10. September 2021 / LR / Lesedauer: 7 Min.

Industrial IT – diese Fachbegriffe sollten Sie kennen

IT ist nicht gleich IT. Die eingesetzte IT im Industrieumfeld unterscheidet sich wesentlich von der im Büroumfeld. Gerade mit der durch Industrie 4.0 ausgelösten steigenden Vernetzung in der Produktion wandelt sich die Industrial IT mit zunehmender Geschwindigkeit. Die Digitalisierung schreitet voran und damit einher gehen eine Vielzahl an neuen Standards, Lösungen, Projekten, Abkürzungen und Fachbegriffen, welche Sie unbedingt im Produktionsumfeld kennen sollten, um nicht den Anschluss zu verlieren. Einige dieser Begriffe haben wir bereits für Sie zusammengefasst und mit kurzen Definitionen und Verweisen verständlich in nachfolgendem Beitrag erläutert.

 

Die Fachbegriffe im Überblick:

 

 


 

AAS

Asset Administration Shell (Verwaltungsschale)

Zusammen mit dem physischen Asset stellt die Verwaltungsschale das Abbild der Industrie 4.0-Komponente dar. Die Verwaltungsschale enthält dabei, die „virtuelle digitale und aktive Repräsentanz einer I4.0 Komponente im I4.0 System“ [1], wobei „Administation shell […] Synonym zu Asset administration shell (AAS)“ [2] verwendet wird.

Darin werden „statische Merkmale, Parameter, Methoden, Fähigkeiten, Operationen, Zustände und viele andere Dinge“ [1] in standardisierter Form ausgedrückt und können darüber zugegriffen werden – jedoch gegebenenfalls nicht von jedem in der Wertschöpfungskette bzw. sogar innerhalb der gleichen Organisation. Je nach Risikobeurteilung sollen dort auch Security Schutzziele gewahrt werden.

Interessierte können sich mit dem AASX Package Explorer [3] Dateien genauer betrachten und es gibt auch einige Beispiele [4].

Bild: GitHub

 


 

AWL

Application Whitelist*

Eine Application-Whitelist ist eine Zusammenstellung von Programmkomponenten (ausführbaren Dateien, DLLs, Bibliotheken, Konfigurationsdateien, etc.), die von einem Benutzer oder Administrator eine Berechtigung zur Ausführung auf einem Computer erhalten hat.

Mit Application-Whitelisting-Lösung (Abkürzung: AWL), Application-Control-Programm oder Application-Whitelisting-Technologie bezeichnet man das Programm mit  dem eine Application-Whitelist auf einem Computer erzwungen wird [5].

 


 

CERT

Computer Emergency Response Team

Ein CERT dient als zentrale Anlaufstelle bei sicherheitsrelevanten Ereignissen. Dabei können sowohl proaktive als auch reaktive Maßnahmen angeboten werden. Ein Beispiel hierfür sind präventive Maßnahmen um das bzw. die System(e) vor möglichem Schaden zu schützen. Es kann aber auch Unterstützung im bereits eingetretenen Schadensfall angeboten werden, um eine Begrenzung oder Beseitigung zu erreichen [7].

Neben unternehmenseigenen CERTs gibt es auch übergeordnete Instanzen bzw. Institutionen die die beschriebenen Dienste bereitstellen wie beispielsweise das CERT@VDE [8] oder das CERT-Bund.

Dort werden unter anderem Schwachstellenmeldungen veröffentlicht, sodass diese für die Beurteilung des eigenen Systems herangezogen werden können. Des Weiteren gibt es aber auch sogenannte „Advisories“, welche Handlungsempfehlungen für den Umgang mit den gemeldeten Schwachstellen darstellen [9].

 


 

CVE

Common Vulnerabilities and Exposures

CVE ist der Standard zur einheitlichen Namenskonvention und Identifikation von öffentlich bekannten Schwachstellen in Informationssystemen. Auf diese Weise können Schwachstellen international über alle Sprachbarrieren hinweg kommuniziert werden. Dabei ist eine CVE in eine Präfix, eine Jahreszahl und eine Nummerierung eingeteilt, fest zugeordnet und bietet dadurch einen Mehrwert für Unternehmen. Ein bekanntes Beispiel hierfür ist der „BlueKeep“ (CVE-2019-0708).

Einen ausführlichen Beitrag sowie eine kurze Videozusammenfassung finden Sie hier.

Beitrag: Common Vulnerabilities and Exposures (CVE)

 


 

Edge Devices

Edge Devices übernehmen eine Schlüsselrolle in der Weiterentwicklung zur Industrie 4.0 von Unternehmen. Sie sind intelligente Netzwerkkomponenten, welche den Zugang zu Kernnetzten eines Unternehmens oder eines Service Providers möglich machen. Sie befinden sich am Netzwerkrand (Edge) und werden zunehmend intelligenter ausgebaut, um verschiedene Servicemöglichkeiten, wie Lifecycle-Services (Asset Management, Predictive Maintenance, Performance Management) oder Prozessoptimierung durch cloudbasierte Services anbieten zu können [10] [11]. Der Spezialist und Anbieter für diese Geräte ist unser Technologiepartner Secunet.

Vor allem beim Einsatz in industriellen Umgebungen ist darauf zu achten, dass die Geräte auch für die dort herrschenden Bedingungen entsprechend ausgelegt sind.

 


 

ELISA Project

Enabling Linux in Safety Applications

Das ELISA Open Source Projekt wurde von Arm, BMW Car IT GmbH, KUKA, Linutronix und Toyota ins Leben gerufen. Ziel dieses Projects ist es, ein Paket an Werkzeugen und Prozessen, das Unternehmen bei der Entwicklung und Zertifizierung von Linux-basierten sicherheitskritischen Anwendungen und Systemen unterstützt, deren Ausfall den Verlust von Menschenleben, erheblichen Sachschäden oder Umweltschäden zur Folge haben könnte, zu entwickeln [12].

 


 

IEC 62443

Beim IEC 62443 [13] handelt es sich um eine internationale Serie von Normen und Standards für Cybersecurity in der Industrieautomatisierung. Ziel ist es potentielle Schwachstellen in der Steuerungs- und Leittechnik zu überprüfen und entsprechende Schutzmaßnahmen zu entwickeln. Die Norm unterteilt die Industrie dabei in drei verschiedene Instanzen: Geräte- und Maschinenhersteller, Systemintegratoren und Betreiber der Anlagen.

Die Struktur des IEC 62443 ist in folgende Bereiche gegliedert:

  • Allgemeine Grundlagen
  • Sicherheitsanforderungen für Betreiber und Dienstleister
  • Sicherheitsanforderungen an Automatisierungssysteme
  • Sicherheitsanforderungen an Automatisierungskomponenten
  • Profile (noch in Erstellung)
  • Evaluationsmethodiken (noch in Erstellung)

 


 

IND: Industrielle IT 

Mit dem IT-Grundschutz [6] ermöglicht es das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen.

Gegliedert in verschiedene Bausteine, welche thematisch von Anwendungen (APP) über Netze und Kommunikation (NET) bis hin zu Sicherheitsmanagement (ISMS) gehen, bildet es die Basis für alle, die sich umfassend mit dem Thema Informationssicherheit auseinandersetzen möchten.

Die Schicht IND befasst sich mit Sicherheitsaspekten industrieller IT. In diese Schicht fallen beispielsweise die Bausteine Prozessleit- und Automatisierungstechnik, allgemeine ICS-Komponente und Speicherprogrammierbare Steuerung (SPS).

Hier die Sicherheitsaspekte der IND im Überblick:

  • 1 Prozessleit- und Automatisierungstechnik
  • 2 ICS-Komponenten
    • 2.1 Allgemeine ICS-Komponente
    • 2.2 Speicherprogrammierbare Steuerung (SPS)
    • 2.3 Sensoren und Aktoren
    • 2.4 Maschine
    • 2.7 Safety Instrumented Systems

 


 

Industrie 4.0

Der Begriff „Industrie 4.0“ wurde erstmals 2011 auf der Hannover Messe öffentlich verwendet. Er wurde von Wolfgang Wahlster, Henning Kagermann und Wolf-Dieter Lukas, drei Vertreter aus Wirtschaft, Politik und Wirtschaft, ins Leben gerufen und sollte die Zukunft der Produktion darstellen. Ziel war und ist es modernste Informations- und Kommunikationstechniken in der Produktion zu verwenden, um effektiver arbeiten zu können [14]. Die voranschreitende Digitalisierung ist ebenfalls ein wichtiger Faktor der Industrie 4.0.

In unserem Video „OT for OEM“ haben wir kurz und bündig die vier Stufen der industriellen Revolution zusammengefasst und erklären wie Industrie 4.0 zu ihrem Namen gekommen ist und welche neue Chancen sich daraus für Ausrüster ergeben.

Video: OT for OEM

 


 

LoRaWAN

Long Range Wide Area Network

LoRaWAN [15] ist ein Media Access Control (MAC), also ein Schicht-Protokoll für drahtlose batteriebetriebene Systeme in einem regionalen, nationalen oder auch globalen Netzwerk. Es basiert auf dem Modulationsschema LoRa von Semtech und ist konzipiert für große öffentliche Netze mit einem einzigen Betreiber. Dabei stehen Anforderungen des Internet of Things, wie zum Beispiel eine sichere Ende-zu-Ende Verschlüsselung, im Vordergrund.

 


 

MQTT

Message Queuing Telemetry Transport

Beim MQTT handelt es ich um ein, von Andy Stanford-Clark (IBM) und Arlen Nipper (Cirrus Link Solutions) im Jahr 1999, entwickeltes offenes Netzwerkprotokoll für Machine-to-Machine-Kommunikation (M2M). Es ermöglicht die Übertragung von Telemetriedaten in Form von Nachrichten zwischen Geräten, welche auch mit dem TLS-Protokoll verschlüsselt werden können. Auch hohe Verzögerungen oder beschränkte Netzwerke stellen dabei kein Problem dar. Diese wird zum Beispiel in Geräten wie Sensoren, Mobiltelefonen oder Fahrzeugen verwendet. Ein MQTT-Server kann zusätzlich als Zustandsdatenbank verwendet werden [16].

 


 

OPC UA

Open Platform Communication Unified Architecture

OPC ist ein Kommunikationsprotokoll für die Industrie 4.0 und sorgt für einen herstellerunabhängigen Datenaustausch, indem Zugriffe auf Maschinen und Geräte im industriellen Umfeld standardisiert werden. OPC UA wurde 2008 veröffentlicht und bezeichnet die aktuelle Spezifikation des Standards. Ältere Spezifikationen sind unter OPC XML, OPC Command oder OPC DX bekannt [17].

Der Standard verfolgt die folgenden Ziele [18]:

  • Funktionale Äquivalenz
  • Plattformunabhängigkeit
  • Sicherheit
  • Erweiterbarkeit
  • Umfassende Informationsmodellierung

 


 

OT

Operational Technology

Die stark gestiegenen Anforderungen an Qualität und Produktivität in Produktionsumgebungen machen neue IT-Lösungen speziell für dieses Umfeld unumgänglich. So wurde der Begriff OT immer bekannter. Definiert wurde er von Gartner [19] als: „Hard- und Software, die durch die direkte Überwachung und/oder Steuerung physikalischer Geräte, Prozesse und Ereignisse im Unternehmen eine Veränderung erkennt oder verursacht.“

Worauf es bei dem IT-Betrieb in OT-Infrastrukturen ankommt, erfahren Sie in diesem Video.

Video: IT in OT

 


 

Patches, Updates und Upgrades

Patches, Updates und Upgrades werden aufgrund ihrer Ähnlichkeit häufig verwechselt. Kurzgefasst stellt ein Patch eine Fehlerbehebung zum Schließen einer Schwachstelle dar. Ein Update dagegen bringt ein neues, kleineres Funktionsupdate mit sich und kann somit neue Features bereithalten oder ältere verbessern. Bei einem Upgrade wird eine neue, überarbeitet Version aufgespielt.

 


 

PERA

Purdue Enterprise Reference Architecture

Das in den frühen 1990er Jahren entwickelte Modell sieht eine schematische Aufteilung des Netzwerks in verschiedene Schichten („Level“) vor, wodurch auch komplexe Implementierungen als abstrahiertes und somit vereinheitlichtes Schaubild dargestellt werden können. Dabei hilft die Einteilung in verschiedene Schichten („Level“) um einfacher die entsprechenden Maßnahmen z.B. zur Absicherung des Gesamtsystems planen und umsetzten zu können. Ein spezifisches Augenmerk wird dabei auf die Trennung bzw. den Übergang zwischen OT (bzw. ICS) Netzwerk und dem IT-Netzwerk gelegt.

Durch die geänderten Rahmenbedingungen (IoT Geräte, direkte Cloud Anbindung usw.) seit Einführung des Modells wird jedoch auch immer wieder Kritik an der Verwendung des Modells geäußert, wonach die Referenzarchitektur nicht mehr zeitgemäß sei [20] [21].

 


 

RAMI 4.0

Referenzarchitekturmodell Industrie 4.0

RAMI 4.0 stellt ein dreidimensionales Schichtmodell als grundlegende Architekturbeschreibung im Kontext von Industrie 4.0 bereit. Die Beschreibung der Eigenschaften (engl. „Properties“) der jeweiligen „Assets“ innerhalb des Systems geschieht über die Verwaltungsschale [22].

Dabei werden die vernetzten Fertigungsanlagen bzw. die enthaltenen Geräte über den gesamten Lebenszyklus von der Entwicklung, über den Einsatz in der Produktion bis hin zur Entsorgung / Verwertung betrachtet und abgebildet [23] [24].

Bild: DKE

 


 

Systemhärtung

Die Systemhärtung (aus dem englischen „system hardening“) beschreibt den Prozess, bei dem IT-Systeme und Applikationen neu konfiguriert werden, um besser vor Angriffen geschützt zu sein. So können zum Beispiel neue Passwort-Richtlinien eingeführt oder veraltete Protokolle abgeschaltet werden. Auch das Deinstallieren oder Deaktivieren nicht genutzter Software und Dienste ist Teil der Systemhärtung. Für Windows 10 Geräte gibt es beispielsweise einen Hardening-Guide des BSI unter dem Namen „Projekt SiSyPHus“ [25].

 


 

VDI/VDE 2182 

Diese Richtlinie beschreibt, wie die Informationssicherheit von automatisierten Maschinen und Anlagen durch die Umsetzung von konkreten Schutzmaßnahmen erreicht werden kann; dazu werden Aspekte der eingesetzten Automatisierungsgeräte, Automatisierungssysteme und Automatisierungsanwendungen betrachtet.

Auf der Basis einer zwischen Herstellern von Automatisierungsgeräten und -systemen und deren Nutzern (z.B. Maschinenbauer, Integratoren, Betreibern) abgestimmten, gemeinsamen Begriffsdefinition wird eine einheitliche, praktikable Vorgehensweise beschrieben, wie Informationssicherheit im gesamten Lebenszyklus von Automatisierungsgeräten, -systemen und -anwendungen gewährleistet werden kann. Der Lebenszyklus berücksichtigt die Phasen Entwicklung, Integration, Betrieb, Migration und Außerbetriebsetzung.

Die Richtlinie definiert ein einfaches Vorgehensmodell zur Bearbeitung und Darstellung der Informationssicherheit. Das Modell besteht aus mehreren Prozessschritten [26].

 


 

Virtuelles Patchen

Mit einem virtuellen Patch wird nicht die eigentlich fehlerhafte Anwendung repariert, sondern ein – teils vorgelagerter, zusätzlicher – Sicherheitsmechanismus etabliert, welcher die Ausnutzung einer Schwachstelle verhindern soll. Bei einem „klassischen“ Patch hingegen wird die Ursache des Problems behoben und nicht dessen Auswirkung bekämpft bzw. abgemildert.

Weitere Informationen, sowie einen Vergleich der Vor- und Nachteile zum klassischen Patchen finden Sie hier.

Beitrag: Virtuelles Patchen – Fluch oder Segen?

 

 


 

Sie vermissen einen Fachbegriff? Schreiben Sie uns!

Wir erweitern diese Liste stetig und fügen auch Ihren Begriff gerne hinzu.

 

* ondeso setzt sich aktiv und gemeinsam mit allen Mitarbeitenden dafür ein, Diskriminierungen zu verhindern und zu beseitigen. Allgemeingültige Fachbegriffe und Fremdwörter stehen daher in keinem Zusammenhang zu unseren Werten und Leitbildern, sie dienen ausschließlich dem fachlichen Verständnis.

 

Verweise

[1] https://www.bmwi.de/Redaktion/DE/Publikationen/Industrie/industrie-4-0-verwaltungsschale-in-der-praxis.pdf?__blob=publicationFile&v=6 (s. 11, 2.2)
[2] https://i40.iosb.fraunhofer.de/FA7.21%20Begriffe%20-%20Industrie%204.0#verwaltungsschale
[3] https://github.com/admin-shell-io/aasx-package-explorer
[4] http://www.admin-shell-io.com/samples/
[5] “Application Whitelisting in der Industrie“, Klaus Jochem (2020) – https://klausjochem.me/
[6] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2021.pdf?__blob=publicationFile&v=6
[7] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/cert-bund_node.html
[8] https://cert.vde.com/
[9] https://cert.vde.com/de-de/dienste
[10] https://tecnews.digital/strategie/edge-devices-als-schluessel-fuer-industrie-40
[11] https://www.itwissen.info/edge-device-Edge-Device.html
[12] https://www.linuxfoundation.org/press-release/the-linux-foundation-launches-elisa-project-enabling-linux-in-safety-critical-systems/
[13] https://www.sichere-industrie.de/iec-62443-grundlagen/
[14] https://www.dfki.de/fileadmin/user_upload/DFKI/Medien/News_Media/Presse/Presse-Highlights/vdinach2011a13-ind4.0-Internet-Dinge.pdf
[15] https://www.lora-wan.de/
[16] https://www.embedded-software-engineering.de/was-ist-mqtt-a-725485/
[17] https://www.opc-router.de/was-ist-opc-ua/
[18] https://opcfoundation.org/about/opc-technologies/opc-ua/
[19] https://www.gartner.com/en/information-technology/glossary/operational-technology-ot
[20] https://www.sans.org/blog/introduction-to-ics-security-part-2/
[21] https://www.sichere-industrie.de/purdue-model/
[22] https://www.plattform-i40.de/PI40/Redaktion/DE/Downloads/Publikation/rami40-einfuehrung-2018.html
[23] https://www.dke.de/de/arbeitsfelder/industry/rami40
[24] https://www.beuth.de/en/technical-rule/din-spec-91345/250940128
[25] https://www.bsi.bund.de/EN/Topics/Cyber-Security/Recommendations/SiSyPHuS_Win10/AP11/SiSyPHuS_AP11.html
[26] https://www.vdi.de/richtlinien/details/vdivde-2182-blatt-1-informationssicherheit-in-der-industriellen-automatisierung-allgemeines-vorgehensmodell

news-ondeso-social-media

Mehr von uns

Sind wir schon vernetzt? Werfen Sie doch einen Blick auf unseren LinkedIn-Kanal!

produkte-ondeso-industrial-it-new

Produkte

Hier finden Sie eine Übersicht unserer Produkte und Lösungen.

flur-ueber-ondeso

Über ondeso

Hier erfahren Sie mehr über unser Unternehmen und unsere Expertise als Pionier und Marktführer.