernender Arbeitsplatz hätte den negativen Effekt einer geöffneten Tür auf die Produktqualität ermittelt und den Produktions-Wissensarbeiter aktiv darauf hingewiesen.

In situ Lernen in der Produktion

Während im vorigen Anwendungsfall der Arbeitsplatz durch eine geschickte Analyse der an allen Produktionsstel-len gesammelten und vernetzten Da-ten lernt, steht hier der Produktions-Wissensarbeiter als Lernender im Mittelpunkt. Augmented Reality basier-te Lösungen können zu umfassenden Lernsystemen ausgebaut werden, um Lernen zur richtigen Zeit, am richtigen Ort und für den richtigen Zweck zu er-möglichen. Dabei unterstützen mobile, personalisierte und situationsadaptive Lernsysteme lebenslanges Lernen im Unternehmen, sowie die generations-übergreifende Weitergabe von Know-how, insbesondere im Kontext des de-mographischen Wandels.

Es gilt den Menschen in der Produk-tion durch kontextbasiertes Lernen, IKT-unterstützte FabLab-Konzepte,

oder Simulation in Virtual Reality Um-gebungen auf das geforderte Wissens-niveau zu heben. Mit diesem Wissen ist der Produktions-Wissensarbeiter als Produktionsdrehscheibe bestmöglich gewappnet, um die richtigen Hebel für eine flexible Produktion zu stellen, da er notwendige Produktionsschritte ad-hoc erlernen kann.

Industrie 4.0: Flexible Prozesse durch flexible Menschen

Im Kontext von Industrie 4.0 und der effektiven und effizienten Produktion kleiner Losgrößen spielt die Flexibi-lisierung von Produktionsprozessen über Wertschöpfungsnetzwerke eine wichtige Rolle. Jede Flexibilisierung von Prozessen ist aber eine Abwei-chung vom Standard. Sie ist nur durch einen hohen Aufwand in der Entwick-lung von Informationssystemen zu er-reichen, welche diese Flexibilisierung unterstützen. Nimmt man jedoch den Produktions-Wissensarbeiter als DAS flexibelste Element in der Produktion wahr und unterstützt ihn und seine Anforderungen bestmöglich durch mensch-zentrierte IKT-Lösungen bei möglichst großem Entscheidungsspiel-raum, kann Industrie 4.0 rascher zur Realität werden. Schon Datenbrillen und Wearables liefern geeignete Ein- und Ausgabemöglichkeiten für viele Anwendungsfälle und werden im Pro-duktionsumfeld in Zukunft noch viel stärker anzutreffen sein und dort als in-telligente, adaptive Fähigkeitsverstärker für Produktionsmitarbeiter dienen.

Autoren:

Martin Wifling ist Projektcoach und Projektleiter von FACTS4WORKERS am Virtual Vehicle Research Center

Dr. Wolfgang Unzeitig ist Senior Re-searcher am Virtual Vehicle Research Center

Dr. Michael Schmeja leitet den Bereich Information und Process Management am Virtual Vehicle Research Center

Dr. Alexander Stocker ist Key Researcher am Virtual Vehicle Research Center


WINGNET

WINGbusiness Impressum

Medieninhaber (Verleger)

Österreichischer Verband der WirtschaftsingenieureKopernikusgasse 24, 8010 Graz ZVR-Zahl: 026865239

EditorUniv.-Prof. Dipl.-Ing. Dr. Siegfried Vössner E-Mail: [email protected]

redaktion/layoutChefin vom Dienst & Marketingleiterin:Mag. Beatrice FreundTel. +43 (0)316 873-7795, E-Mail: [email protected]

redakteureDipl.-Ing. Julia Soos E-Mail: [email protected]. Alexander Pointner E-Mail: [email protected]. Christiana Müller E-Mail: [email protected]. Christoph Wolfsgruber E-Mail: [email protected]. Alfred Kinz E-Mail: [email protected]. Jörg Koppelhuber E-Mail: [email protected]

Anzeigenleitung/AnzeigenkontaktMag. Beatrice FreundTel. +43 (0)316 873-7795,E-Mail: [email protected]

druckUniversitätsdruckerei Klampfer GmbH,8181 St. Ruprecht/Raab, Barbara-Klampfer-Straße 347Auflage: 2.500 Stk.Titelbild: Montanuni Leoben

WING-SekretariatKopernikusgasse 24, 8010 Graz,Tel. (0316) 873-7795, E-Mail: [email protected]: www.wing-online.at

Erscheinungsweise4 mal jährlich, jeweils März, Juni, Oktober sowie De-zember. Nachdruck oder Textauszug nach Rück sprache mit dem Editor des „WINGbusiness“. Erscheint in wis-senschaftlicher Zusammen arbeit mit den einschlägigen Instituten an den Universitäten und Fachhochschulen Österreichs. Der Wirtschaftsingenieur (Dipl.-Wirtschafts-ingenieur): Wirtschaftsingenieure sind wirtschaftswis-senschaftlich ausgebildete Ingenieure mit akademischem Studienabschluss, die in ihrer beruflichen Tätigkeit ihre technische und ökonomische Kompetenz ganzheitlich verknüpfen. WING - Österreichischer Verband der Wirt-schaftsingenieure ist die Netzwerkplattform der Wirt-schaftsingenieure. ISSN 0256-7830

WING to your success…wir sind für Sie garantiert von Nutzen …

Gerade in Zeiten wie diesen stellen ein reizvoller Workshop, das Verteilen von lukrativen Flyern oder eine interessante Fir-menpräsentation effiziente und kostengünstige Möglichkeiten zur Werbung für Unternehmen in Fachkreisen dar.Hervorzu-heben ist der Zugang zur Technischen Universität als Inno-vations- und Forschungsstandort der besonderen Art, denn im Zuge von Bachelor- und/oder Masterarbeiten können Sie Studenten in Ideen für Ihre Firma miteinbeziehen und mit ih-nen innovative Lösungen ausarbeiten. Nicht zuletzt wird auf diesem Weg auch für die Zukunft vorgesorgt. Denn schließlich sind es die heutigen Studenten der Tech-nischen Universität, die morgen als Ihre Kunden, Händler oder Lieferanten fungieren. Mit WINGnet-Werbemöglich-keiten kann man diese nun schon vor dem Eintritt in das Berufsleben von sich und seiner Firma überzeugen und so-mit eine gute Basis für eine langfristige und erfolgreiche Zusammenarbeit schaffen. WINGnet Wien veranstaltet mit Ihrer Unterstützung Firmenpräsentationen, Workshops, Ex-kursionen sowie individuelle Events passend zu Ihrem Unter-nehmen. WINGnet Wien bieten den Studierenden die Mög-lichkeit- zur Orientierung, zum Kennenlernen interessanter Unternehmen und Arbeitsplätze sowie zur Verbesserung und Erweiterungdes universitären Ausbildungsweges. Organisiert für Studenten von Studenten.Darüber hinaus bietet WINGnet Wien als aktives Mitglied von ESTIEM (European Students

of Industrial Engineering and Management) internationale Veranstaltungen und Netzwerke. In 24 verschiedenen Län-dern arbeiten 66 Hochschulgruppen bei verschiedenen Ak-tivitäten zusammen und treten so sowohl untereinander als auch zu Unternehmen in intensiven Kontakt. Um unser Ziel - die Förderung von Studenten - zu erreichen, benötigen wir Semester für Semester engagierte Unternehmen, die uns auf verschiedene Arten unterstützen und denen wir im Gegenzug eine Möglichkeit der Firmenpräsenz bieten. Die Events kön-nen sowohl in den Räumlichkeiten der TU Wien als auch an dem von Ihnen gewünschten Veranstaltungsort stattfinden. Weiters können Sie die Zielgruppe individuell bestimmen. Sowohl alle Studienrichtungen als auch z.B. eine Festlegung auf Wirtschaftswissenschaftlichen Studiengängen ist mög-lich. Außerdem besteht die Möglichkeit eine Vorauswahl der Teilnehmer, mittels Ihnen vorab zugesandten Lebensläufen, zu treffen. Auf unserer Webseite http://www.wing-online.at/de/wingnet-wien/ finden Sie eine Auswahl an vorangegangenen Events so-wie detaillierte Informationen zu unserem LeistungsumfangWINGnet Wien:Theresianumgasse 27, 1040 Wien, [email protected] ZVR: 564193810

Martin Wallner, Gudrun Wetzelberger

aufbruchsstimmung – der IMC rüstet sich für die Zukunft Mit über 500 Mitgliedern ist der Industrial Management Club Kapfenberg stärker denn je. Und seit Anfang 2015 ist beim IMC auch vieles neu: Der Vorstand hat sich neu aufgestellt und es gibt jetzt einen Geschäftsführer. Auch der Main Event soll 2015 wieder ein starkes Stück werden.

„Dein Absolventenverein“ ab 2015

Um den Club für die hohe Anzahl an Mitgliedern tragfähig zu machen, wurde mit 1. Jänner 2015 ein Geschäfts-führer eingestellt: Martin Wallner. Als zweimaliger Absolvent des Instituts für Industrial Management ist er die opti-male Besetzung und Schnittstelle zwi-schen den Interessen der Studierenden, des Instituts und natürlich des IMCs.

Auch im Vorstand haben sich eini-ge Neuerungen ergeben: Florian Knall hat sich nach langjähriger Mitarbeit schweren Herzens von seiner Funktion als Generalsekretär verabschiedet. Wir möchten uns im Namen des gesamten Vorstands für die außerordentlich gute Zusammenarbeit und die Bereiche-rung des Teams bedanken. Seinen Po-sten übernimmt in Zukunft Andreas Maggele, der durch seinen Wechsel die Position des Marketingvorstands für Gudrun Wetzelberger freimachte. Sie ist ebenfalls zweimalige Absolventin des Instituts und kennt die Informati-onsbedürfnisse der Mitglieder. Finanz-

vorstand bleibt Georg Schranz. Auch die Vereinsspitze bleibt unverändert stark: Präsident Markus Dirschlmayr und Vize-Präsident Uwe Brunner wol-len den IMC weiterhin als eine tolle Möglichkeit für Netzwerk und Karrie-re kommunizieren. Ein zentrales Anlie-gen ist auch die gute Partnerschaft mit dem WING auszubauen.

Blockbuster IMC

Der IMC bemüht sich immer wieder den jährlichen Main Event als Veran-staltungsformat neu zu erfinden. Im letzten Quartal 2014 wurde aus diesem Grund zur exklusiven Kinopremiere in Kapfenberg geladen. Exklusiv bedeutet, dass für IMC Mitglieder ein ganzer Saal reserviert wurde, um den erfolgreichen Blockbuster „Interstellar“ gemeinsam anzuschauen.

Um das Netzwerken nicht zu verges-sen, gab es vor der Premiere ein gemüt-liches Get-Together bei Sekt und Pizza. Neben dem Film wurde die große Lein-wand aber auch für zwei Kurzvorträge

genutzt. Sandra Preiß von der Firma Limbio Business entführte das Publi-kum auf eine spannende Reise in die Welt der Neurokommunikation und der Institutsleiter von Industrial Ma-nagement Prof. Dr. Martin Tschandl brachte die Teilnehmer auf den neu-esten Stand im Bereich Quick-Check zur Beurteilung des wirtschaftlichen Erfolgs von Unternehmen. Beide Vor-träge wurden vom Publikum sehr posi-tiv wahrgenommen und insgesamt war die Veranstaltung im Kino für alle ein frisches und abwechslungsreiches For-mat. Der IMC wird auch 2015 wieder versuchen seine Mitglieder zu begei-stern.

Alle Veränderungen des Vorstands und aktuelle Informationen können auch auf der komplett aktualisierten Homepage www.im-club.net nachgele-sen werden.

Der neue Vorstand mit seinem Geschäftsführer: Schranz, Dirschlmayr, Brunner, Maggele, Wetzelberger, Wallner; Foto: Picwish

Raiffeisen Rechenzentrum GmbHEin Unternehmen der Raiffeisen-Landesbank Steiermark AG

safe data,great business.

rrz.co.at

Security & Consulting

IT Operations & Infrastructure

Data & Content Management

Platforms & Business Solutions

Documents

WINGbusiness Heft 01 2015