Sicherheitslücken sind der Flaschenhals beim Produktdatenaustausch im Web

Von unserem Redaktionsmitglied Norbert Berger – norbert.berger@konradin.de

Die Amerikaner haben Erstaunliches vollbracht: 1969 landeten sie auf dem Mond, ohne ein CAD-System einsetzten zu können. Allein mit Zeichenbrett und Bleistift waren sie in der Lage, das Landefahrzeug „Eagle“ zu konstruieren und voll funktionsfähig auf den Erdtrabanten zu bringen. Rund 30 Jahre später gibt es zwar leistungsfähige CAD-Systeme, doch mit deren Hilfe konnte das Verschwinden des mobilen Roboters Pathfinder auf dem Mars nicht verhindert werden.

Daraus den Rückschluss zu ziehen, dass Konstrukteure wieder auf digitale Entwurfswerkzeuge verzichten sollen, ist falsch. Denn mit Software lässt es sich viel leichter und effizienter arbeiten. Doch alle Systeme weisen ein entscheidendes Defizit auf: die Möglichkeit, gemeinsam in einem Projekt erarbeitete Ideen über Firmengrenzen hinweg auszutauschen. Hier eröffnet das Internet prinzipiell Möglichkeiten, wie die Sindelfinger Cocreate GmbH beweist. Mit ihrem Lösungspaket „One Space“ setzt die süddeutsche CAD-Company ganz auf das Web und ermöglicht ein standortübergreifendes Konstruieren. „Wir bringen die Anwender über verschiedene Standorte und Sprachen sowie unterschiedliche CAD- und PDM-Systeme zusammen“, erklärt Tilman Schad. Der CEO der amerikanischen Muttergesellschaft aus Fort Collins ist besonders stolz darauf, dass es One Space mit der hauseigenen Technik des Dynamic Modeling erlaubt, auch featurebasierende CAD-Programme wie Catia oder Pro/E einzulesen und mit diesen weiter modellieren zu können. Damit sollen Konstrukteure in der Lage sein, virtuelle Meetings abzuhalten und die Lösungen im frühen Entwicklungsstadium miteinander zu diskutieren.

Bleibt die Frage, warum sich die praktikable Lösung in eineinhalb Jahren in Deutschland noch immer nicht durchgesetzt hat. In den USA hat Cocreate schon ungleich mehr Erfolg und ein Vielfaches an Kunden. So weiß ein Lieferant von Chrysler zu berichten: „Beim Projekt für ein Headset eines Mini-Van haben wir durch den Einsatz von One Space in der Entwicklung insgesamt neun Monate eingespart.“ Dieses Beispiel zeigt, was Bernard Braakhekke aus seiner täglichen Arbeit bestätigt: „Für den deutschen Konstrukteur spielt das Internet keine entscheidende Rolle und wird es in Zukunft auch nicht.“ Das Zaudern hat allerdings auch einen Grund: In Amerika sehen es die Entwickler nicht so eng mit der Datensicherheit. „Im Land der unbegrenzten Möglichkeiten ist der Konstrukteur nicht so konservativ wie hier“, fährt der Key-Account Manager CAD der Computer 2000 GmbH aus München fort.

Für Unternehmen, die nicht aus dem Automobilbereich kommen und keinem so starken Druck der Offenlegung ausgesetzt sind, ist die exakte Konstruktionszeichnung das wichtigste Gut, das es unbedingt vor externen Blicken zu schützen gilt. In der Praxis ist es immer noch weit verbreitet, Fertigungs- und Kundenzeichnungen zu erstellen. Speziell bei letzterer fehlen dann entweder Toleranzen oder einige Maße. Hinzu kommt: Hierzulande haben bei weitem noch nicht alle Konstrukteure einen Internet-, Intranet- oder Extranet-Anschluss. Ohne diesen ist eine Zusammenarbeit via Web nicht möglich. Nach einer Studie von Cadcircle sollen schon 78 % Zugriff haben – ein Wert den Experten bezweifeln. Realistisch – und das bestätigt auch Bernard Braakhekke, dürften nur rund die Hälfte über einen entsprechenden Zugang verfügen.

Zu Missverständnissen führt auch die Frage bei Konstrukteuren, ob ihr Unternehmen ans Internet angeschlossen ist. Oft stellt es sich heraus, dass sie damit E-Mail meinen. Sicherlich ist E-Mail eine Internet-Technologie, jedoch keinesfalls die geeignete, wenn es um Collaboration Engineer-ing wie bei One Space geht. Dem Modewort der CAD-Szene, dem Konstruieren über Unternehmens- und Systemgrenzen hinweg, sind bisher kaum praktikable Lösungen gefolgt.

Ein Beispiel für gemeinsame Produktentwicklung via Web ist Xbrioso von der Tecoplan AG aus Ottobrunn. Mit ihrer als Mietsoftware konzipierten Lösung auf der Basis des Application Service Providing (ASP) tun sich die Bayern auf dem Markt noch immer sehr schwer. Seit über einem Jahr ist der Dienst online, doch kaum ein Kunde arbeitet damit. Dabei macht es Sinn in einem angemieteten virtuellen Raum Daten zusammenzubauen, auf Kollisionen hin zu überprüfen und Freigaben zu erteilen. Doch ist Datensicherheit oft die kritische Stelle, wie die Softwareschmiede einräumt. Aber reicht es dann aus, sich beim Tüv Rheinland zertifizieren zu lassen? „Absolute Sicherheit gibt es nicht“, weiß Stefan Strobel von der Integralis Deutschland GmbH, München. Der Sicherheitsexperte und Buchautor empfiehlt denn auch Verhaltensregeln für sicheren Umgang mit Web-Angeboten (siehe Kasten auf Seite 40) Erst die Kombination aller Sicherheitstechniken wie Firewall, Content Security, Authentisierung und Verschlüsselung in einem Lösungspaket bietet einen guten Schutz. „Dieser eignet sich zwar nicht für geheimste Top-Anwendungen“, behauptet Strobel, der Firmenchefs aber dringend empfiehlt, auf marktgängige Schutztechniken zu setzen.

Bei Tecoplan ist die potenzielle Angriffsfläche das Anmelden mit Passwort. Stefan Strobel bezeichnet dies als „schwache Authentisierung“, die mit geeigneter Software zu knacken ist. Ausnahme: ein Pass-wort mit mindestens zehn Buchstaben inclusive Sonderzeichen. Nachteil: Niemand kann es sich merken. Weiterhin besteht die Gefahr, dass ein Passwort abgehört und missbraucht wird. Starken Schutz bietet hingegen neben einer Smart Card auch ein sogenannter Token, der in jeder Minute seine Nummer ändert. Die Zahl auf dem Gerät ist außer dem User nur noch dem Server bekannt, an dem sich der Anwender anmelden will. Ein Abhören nutzt also nichts, denn bis dahin hat sich die gültige Nummer wieder geändert.

Und wer wie Burkhard Hörnig, Produktmanager Mechanik und Maschinenbau der Münchner Autodesk GmbH, bei der internetbasierten Lösung Streamline auf „die gleiche Sicherheitsstufe wie Banken mit der 128-bit-Verschlüsselung“ vertraut, ist sehr von dem Guten im Menschen überzeugt. Denn dass sich „deshalb die Frage nach der Sicherheit kaum stellt“, ist nicht nur Stefan Strobel unerklärlich: „Das ist genau so, als wenn ein Automobilhersteller behauptet: Ich habe einen Airbag und damit ist das Thema Unfall für mich erledigt.“ Verschlüsselung ist ein Sicherheitselement, das alleine kaum Schutz bietet.

Wie sollen die Unternehmen dann Vertrauen in Lösungen rund um Collaboration gewinnen? Leider begehen sie große Fehler, wenn es allein um den Datenaustausch geht. Sehr verbreitet ist es, die Daten als E-Mail-Anhang zu versenden. Doch leider ist dieser Brieftransport nur so sicher wie eine Postkutsche zu früheren Zeiten. Dagegen galten bis vor kurzem angehängte pdf-Files als praktikabel. Sie sind zwar abzufangen, aber kaum zu manipulieren. Doch der Mythos vom sicheren Schutzwall ist jetzt ins Wanken geraten: Auf einem Hackerkongress dieses Jahr in Amerika führte ein „Fachmann“ vor, wie er das eBook-Format und pdf-Datenformat knacken kann. Ein weiterer fader Beigeschmack blieb: pdf-Erfinder Adobe ließ ihn kurzerhand verhaften (siehe im Web unter www.spiegel.de/netzwelt/technologie/0,1518,146842,00.html oder die Programme des Hackers auf seiner Firmen-Homepage: www.elcomsoft.com).

„Viele Unternehmen bleiben sowieso noch immer beim Versand mit der gelben Post“, kennt Braakhekke das Vorgehen aus der täglichen Praxis.

In einigen Unternehmen ist auch die so genannte Stand-alone-Lösung immer noch anzutreffen: Nur auf einem Rechner ist ein Web-Browser ohne Netzanschluss installiert. So spart man sich zumindest eine Firewall und kann Internetdienste wie von Cadenas oder Web2cad ohne Sicherheitsbedenken nutzen. Weit weg von Collaboration platzieren die beiden Unternehmen ihr Angebot rund um Teilebibliotheken. Anwender gehen auf die Homepage wie beispielsweise unter www.web2cad.de, suchen nach einem Bauteil und laden es sich anschließend auf den Firmenrechner herunter. Ein sicheres Vorgehen, denn diese Daten sind sowieso jedem zugänglich und obendrein kostenlos.

So wie Andreas Geisel von der Kranz-Packungen Kuhrmeier GmbH aus Dannstadt-Schauernheim geht es vielen Konstrukteuren in mittelständischen Unternehmen: „Collaboration ist für uns kein Thema. Das Internet haben wir bisher einmal zum Download eines Zukaufteiles genutzt. Ansonsten schaue ich mich nur ab und zu auf der Homepage verschiedener Fachzeitschriften um, um zu sehen, was es Neues auf dem Markt gibt.“

Anwender trauen dem Internet zu Recht noch nicht, wenn es darum geht, hochsensible Daten online zu stellen. Gibt es deswegen bald eine Zweiklassen-Gesellschaft in puncto Web und Collaboration? Zweifelsfrei liegt die Zukunft im Internet, doch wie schnell außerhalb der Automobilbranche der Zwang groß genug wird, die Ängste zu überwinden zu müssen, kann noch niemand beantworten.

Da das Spezialistentum eines jeden einzelnen immer mehr zunimmt und kaum einer allein eine Aufgabe bis zum Ende durchführt, bleiben Meetings zum Meinungsaustausch ein Muss. Aber wenn das Internet nicht sicher genug ist, gibt es noch immer den altbewährten Weg: Mit geplotteter Zeichnung unterm Arm per Auto, Zug oder Flugzeug zum Kunden oder Partner. Das ist (leider) heute in den meisten Fällen die aktuelle Form von Collaboration.

Wer seine Geschäftsprozesse über das Internet abwickelt, bietet zahlreiche Angriffs- und Einbruchsmöglichkeiten. Um dies zu verhindern, sollte jedes Unternehmen über eine sicherheitstechnische Grundausstattung verfügen. Diese setzt sich wie folgt zusammen:

Sie verhindert ein Eindringen in das hauseigene Netzwerk. Eine Einstiegslösung mit der Möglichkeiten, 50 Benutzerdressen verwalten zu können, kostet rund 30 000 DM. Dabei entfallen jeweils ein Drittel auf Hardware, Software und Installation.

Direkt neben der Firewall sind spezielle Gateways angesiedelt. Sie kommunizieren zwischen Rechnern in unterschiedlichen Datennetzen oder Datei-Diensten und prüfen jedes eingehende E-Mail auf Virenbefall wie beispielsweise Trojanische Pferde oder Würmer.Anfallende Kosten für diese Art der Schadensbekämpfung: beginnen etwa bei 20 000 DM.

Ist an eine sogenannte Remote-Access-Lösung gedacht, die den Zugriff auf das Firmennetzwerk erlaubt, ist hohe Sorgfalt angesagt. Passwörter bilden nur geringen Schutz, da es spezielle Software gibt, die die Wörter erraten können. Daher ist eine mindestens zehn Zeichen lange Bezeichnung mit Sonderzeichen und ohne erkennbaren Sinn nötig. Kaum jemand ist in der Lage, sich so eine Kombination auch nach dem Urlaub zu merken. Zudem besteht die Gefahr, dass Passwörter abgehört werden können. Daher ist eine „sichere Authentisierung“ empfehlenswert. Darunter fällt beispielsweise die Absicherung mit einem Token. Dieser ändert jede Minute seine interne Anmeldungszahl, die wiederum nur dem Server bekannt ist, an dem sich der User anmelden will. Eine andere Variante ist die Smart Card. Die Kosten hängen stark von der Benutzeranzahl ab, beginnen für kleinere Firmen ungefähr bei 10 000 DM.

Bei der 128-bit-Verschlüsselung entstehen keine relevanten Kosten.

Entscheidend ist: Erst in der sinnvollen Kombination aller zuvor beschriebenen Elemente ist ein grundlegender Schutz gewährleistet. Dazu ist ein Konzept nötig, in dem die Auswahl der oben genannten Komponenten sowie ihr Zusammenspiel im Vorfeld durchdacht wird.

Arbeitet ein Unternehmen mit eigenem Webserver, beispielsweise für den firmeneigenen Internetauftritt, sind zusätzliche Lösungen zu installieren. be

Christoph Booz, Technikvorstand bei der 1Value.com AG, hat große Erfahrungen gesammelt, wie Konstrukteure das Web nutzen.

Wie entwickeln sich Internet-Technologien im Engineering-Umfeld?

Im Gegensatz zu Anwendungen in kaufmännischen Bereichen, dem E-Com-merce, ist der Einsatz von Internet-Technologien in der Produktenwicklung noch nicht so fortgeschritten. Dies hängt mit der größeren Komplexität der Datenmodelle und den höheren Anforderungen an die Sicherheit zusammen. Der wirtschaftliche Einsatz wird aber schon in der Automobilindustrie durch Pilotprojekte nachgewiesen. Prognosen gehen von einer Steigerung der Umsätze von Dienstleistern um den Faktor 15 bis zum Jahr 2005 aus.

Welche Ziele verfolgt E-Engineering?

Langfristig soll der Zugang von entwicklungsrelevanten Daten in heterogenen Entwicklungsumfeldern vereinfacht werden. Dabei sollen sich Lieferanten und deren Sublieferanten mit dem OEM in einer virtuellen Entwicklungsumgebung austauschen können.

Welche Einsatzbereiche sehen Sie dafür?

Im Wesentlichen sind das noch so genannte Portal-Anwendungen: Visualisierung von Daten über das Web, verteilte Entwicklung und Produktion an verschiedenen Standorten, Lieferantenanbindung und Datenaustausch sowie Verwaltung von Normteilen. Große Bedeutung erlangt schon heute die Integration der Entwicklung nachgelagerter Bereiche, wie Dokumentation, Fertigung und Service.

Welche Rolle spielt das Übertragungsformat ENX?

ENX verbindet die Prinzipien von Internet und Corporate-Netzwerken miteinander, bietet aber wichtige Zusatzmerkmale wie kontrollierter Zugang und Sicherheitsphilosophien zusätzlich mit an. Entscheidend wird allerdings sein, wann ENX flächendeckend zur Verfügung steht.

Ist Datensicherheit ein Thema?

Datensicherheit ist eines der zentralen Themen, für die es noch keine befriedigende Lösung gibt. Information und Sicherheit sind hier zwei in Widerspruch stehende Bedürfnisse. Es wird wohl sehr restriktive Verfahrensanweisungen geben. Man denke daran, dass teilweise sensible Daten als Anhänge an E-Mails verschickt werden.

Die Zeichnung ist für einige Unternehmen das höchste Gut. Welche Praktiken der Datenversendung sind Ihnen bekannt?

Es ist leider richtig, dass Zeichnungen besonders bei kleinen und mittelständischen Zulieferbetrieben eine große Rolle spielen. Kurzfristig sehe ich aber durch die Internet-Technologien eine Chance gerade für kleine Unternehmen. Dies betrifft die Nutzung verschiedener Angebote wie Konvertierungsdienste, ASP für 3D sowie PDM-Integration, 3D-Normteil- und Modellbibliotheken.

Welche Lösungen bietet 1Value an?

Wir sind in der Lage, durch unsere Mitarbeit in Pilotprojekten der OEM unsere Kunden aus dem Zulieferumfeld effektiv und wirtschaftlich orientiert zu begleiten. Wir stellen zudem Internet-Dienste im E-Engineering bereit. be