Viele der heutigen Cyberangriffe resultieren aus Lücken in Betriebssystemen. Häufig kommen im industriellen Umfeld auch noch stark veraltete Betriebssysteme zum Einsatz. Denn gerade in Produktionen werden Maschinen teilweise bis zu 20 Jahre lang betrieben. Diese Geräte sind mit ihren Steuerungssystemen und Komponenten nicht auf die heute gewünschte Konnektivität und Vernetzung mit der Welt oder anderen Maschinen (M2M) ausgelegt. Mit Retrofit-Methoden können auch sie einfach auf den aktuellen Stand der Technik gebracht werden: Dazu werden Sensoren an die Maschine montiert, diese sammeln Daten und senden sie an die Cloud oder ein Edge-Gateway, um frühzeitige Verschleißerscheinungen oder den notwendigen Asutausch von Komponenten zu erkennen. Doch oft wird dabei nicht an die Sicherheit der Geräte und der Retrofit-Lösungen gedacht.
Hier setzt das 2018 gegründete Stuttgarter Unternehmen Asvin an. Das mittlerweile sechsköpfige Team aus Software- und IT-Sicherheitsspezialisten hat sich zum Ziel gesetzt, Sicherheitslücken im Internet der Dinge (Internet of Things, kurz: IoT) zu schließen und internetfähige Geräte dadurch abzusichern und langfristig funktionsfähig zu halten. Diese Mission spiegelt das Start-up auch in seinem aus dem Sanskrit stammenden Firmennamen wider: Das Zwillingspaar Ashvin gilt in der indischen Mythologie als Heiler der Götter. „In Analogie zum Heiler, der die Kranken mit Medizin versorgt, ‚heilen’ wir infizierte und anfällige IoT-Geräte“, erklärt CEO und Co-Gründer Mirko Ross.
Updates und Patches als wichtiger Baustein der Cybersicherheit im Internet der Dinge
Fehlende Updates und Patches in IoT-Software und -geräten gehören mitunter zu den gefährlichsten Cyber-Schwachstellen. Große Unternehmen und Konzerne haben oft eigene Softwarespezialisten im Haus, die die eingesetzten vernetzten Geräte stets mit aktuellen Softwareversionen ausstatten. So sind die Geräte weniger anfällig für offene Schwachstellen.
„Für kleine und mittlere Unternehmen (KMU) ist es bereits eine Herausforderung, sie an das Thema Industrie 4.0 heranzuführen und eine geeignete Produktlösung zu entwickeln. Häufig sind die Firmen froh, den Sprung in die sich rasant vernetzende Industriewelt überhaupt zu schaffen. Schnelligkeit sehen dabei viele als einen besser sichtbaren Wettbewerbsvorteil gegenüber Sicherheit“, erklärt Ross. Die Sicherheit werde dann häufig „auf später“ verschoben.
Software-Updates speziell für IoT-Geräte
Spezialisierte Software-Update-Systeme für IoT-Geräte gibt es bisher kaum. Den finalen Impuls für Asvin, ausgegründet aus dem IT-Dienstleister Digital Worx, gab eine Attacke auf Telefonrouter der Telekom, die im November 2016 Schlagzeilen machte. Mit einer Million betroffenen Geräten war sie die bisher größte in Deutschland. Darin sah Ross mit seinem Geschäftspartner Sven Rahlfs eine Chance: Die eigens entwickelte Software und Infrastruktur distribuiert Security-Updates und Patches für IoT-Devices vom Sender bis zum Endgerät. Damit sind individuelle Update-Rollout-Pläne ebenso möglich wie automatische Updates.
Ein eigenes Start-up sei es geworden, weil das Geschäftsmodell ein völlig anderes sei, erinnert sich Ross. Viele IT-Dienstleister sind auf Lösungen für individuelle Kundenprobleme spezialisiert. Die Technologie für Software-Updates adressiert dagegen vor allem den deutschen Mittelstand, der vernetzte, oft hochspezialisierte Produkte in Stückzahlen von bis zu mehreren tausend im Jahr verkauft. „Das war eine komplett andere Größenordnung“, sagt CEO Ross.
Retrofit bei Verpackungsmaschinenhersteller mit sicherer Datenübertragung
Wie die Umsetzung eines solchen Software-Update-Prozesses aussieht, beschreibt Ross am Beispiel eines aus der europäischen IoT4Industry-Initiative heraus gestarteten Retrofit-Projekts bei Kallfass Verpackungsmaschinen, einem Verpackungsmaschinenhersteller aus dem baden-württembergischen Nürtingen.
Dort wurden die Produktionsmaschinen mit externen Sensoren eines spanischen Herstellers aufgerüstet. Diese können losgelöst von der Steuerungstechnik Informationen der Maschinen auslesen: So wird etwa verzeichnet, wann ein Schweißvorgang stattfindet. Die aufgenommenen Signale werden in eine lokale Recheneinheit vor Ort überführt. Das laufe über einen webbasierten Dienst, der jedoch nur eine Richtung der Signale ermöglicht, wie Ross erklärt: Der Webdienst kann die Sensorsignale empfangen, aber nicht rückführen. „Damit sichern wir die Maschine bei einem möglichen Cyberangriff ab. Der Hacker kann also nicht auf die Produktionsmaschine zugreifen“, betont der IT-Spezialist.
Die Daten selbst können wiederum von einem Cloud-Dienst ausgewertet werden. Dieser stellt individuelle Interfaces und die Daten in übersichtlichen Dashboards zur Verfügung, die dann beispielsweise vom Maschinenbediener über ein Tablet einsehbar sind. Die von Asvin entwickelte Lösung, das Update- und Patch-Management, läuft im Hintergrund. „Quasi over the air“, wie Ross sagt.
„Die entscheidende Frage bei Industrie 4.0 liegt im Geschäftsmodell“
Das gesamte Projekt war für etwa ein Jahr veranschlagt, die technische Umsetzung vor Ort dauerte etwa drei Monate. „Das Spannende an dem Projekt war das Learning and Doing mit dem Kunden gemeinsam. Wir als IT-Sicherheitsanbieter haben agile Softwareentwicklung erst über Testbeds und später vor Ort betrieben und gemeinsam mit Kallfass das Engineering geleitet. Der Kunde wiederum hat sich mit potenziellen Endkunden zusammengesetzt und deren Anforderungen eingeholt. Denn durch den Retrofit bot sich für Kallfass die Möglichkeit, auch digitale Produkte anzubieten. Die entscheidende Frage bei Industrie 4.0 liegt letzten Endes nicht in den technischen Möglichkeiten, sondern im Geschäftsmodell“, erzählt Ross.
Die Investitionskosten für das gesamte Projekt liegen im niederen sechsstelligen Bereich. „Ist eine solche Änderung jedoch einmal umgesetzt und die Infrastruktur vorhanden, können einfach weitere Maschinen angebunden oder neue Möglichkeiten angedacht werden. Die Kosten für den Cloud-Dienst belaufen sich auf weniger als 5.000 Euro pro Jahr“, beziffert Ross.
Sichere Daten als Basis für IoT-Projekte
Mit Kallfass hat das Stuttgarter Start-up seinen ersten KMU-Use-Case umgesetzt. Weitere sind schon angedacht. „In IT-(Sicherheits-)projekten hängt viel auch von einer guten Kommunikation mit den Beteiligten ab. Bei kleinen und mittleren Unternehmen können im Gegensatz zu Konzernstrukturen häufig schneller Entscheidungen getroffen werden, da man sich etwa direkt mit der Geschäftsleitung abstimmt, das vereinfacht die agile Arbeitsweise“, so Ross.
Derzeit arbeiten Ross und sein Team in einem gemeinsamen Forschungsprojekt mit dem KIT daran, sogenannte individuelle Fingerabdrücke für vernetzte Geräte zu entwickeln. Denn häufig fehle der Überblick, welche Geräte sich in einem Netzwerk befinden. Hierbei kommt auch die Blockchain in Spiel, um die Datenkommunikation sicher zu machen. „Denn sichere Daten sind die Basis für IoT-Projekte“, ist Ross überzeugt.
Kontakt:
Asvin GmbH
Schulze-Delitzsch-Straße 16
70565 Stuttgart
www.asvin.io
Ebenfalls interessant:
