Do you want to see our content in English?

x
x

Netzwerk-Anomalieerkennung: Eine Sicherheitslösung für die vernetzte Industrie

““

Klicken Sie auf den unteren Button, um den Inhalt von Spotify Player zu laden.

Inhalt laden

IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf anderen Plattformen anhören

IoT Use Case Podcast #96 - Rhebo (Landis+Gyr company) + Bosch Rexroth

Das Thema dieser Podcastfolge: Anomalie-Erkennungen in Netzwerken und eine integrierte Lösung für robuste Steuerungsnetze und zuverlässige Datensicherheit. Firmen verlieren heute aktiv Geld, wenn es zu Produktionsausfällen durch bspw. Störungen von Geräten kommt, die falsche Informationen oder gar keine Informationen mehr senden. Im schlimmsten Fall kommt es zu sog. „Ransomware-Attacken“. In dieser Folge erfahrt ihr u. a., was das ist, was das für einen Betrieb bedeuten kann und wie derartige Angriffe verhindert werden können.

Von der Entwicklung und Anwendung einer Lösung zur Anomaliedetektion in Netzwerken sprechen: Bosch Rexroth AG – stellvertretend mit dem Director Ecosystem ctrlX World Michael Krause – und IoT-Partner Rhebo (eine Landis+Gyr company) – stellvertretend mit Co-Founder & Business Developer Frank Stummer.

Folge 96 auf einen Blick (und Klick): 

  • [5:35] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus
  • [16:59] Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien
  • [34:29] Ergebnisse, Geschäftsmodelle und Best Practices – So wird der Erfolg gemessen

Zusammenfassung der Podcastfolge

Die zunehmende Vernetzung von Industrieanlagen führt zu einer steigenden Anzahl von Cyberangriffen und Sicherheitsrisiken. Um diesen Gefahren effektiv zu begegnen und die Produktionssicherheit zu gewährleisten, haben Rhebo und Bosch Rexroth AG eine integrierte Lösung entwickelt, die in dieser Podcastfolge ausführlich erklärt wird. Es geht um eine Cybersicherheitslösung für die vernetzte Industrie und wie Innovationen im Bereich der Industrieautomation zum Schutz von Unternehmen und wertvollen Ressourcen beitragen können.

Rhebo ist ein führender Anbieter von Lösungen zur Überwachung industrieller Steuerungssysteme und zur Erkennung von Anomalien in Echtzeit. Cyber Security und die Verfügbarkeit sowie die Stabilität von Produktionsprozessen sind Hauptthemen des hardewareunabhängigen Sicherheitsspezialisten.

Bosch Rexroth AG ist ein globaler Anbieter von Antriebs- und Steuerungstechnik und in der Fabrikautomation zuhause. Sie helfen Maschinenbau-Kunden schneller Maschinen zu engineeren und Maschinenbetreibern, Produktionsrisiken zu minimieren und höhere Verfügbarkeiten zu erreichen. Zudem sollen Energieverbräuche und die Umweltbelastung reduziert werden. 

Die Partnerschaft zwischen Rhebo und Bosch Rexroth AG bietet Unternehmen eine integrierte Lösung, die die Vorteile beider Technologien kombiniert. Die Cybersicherheit von Rhebo und die Stabilität der industriellen Steuerungssysteme der Bosch Rexroth AG gewährleisten einen optimalen Schutz und eine effiziente Überwachung der Produktionsprozesse.

Wie das im Detail genau aussieht, welche Technologien zum Einsatz kommen, was ein Ökosystem aus +70 Partnern damit zu tun hat und welche Mehrwerte das Ganze noch bietet, das erfahrt ihr in Podcastfolge 96 des IoT Use Case Podcasts mit Madeleine Mickeleit.

Podcast Interview

Herzlichen Glückwunsch, dass du diese Folge ausgewählt hast, denn heute geht es um ein wirklich wichtiges Industriethema, was jeder auf dem Schirm haben sollte: Es geht um Anomalieerkennung in Netzwerken. Das klingt erst mal unsexy, ist es aber überhaupt nicht, weil mit jedem Tag, mit jeder Stunde und mit jeder Minute werden mehr und mehr Mengen an Daten produziert, die aus Geräten, Maschinen und auch Sensoren kommen.

Firmen verlieren hier aktiv Geld, weil es zu beispielsweise Produktionsausfällen durch Geräte kommt, die falsche Informationen oder gar keine Information mehr senden. Im schlimmsten Fall kann es zu sogenannten „Ransomware-Attacken“ oder Angriffen kommen, das gilt es zu verhindern!

Heute erfahrt ihr, was das ist und was das für einen Betrieb im schlimmsten Fall bedeuten kann. Direkt aus dem Elektronik-Fertigungswerk für Servoantriebe bei der Bosch Rexroth AG, heute stellvertretend mit Michael Krause und ihrem IoT-Partner Rhebo, a Landis+Gyr company, heute stellvertretend mit Frank Stummer.

Hallo Frank und Michael, erst mal herzlich willkommen zum IoT Use Case Podcast! Schön, dass ihr mit dabei seid. Frank, wie geht es dir und wo bist du gerade unterwegs?

Frank

Danke, Madeleine. Mir geht es gut und ich bin gerade in Berlin unterwegs; sowohl Kundenbesuche als auch Arbeitskreisbesuche stehen an. Wir sind zum Beispiel bei der Bitkom, deswegen Berlin.

Berlin ist immer eine Reise wert, wir haben unsere Firma in Berlin gegründet, das kenne ich bestens. Michael, bist du auch in Berlin?

Michael

Ich bin auch in der Großstadt, ich bin in Lohr am Main, in der Nähe von Würzburg, in unserer Zentrale. Schönes Städtchen am Rande des Spessarts, 11.000 Einwohner. Ich bin heute mal wieder im Büro; Kollegen sehen, was auch schön ist, nach den ganzen Home Office Zeiten mal wieder mit Kollegen zu reden.

Ist das ein großer Standort bei euch?

Michael

Ja, das ist unser Hauptsitz mit über eintausend Mitarbeitern und der Produktion, direkt am Standort.

Zu Rhebo kurz aus meiner Sicht: Ihr von Rhebo bietet OT- und IoT-Monitoring-Lösungen zur Angriffserkennung, alles rund um Cybersecurity in industriellen Netzwerken. Es ist eigentlich egal, wo die Anlagen stehen, ob die vor Ort stehen oder irgendwo in der Welt verteilt, ihr macht diese Monitoring-Lösungen dazu. Was ich bei euch spannend finde, ihr macht viel mit Anomalieerkennung! Also könnt Abweichungen feststellen und bewerten innerhalb von Netzen.

Frank, du bist Co-Founder und Business Developer beziehungsweise im Business Development zuständig bei Rhebo. Für welche Kunden arbeitet ihr heute? Wer sind klassischerweise eure Ansprechpartner? 

Frank

Alles richtig, was du gesagt hast. Neben Cybersecurity geht es auch um Verfügbarkeit und die Stabilität von Produktionsprozessen; auf der anderen Seite natürlich stark um Cybersecurity. Das ist der Grund, warum wir derzeit stark einen Fokus haben auf kritische Unternehmen, in Deutschland „KRITIS“ genannt, das heißt Energieversorgung, Wasserunternehmen und Gasversorgung, aber auch viele Anwendungen, viele Kunden in Fertigungsunternehmen oder in der Prozessindustrie, die wir haben; Lebensmittel oder auch Pharma, wo es auch um Cybersecurity geht, aber mehr um Stabilität und Verfügbarkeit des Produktionsprozesses selbst. Letzten Endes sind es zwei Seiten derselben Medaille.

Die Ansprechpartner sind auch mit den zwei Seiten der Medaille die Sicherheitsbeauftragten, die für Cybersecurity verantwortlich sind, aber auf der anderen Seite auch die Produktionsverantwortlichen, diejenigen, die für den Betrieb, für die Produktion, das alles läuft, verantwortlich sind.

Ihr seid von der Landis+Gyr Gruppe übernommen, die sind seit 125 Jahren bekannt für jegliche Lösungen rund um Stromzähler oder auch Energielösungen. Kannst du dazu etwas berichten? Arbeitet ihr mit denen zusammen? Wie bringt ihr euch hier ein?

Frank

Landis+Gyr sind ein Schweizer Unternehmen und weltweiter Marktführer für Advanced Metering Lösungen, also die Stromzähler, die überall verbaut sind und natürlich auch die intelligenten Stromzähler. Es ist letzten Endes ein Integrationspartner von uns, also unsere „Mutter“ ist auch ein Integrationspartner. Das heißt, wir integrieren diese Funktionalitäten des OT-Monitorings, der Überwachung und auch der Anomalieerkennung direkt in diese Smart Meter beziehungsweise in die komplette Infrastruktur von allen Smart Metern. Also vom Haus bis hinten in das Backend, wo große Datenmengen verarbeitet werden. Da integrieren wir die Lösungen und die Funktionalitäten mit rein.

Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus [05:35]

Kannst du und beschreiben, welche Projekte und Use Cases ihr seitens Rhebo generell habt? Welchen schauen wir uns heute im Detail an?

Frank

Wir haben zum einen diese Integrations-Use-Cases, da haben wir auch einen abgebildet auf unserer gemeinsamen Plattform im Netzwerk, das ist mit sonnen, einem Shell Unternehmen, da geht es um die Integration in Batteriesteuerungen. Hier in dem Use Case geht es um die Zusammenarbeit mit einer Automatisierungsplattform, die von der Bosch Rexroth AG, aber auch die Anwendung direkt.

Was macht dann der Endkunde sozusagen damit? Das heißt, die Nutzung einer solchen Anomalieerkennung, das sind die beiden großen Use Cases und dann differenziert das stark. Dann kommt es darauf an, in welchem Sektor bin ich, muss ich noch besondere Anforderungen mit beachten? Geht es um Energieverteilnetze oder geht es um Energieübertragungsnetze oder auch um Lebensmittelproduktion, letzten Endes von der Technik her, von unserer Warte aus ist das immer sehr ähnlich, aber manchmal sind die Anforderungen von den Standards ein bisschen anders.

sonnen ist auch ein sehr spannendes Projekt, was ihr gemacht habt.

Heute soll es, Michael, um euer Projekt gehen; wie habt ihr euch eigentlich kennengelernt?

Michael

Tatsächlich weiß ich das gar nicht mehr, weil es schon so lange her ist. Rhebo ist ein Partner der Bosch Rexroth AG, da hatten wir noch gar kein offizielles Partnerprogramm. Wir sind Anbieter für eine Automatisierungsplattform, „ctrlX Automation“. Frank habe ich kennengelernt über einen gemeinsamen Kollegen, der 2017 gesagt hat, dass es super spannend wäre, was wir machen, das würde in der Fabrikautomation, in der wir heute tätig sind, mit unserer Plattform immer wichtiger werden und ob wir nicht schauen können, etwas gemeinsam zu machen.

Da besteht also eine längere Partnerschaft. Ihr habt ein sogenanntes Partnerprogramm seitens der Bosch Rexroth AG auch ein eigenes, eine Art Ökosystem, wo ihr verschiedenste Lösungen im Netzwerk habt. Kannst du da mal drüber erzählen, was ihr da genau macht?

Michael

Genau, ctrlX Automation ist unsere Automatisierungslösung, klassisch für die Fabrikautomation. Und weil wir sagen, wir haben eine offene Plattform, wir machen nicht alles selbst, wir konzentrieren uns auf bestimmte Themen, wo wir gut sind, also SPS, Motion Control und auch noch die ganze Plattform. Per se haben wir 2019 die Plattform vorgestellt und dann 2020/21 ein Partnernetzwerk gegründet, heutzutage würde man Ökosystem sagen, in dem wir heute 73 Unternehmen versammelt haben. Die helfen unseren Maschinenbau-Kunden schneller Maschinen zu engineeren und unseren Maschinen-Operators, also Maschinenbetreibern, Produktionsrisiken zu minimieren und höhere Verfügbarkeiten zu erreichen. Genau da passt Rhebo wunderbar rein.

Wie ist das inhaltlich zusammengekommen? Was waren die Potenziale in der Partnerschaft mit Rhebo, wo ihr gesagt habt: Das passt genau zu dem, was wir für Maschinenbauer und Kunden brauchen!

Michael

Wir claimen, dass wir ein sehr sicheres Automatisierungs-Laufzeitsystem haben, was nach IT-Standards genügt. Rhebo ist aktiv in dem KRITIS Bereich, kritische Infrastruktur-Anlagen, aber wir glauben, dass auch in der Fabrikautomation es zunehmend wichtiger wird, Netzwerke zu überwachen. Das zeigen viele Vorfälle, die in den letzten Monaten und Jahren passiert sind, dass auch Nachholbedarf in der Fabrikautomation bei den Maschinenbetreibern besteht.

Das muss man hier noch mal unterscheiden. Es ist einerseits wichtig, ihr habt selber euer Ökosystem, anders herum geht es um eure eigene Produktion.

Pilz, Krauss-Maffei und andere sind Opfer von sogenannten „Ransomware-Attacken“ geworden. Das ist ein großes Thema, die Bedrohungslage ist immer noch hoch. Es treten inzwischen häufig Fälle auf, wo auch die Öffentlichkeit darüber berichtet. Viele kommen auch gar nicht zum Vorschein und der Leidensdruck der Betroffenen ist hoch, weil viele Opfer geforderte Lösegelder bezahlen müssen. Man kann beim Bundesamt für Sicherheit in der Informationstechnik viel darüber online lesen.

Können wir kurz gemeinsam zusammentragen, was gerade passiert? Was sind denn potenzielle Schäden, die aufkommen durch dieses Thema?

Frank

Du hast schon einige sehr wichtige Beispiele genannt, auch in der Hinsicht, dass sie viel Geld kosten. Die Angriffe haben zugenommen in den letzten Jahren. Zum Glück hat auch die staatliche Verfolgung durch Polizei und weitere zugenommen, aber trotzdem ist es nach wie vor ein riesiges Problem. Da geht es schlicht und einfach nur um das Geld, da geht es darum, dass kriminelle Organisationen versuchen, jemanden zu erpressen.

Es ist auch so, dass es bei solchen Angriffen meistens noch weit über Lösegeldzahlungen hinausgeht. Das heißt, es gibt einen negativen Einfluss durch Hackerangriffe, durch Malware, die vielleicht gar nicht für das Unternehmen gedacht war, aber trotzdem da drin landet. Wenn nicht nur die IT betroffen ist, sondern auch noch die OT, in die Produktionsprozesse, dann wird es schnell sehr teuer.

Leider ist es so, dass wir über staatliche Akteure reden müssen, über staatliche Angreifer reden müssen, die noch mal ganz andere Ressourcen haben. Dazu zählen Produktionsprozesse und auch unser Maschinenbau in Deutschland. Dazu zählt auch unser Fahrzeugbau in Deutschland, auch das darf man nicht vergessen. Vor fünf Jahren musste ich mir noch den Mund fusselig reden darüber, das muss man heutzutage leider nicht mehr, aber man kann was dagegen tun.

Wir reden heute über eure Produktion und ihr seid auch Experten in den einzelnen Prozessen, ihr habt das Thema gesehen, das soll auf jeden Fall vermieden werden. Kannst du uns verorten, wie ihr das Thema bei euch angeht?

Michael

Es denkt jeder an die Use Cases, die Frank beschrieben hat, aber es gibt noch viel banalere Use Cases, wo eine Netzwerk-Anomaliedetektion helfen kann. Das fängt schon damit an, dass wir in der Fertigung oder auch in den Maschinen zunehmend viele Ethernet-Teilnehmer sehen. Die Ethernet-Netzwerke werden immer größer auf dem Shopfloor und damit auch der Netzwerkverkehr.

Wir sprechen von IT- und OT-Convergence, von Connected Machines und da entsteht ein entsprechender Daten-Traffic. In unserer Fertigung hier, wir sind im Stammhaus, wir fertigen hier Servoantriebstechnik, also Leistungselektronik für unsere Servomotoren in Lohr am Main. Hier haben wir viele Ethernet-Teilnehmer und ein verstopftes Netzwerk kann dort zu Problemen führen, zum Beispiel Fertigungsaufträge könnten nicht mehr runter an die Maschine kommen. Man denkt an Cyber-Attacks, aber es gibt Netzwerkgeräte, die vielleicht irgendeinen Schaden haben und wie wild Pakete durch das Ethernet jagen.

Also falsche Paketinfos.

Michael

Genau und damit sozusagen die Leitung dicht machen. Innerhalb der Bosch Rexroth AG haben wir eine sehr gute zentrale IT, die uns da beschützt von außen und wir haben auch sehr gute Sicherheitskonzepte auf dem Shopfloor. Aber nichtsdestotrotz fanden wir es interessant, die Rhebo-Lösung auch bei uns im Werk zu testen, einfach aus diesem Netzwerkauslastungs-Gedanken und um mögliche Produktionsausfälle einfach zu vermeiden, wieder das Thema höhere OEE.

Da ist die Stabilität des Netzwerks entscheidend, weil der Daten-Traffic immer mehr wird. Ihr habt die Herausforderung mit diesen möglichen Netzwerkstörungen umzugehen, weil sehr viel Traffic aufläuft und sehr viele Daten da sind. Kann man das so sagen?

Michael

Die wichtigen Daten müssen vom ERP, vom MES runter an die Maschine, weil du der Maschine sagen musst, was sie produzieren soll. Und wenn die nicht ankommen, kann man, so banal wie es klingt, nicht produzieren.

Hast du Beispiele an Datenarten?

Michael

Wir haben zum einen die typischen Feldbusdaten, von der Maschine runter an irgendwelche Feldbusteilnehmer. Aber wir haben auch viel in der Produktion. Bei uns sind auch manuelle Prozesse oder Arbeitsstationen, wo Laserscanner sind, die zum Beispiel einen Prozessschritt dokumentieren, wenn der Werker fertig ist, dann gibt es einen Laserscanner und dann fährt sozusagen der Antrieb zur nächsten Station weiter; das sind alles Ethernet-Geräte, Labeldrucker zum Beispiel, die irgendwelche Verpackungslabels ausdrucken oder irgendwelche Seriennummern ausdrucken, die auf das Gerät kommen.

Die holen sich ihre Daten aus dem MES, aus dem ERP-System mit der Seriennummer. Wir haben für jedes Produkt eine Art digitalen Zwilling, der im System hinterlegt ist, all das ist Ethernet-Kommunikation im Werk.

Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien [16:59]

Was sind technologische Anforderungen an eine solche Lösung, die die Lösung auf jeden Fall mitbringen muss? Was sind generell Anforderungen, damit so ein Projekt erfolgreich wird?

Frank

Die Netzwerkdaten, die hier zu überwachen sind, sind ähnlich zu denen in der IT. Wir selbst, die Gründer von Rhebo, kommen ursprünglich aus der IT. Wir waren sogar im Backbone des Internets unterwegs, haben dort vor 20 Jahren DPI Technologie entwickelt, Deep Packet Inspection Technologie, also das, was wir jetzt nutzen.

Was wir dann gelernt haben, lernen mussten und lernen durften: Ja, es ist sehr ähnlich über was wir sprechen auf dem Shopfloor, aber letzten Endes hat es auch einige Eigenheiten. Die wichtigste Eigenheit ist: der Produktionsprozess muss immer laufen. Ich weiß noch, als wir damals gestartet sind mit unseren Prototypen, den in Leipzig in einem großen Automobilwerk testen durften und dann gesagt haben: das werden wir dann mal sehen, dann können wir es gleich unterbrechen, dann wird man sofort wieder nach Hause geschickt. Das heißt, man darf nicht so einen Produktionsprozess unterbrechen, man soll analysieren, was da passiert, um dann Reaktionspfade einzuschlagen und gezielt reagieren zu können.

Auf der anderen Seite – und das ist sehr positiv – in Produktionsnetzwerken reden wir mit sehr vielen Teilnehmern, die da miteinander reden, aber es sind immer wieder dieselben. Mit diesem hohen Grad an Determinismus kann man arbeiten. Deswegen hat auch unsere Anomalieerkennung, die wir eingebaut haben, einen deutlich anderen Ansatz als zum Beispiel in der IT.

In der IT würden wir den Wald vor lauter Bäumen nicht sehen, aber in der OT funktioniert das sehr gut. Und man erschlägt damit nicht nur Cybersecurity-Probleme, sondern ich sehe noch viele andere Dinge: Stabilitätsprobleme und so weiter. Denn letzten Endes beobachten wir „nur“ das Netzwerk. Wer ist im Netzwerk, wer redet mit wem, was wird gesprochen? Wir gucken in die Kommunikation rein, sehen auch einzelne Werte und sehen dann nur Veränderungen im Netzwerk, Veränderungen von Werten. In Produktionsprozessen sind solche Veränderungen immer bemerkenswert.

Wie sieht die gemeinsame Lösung aus?

Michael

Ich beschreibe den Teil, den ich abdecken kann und zwar haben wir innerhalb von ctrlX Automation eine industrielle Steuerung, die durch die Art und Weise der Software, die man auf sie lädt, dann eine gewisse Funktion hat. Wenn ich auf die industrielle Steuerung, die ctrlX CORE, die PLC App lade, dann ist es eine SPS. Wenn ich eine Robotik-App drauflade, dann ist es plötzlich eine Robotik-Steuerung und wenn ich die Rhebo Sensor App drauflade, dann wird es ein intelligentes Netzwerkerkennungsgerät.

Frank

Genau richtig, es ist eine Appliance, die daraufgelegt wird. Und was wir machen ist, wir holen uns dann als Monitoring Lösung die komplette Datenkommunikation aus der ctrlX, die darüber läuft und für uns ist das der Datenabgriffspunkt. Das sind die Rohdaten, mit denen wir arbeiten, um dann die Anomalieerkennung durchzuführen.

Das heißt, Michael, ihr habt eure eigenen Steuerungen, die ihr einsetzt. Dort wird eine Software aufgespielt, also eine Art App, die von Rhebo kommt und diese App bringt alle Funktionalitäten mit, damit diese Datenkommunikation stattfindet, beziehungsweise eine intelligente Software, die es dann ermöglicht, genau in dieses Netz hineinzuhorchen. Könnte man das so sagen?

Michael

Genau und der Client ist dann diese Steuerung und es gibt das Zentralgerät von Rhebo, was die Daten dann auswertet in der Produktion On-Premise.

Wie nimmt eure Steuerung heute Daten auf? Sind das dann verschiedene Protokolle?

Michael

Genau, die Steuerungen sind klassischerweise mehrere Ethernet-Ports. Das ist einmal runter in die Feldebene EtherCAT Master, mit dem sie mit EtherCAT-Geräten und der Maschine spricht, das ist ein profiNET Master oder Slave, mit dem profiNET-Geräte adressiert werden können und sie hat natürlich auch einen normalen Ethernet-Port rein in das Fertigungsnetz, was über der Steuerung steht und da den Netzwerk-Traffic weiterleiten kann.

Wenn andere produzierende Betriebe kommen, die haben unterschiedlichste Hardware, ist das System oder die Applikation, die dort aufgespielt wird hardwareunabhängig oder ist das etwas, was immer vorgefertigt durch einen bestimmten Partner kommen muss?

Frank

Wir brauchen immer ein zentrales Gerät. Über das, was wir bisher gesprochen haben, das ist sozusagen der Datensensor, um die Rohdaten zu bekommen, aber die Auswertung, die geschieht dann nicht auf der Steuerung oder auf der Plattform, sondern die geschieht in unserem Gerät, der sogenannte „Rhebo Industrial Protector“.

Das läuft On-Premise, das kann auch integriert sein, zum Beispiel in Leitstände. Wir verbinden uns dann mit Datensensoren und eine Möglichkeit ist dann die Automatisierungsplattform; da ist man direkt an den Maschinen dran, sehr nah an den Anlagen und kriegt eine sehr hohe Sichtbarkeit. Aber genauso kann ich auch einen Datensensor nehmen, zum Beispiel oben am ERP-System. Das wird alles gesammelt an dem zentralen Gerät, aggregiert, ausgewertet und dargestellt. Das ist dann die Gesamtlösung.

Für mich ist ein Sensor ein klassischer Temperatur- oder Messwert. Ihr sprecht hier aber von einem anderen Sensor. Kann das sein?

Frank

Hier geht es um den Datenabgriffspunkt, um das Wort Sensor zu vermeiden. Ein Punkt, an dem ich passiv und rückwirkungsfrei die komplette Kommunikation mit horchen kann und dann an unser Gerät leiten kann.

Die Analyse, wie funktioniert die, wie macht ihr das? Was für Daten braucht ihr da?

Michael

Wir überwachen grundsätzlich 100 % der Datenkommunikation, wirklich alles. Das ist eines der Prinzipien, die man in der Produktions-IT sehr gut machen kann; hier geht das sogar sehr einfach. Dann stellen wir jegliche Veränderung als Anomalie dar. Was wir dann machen, ist, dass wir das lesbarer machen, sodass auch ein nicht-Security-Experte trotzdem etwas damit anfangen kann. Das heißt, wir stellen dann dar, wie sein Netzwerk aussieht.

Meistens stellt man an dem Punkt fest: Oh, das eine Gerät, das will ich gar nicht mehr drin haben. Wir sehen auch, wenn ein Gerät zum Beispiel nicht mehr kommuniziert. Dann wird weiter gruppiert, beispielsweise ist da normalerweise jede Sekunde eine Kommunikation und jetzt nur noch alle fünf Sekunden, das heißt, irgendwas stimmt nicht mehr oder die Bandbreite ist zu hoch oder irgendwas in der Richtung.

Das geht bis hin natürlich zu Security Use Cases, sowas wie ein Portscan, der wird durchgeführt oder ich habe Passwörter im Klartext. Der Reaktionspfad ist dann das Wichtigste. Unsere Lösung ist schön, aber noch viel wichtiger ist, dass dann damit auch etwas getan wird, dass mit diesen Erkenntnissen gearbeitet wird und reagiert wird. Es kommt auf die Menschen drauf an und oder auf die Verbindung zu anderen Systemen.

Ihr schafft 100 % Transparenz und Sichtbarkeit für egal welche Anomalien. Man muss kein Cybersecurity-Experte sein, das heißt ich könnte zum Beispiel auch, wenn ich Produktionsverantwortlicher bin, mich da einlernen und mit eurer Software arbeiten. Habe ich das richtig verstanden?

Frank

Es ist sogar im Normalfall so. Jeden Morgen guckt der Produktionsverantwortliche drauf oder er kriegt eine Meldung, wenn es bei uns Meldungen gibt. Da ist es eine der wichtigsten Meldungen von unserem Gerät: wie viele Meldungen gibt es überhaupt? Normalerweise verändert sich so ein Netzwerk nicht sehr stark. Da findet viel Kommunikation statt in einer Produktion, aber es verändert sich nicht stark. Wenn ich mehr als 100 Meldungen habe, innerhalb von zehn Minuten, dann weiß ich noch nicht was passiert, aber ich weiß, dass etwas passiert.

Dann hole ich meinen Security-Experten dazu, meinen Netzwerkexperten und der hat dann die Möglichkeit Drilldowns zu machen und tiefer rein zu gucken. Für mich die wichtigste Funktionalität von unserem Gerät ist, dass ich ein Pcap bekomme. Ich bin selbst Daten-Forensiker, das heißt, mich interessiert das alles Schöne und Bunte gar nicht. Ich will hintenraus das Pcap haben, wenn irgendwo ein Vorfall war, wenn irgendwo was kaputt war und ich mir die letzten Bits und Bytes angucken kann.

Mit dieser Lösung kann ich nicht nur die Kommunikation innerhalb des Netzwerks sehen und verschiedene Use Cases, die potenziell zu Störungen führen können, sondern da ist auch der Cybersecurity-Aspekt dahinter.

Erkennt ihr auch neue Angriffe?

Frank

Genau, das liegt in der Natur der Sache. Auch Zero-Day-Angriffe werden sofort erkannt, aber das ist eigentlich eine Selbstverständlichkeit. Weil wenn ich etwas beobachte, dann sehe ich die Kommunikation, dann sehe ich auch Veränderungen in der Kommunikation. Wir können dann natürlich nicht sagen, das ist der Angriff X, Y, Z, weil er ganz neu ist, aber wir sehen zumindest die Auswirkungen und wir geben Hinweise darauf.

Das heißt, man hat die Möglichkeit sehr schnell zu sehen, dass irgendetwas nicht stimmt, um dann tiefer zu analysieren und auch um zu reagieren. Auch wenn sich Forensiker als Cybersecurity-Experten sich das wünschen, da geht es gar nicht so sehr darum, bis zum Angriff wirklich runter zu gehen und den zu analysieren, sondern das Wichtigste ist zu sehen, dass überhaupt etwas passiert, um dann reagieren zu können und dann an der Firewall irgendwas dicht machen zu können, um mit einem Backup wieder was aufspielen zu können und so weiter.

Michael, sind in diesem Konglomerat auch in Richtung Shopfloor noch andere Partner relevant? Wie funktioniert die Zusammenarbeit innerhalb des Partnernetzwerks zu diesem Thema?

Michael

Wir adressieren verschiedenste Kategorien mit dem Partnerökosystem und Security ist einer von zwölf. Das sind einfache IoT-Anwendungen, OEE-Dashboarding bis hin zu für den Maschinenbauer eher Engineering Tools oder Sensor, Kompatibilitäten mit Sensorik herstellen. Es ist wirklich ganz breit und soll dem Maschinenbau helfen und dem Maschinenanwender.

Dem helfen Security-Anwendungen, Integrationslösungen, Maschinen schneller integrieren zu können, bestehende Linien. Dem helfen auch einfache MES-Anwendungen oder die Fabrik-IT in Summe und da gucken wir ganz breit und freuen uns über jeden Partner, Groß und Klein, der Lust hat, an diesem offenen Ökosystem mitzuarbeiten.

Dieses Thema ist so wahnsinnig relevant, dass man nicht nur IT, sondern auch die ganzen OT-Player einbindet. Da sind viele Partner auch bei uns im Netzwerk, die genau aus der Ecke kommen, sei es ifm, WAGO oder auch Turck. Alle, die aus der OT-Ecke kommen.

Frank

Wir arbeiten mit vielen zusammen, auch da sind wir offen und das geht von Schnittstellen, einfach zwei Geräte miteinander zu verbinden bis hin zur tiefen Integration in die eigenen Steuerungen von solchen Geräten. WAGO hat uns in einer vorhergehenden Podcastfolgen erwähnt, auch Welotec und andere, nicht zu vergessen die Switch- oder Router-Hersteller.

Michael

Wir binden zum Beispiel von unserer Seite die Sensorik, wie unter anderem von ifm ein, da werden die Daten auf den Data Layer gebracht in der Steuerung, das ist die zentrale Datenschnittstelle und dann leiten wir das an das zentrale Rhebo System weiter. So spielt der eine oder andere Partner sehr gut miteinander.

Man schafft heute nichts mehr alleine, man muss sich in Netzwerken zusammenschließen. Es gibt Spezialisten für die OT, für die IT und Security wie Rhebo. So funktioniert die Produktion von heute und im Zusammenspiel schafft man einzigartige und coole Lösungen. Es gibt keinen mehr, der alles kann; das zeigt auch euer Netzwerk.

Mittlerweile ist es Coopetition; man findet sich immer wieder zusammen auf dem Shopfloor, denn man muss die Daten bereitstellen am Ende, um einen Business Case zu lösen.

Ergebnisse, Geschäftsmodelle und Best Practices – So wird der Erfolg gemessen [34:29]

Was ist euer Business Case für die Bosch Rexroth AG in der Zusammenarbeit mit Rhebo?

Michael

Der Controller bestimmt sich durch die Software, die auf ihm läuft und wir möchten da unseren Kunden ein möglichst großes Angebot bieten. Über einen Marktplatz, dem ctrlX Store. Kunden können sich relativ einfach die Rhebo App runterladen, die hat auch einen sehr interessanten Preis, und dann auf die Steuerung bringen und sich dann vertrauensvoll an Rhebo wenden für das zentrale Gerät und die Gesamtlösung.

Frank

Ich würde mir auch wünschen, dass das im Maschinenbau viel mehr gemacht wird. Wir haben auch deshalb einen Fokus noch auf kritische Infrastrukturen, weil die Kollegen aus der kritischen Infrastruktur früher gezwungen wurden; jetzt machen sie es freiwillig, mehr für Sicherheit zu tun.

Auch solche Standards, zum Beispiel wie die IEC 62443, die führen genauso dahin oder auch TISAX. Letzten Endes geht es darum, dass ich mir mit solch einer Automatisierungsplattform das Leben sehr viel einfacher gestalte als Maschinenbauer. Ich kann relativ einfach mir diejenigen Applikationen mit dazunehmen, die wiederum für meine Endkunden wichtig werden, sodass ich mir meinen eigenen Business Case aufbauen kann.

Wir haben das zum Beispiel in der Lebensmittelbranche, da ist die Funktionalität erst mal nur die Verfügbarkeit eines solchen Datenabgriffspunkt und dann eine zweite, das dann direkt die komplette Monitoring-Lösung kommt. Das ist da einfach schon ein Checkpoint, wenn ich mir eine Anlage kaufe. Damit kann ich all diese Standards, die dann wiederum meine Endkunden erfordern, leicht abhaken.

Was sind denn Dinge, die in Zukunft noch kommen? Was seht ihr hier am Markt?

Frank

In Forschungsprojekten, die weiter in die Zukunft gehen, sehen wir ganz klar, dass die Cybersicherheit, aber auch Stabilität und Verfügbarkeit End-to-End gedacht ist und dass das überall eingebaut ist. Das hat man jetzt schon überall, aber eher in Versatzstücken. Sowas gibt es zum Beispiel auch in OPC UA. Das muss alles zusammenspielen, denn die Automatisierungspyramide, so wie sie noch gelehrt wurde vor einiger Zeit, die hat sich schon aufgelöst oder ist in der Auflösung begriffen, von der Zentrale, vom ERP bis zur Edge und zum Shopfloor runter. Da brauche ich auch andere Lösungen, um dann für Cybersecurity oder für Datenintegrität zu sorgen.

Michael

Das macht bei der OT nicht halt, dass man überlegen muss, wenn man eine industrielle Steuerung einsetzt in seiner Maschine, dass die zum Beispiel Secure by Design und Secure by Default ist. Wenn du dich zum Ersten Mal bei uns in die Steuerung einloggst, musst du dein Passwort ändern und kannst nicht das Standard-Passwort nehmen, was wahrscheinlich in sehr vielen SPS-Systemen je nach Hersteller immer gleich funktioniert. Da kann man als Maschinenbauer viel erreichen; sich überlegen: Bin ich noch richtig unterwegs mit dem, was ich da einsetze?

Ich kann hier noch einen Hinweis geben, weil ich gerade einen Podcast mit der OPC Foundation aufgenommen habe, denn es ist wahnsinnig wichtig, solche Themen nicht nur bei OPC UA, sondern auch bei Security by Design auf dem Schirm zu haben.

Vielen Dank für diesen spannenden Podcast. Vielen Dank Michael, dass du mit dabei warst und Frank, dass du eure Lösungen vorgestellt hast, wie das Ganze funktioniert. Bis dann!

Frank

Es hat mir sehr viel Spaß gemacht und natürlich auch Michael an dich. Es macht mir immer viel Spaß mit dir zu reden und ich freue mich schon, wenn wir uns wieder auf der nächsten Messe sehen und wieder länger reden können!

Michael

Herzlichen Glückwunsch an alle Zuhörer, dass ihr euch mit dem Thema IT Security auseinandersetzt; ein ganz wichtiges Thema! Danke Madeleine, es hat Spaß gemacht.

Für Rückfragen stehe ich Ihnen gern zur Verfügung.

Questions? Contact Madeleine Mickeleit

Ing. Madeleine Mickeleit

Host & Geschäftsführerin
IoT Use Case Podcast