Freitag, 5. Oktober 2018

HANSESAFETY: Der digital-vernetzte TÜV für die digital-vernetzte Industrie 4.0

HAMBURG DIGITAL REPORT

Es ist die 2. Welle der Digitalisierung: Nach Information und Kommunikation mit Medien und Marketing rollen vernetzte Technologien über Produktion und Logistik hinweg. Digitale Industrie- und Verkehrsanlagen verändern Standorte, Fabriken und Transportwege. Sensoren für Maschinen und Geräte sind preiswert geworden, Datenpakete wachsen exponentiell an, Software für die Auswertung mittels künstlicher Intelligenz wird extrem leistungsfähig. 


Elektrifizierung und Automatisierung finden nach 20 Jahren in Digitalisierung und Transformation ihre nächsten evolutionären Schritte. Der TÜV Nord ist mit 150 IT-Security-Spezialisten seit jeher eine der IT-relevanten Prüforganisationen im TÜV-Verbund. Kraftwerksleittechnik, Bahntechnik, Kreditkartensicherheit oder kritische Infrastrukturen - wie Daten- oder Stromnetze - stehen auf der Tagesordnung des 13.000 Mitarbeiter großen Konzerns aus Hamburg, Hannover und Essen mit über 100 Gesellschaften in 70 Ländern. Ein Hamburg Digital Report:

"Ich glaube, es hat sich nichts geändert in den letzten 20 Jahren", überrascht Ulf Theike, verantwortlich für die Transformation im Bereich Industrie Service des TÜV Nord. Statt von einer Revolution zu sprechen, argumentiert der seit 2008 beim TÜV Nord als Geschäftsführer engagierte Volkswirt mit einer Evolution. Sein Bereich Industrie Service ist von der Digitalisierung jetzt betroffen: von den Elphi-Aufzügen bis zu Windrädern in Schleswig-Holstein, vom Pizzawerk in Wittenburg bis zum Kohlekraftwerk in Moorburg. Als verantwortlicher Manager für Transformation kümmert sich der Münsteraner um die Steuerung des Innovations-; Akkreditierungs- sowie des globalen Prozessmanagements.


Digitalisierung - ein unverzichtbarer Baustein der TÜV Nord-Strategie
Bild: TÜV Nord

Schon vor 10 Jahren beschäftigte sich der Familienvater beim TÜV Süd als Leiter Innovationen mit dem "heissen Scheiss". Datenschutz und IT-Security fesseln ihn damals wie heute, 'Welche Normen und Regeln gelten in welchem Markt?' Nur eine Schlüsselfrage für den langjährigen Tech-Vordenker. Seine These von '20 Jahren Kontinuität' begründet er mit der unveränderten Nutzung von Hardware und Software, von Sensorik und Daten sowie ihrer Auswertung. Allerdings haben sich der technische und wirtschaftliche Rahmen verändert. Neue Bedingungen ermöglichen neue Geschäftsmodelle und Produkte - und sie bedeuten neue Herausforderungen auch für die Produktprüfung des TÜV.

Wehe die online-vernetzte Insulinpumpe wird gehackt.

Beispiel Medizinprodukte: eine elektrische Insulinpumpe. Sie erspart Diabetikern täglich erforderliche Spritzen und Stifte zur Insulingabe. Längst sind die kleinen Geräte am Hosengürtel ausgestattet mit Bluetooth und WLAN. Neben der Safety-Frage zu mechanischer und elektrischer Sicherheit der lebenserleichternden Pumpen stehen nun auch Fragen der Security für die Prüfer des TÜV auf der Tagesordnung: Können die Insulinpumpen gehackt werden? Können die Programme zur Messung und Abgabe des Insulins manipuliert werden? Gefährden die technischen Möglichkeiten womöglich das Leben von Nutzern? Ging es bislang vor allem und mechanische und elektrische Sicherheit, werden die Prüfer zunehmend auch zu IT-Security-Spezialisten.


Accu-Chek Insulinprüfer mit Wireless-Adapter zur Mysugr-App
Foto: Accu-Chek/Roche

Das Problem für die Prüfer von Industrie- und Haushaltsartikeln: Bis heute gibt es keine verbindlichen Standards für die Industrie-, wie für die Massenproduktion von digital-vernetzen Produkten. Zwar gibt es die Common Criteria für IT-Produkte. Doch die Modelle, Anforderungen und Zertifizierungen gelten vornehmlich für Sicherheit auf Staatsschutz-Niveau. Für den berühmt-berüchtigten Kühlschrank mit WLAN wäre das Werk wie Kanonen auf Spatzen. Um der Flut online-vernetzter Industrie- und Gebrauchsgüter Herr zu werden, hat man sich beim TÜV ein eigenes Vorgehen erarbeitet. Mit "Security4Safety" setzt der TÜV auf ein Team mit einem Regelwerk, die mit einer Sprache sprechen.

Ulf Theike: "Wir haben das Thema für Sie geregelt."

Bei vielen Herstellen sind Produkt und Vernetzung - sprich Software, Daten und Services - bislang getrennt. Dass das nur bedingt Sinn macht, weiß man beim TÜV Nord seit mehr als 20 Jahren. Solange prüft die TÜV-Tochter IT Informationssicherheit mittlerweile Chiphersteller wie Chipkartenproduzenten, Hardware- und Softwarehersteller, Banken und Versicherungen. Zu den Referenzen zählen u. a. der auch in Hamburg beheimatete Chipriese NXP sowie Microsoft. So sind die Ingenieure beim TÜV auch für die IT-Security serienmäßig mit verantwortlich, sei es nach eigenen Regelwerken (IT-Security) oder dem Stand der Technik (Safety+IT-Security).


Weiterbildung der Mitgarbeiter für den digitalen TÜV.
Foto: TÜV Nord/Udo Geisler

Für den TÜV Nord bedeutet Digitalisierung jedoch weit mehr, als Kühlschränke und Toaster sowie Aufzüge und Windkraftanlagen sicher gegen Hackerangriffe zu machen. Intern bestimmen papierlose Prozesse den Zertifizierer mit seinen drei großen Standorten in Essen, Hannover und Hamburg. Portale, Onlinetools und Schnittstellen zu Kundensystemen gehören zum Arbeitsalltag von Ulf Theike und seinem Team. Waren es bisher Ingenieure, die beim TÜV für Sicherheit sorgten, kommen zunehmend IT-Spezialisten oder Cybersecurity-Experten in gemischten Teams hinzu. "Wir müssen alle Mitarbeiter auf eine Reise der Weiterbildung mitnehmen", pointiert der frühere DNV GL-Experte die Herausforderungen des TÜV mit seinen Mitarbeitern von China über Indien bis nach Brasilien.

Daten kommen zum Prüfer statt Prüfer gehen zur Technik

Die für Techis wirklich spannenden Veränderungen finden bei der Prüfung von Anlagen und Geräten statt. In der Vergangenheit galt hier: Die Prüfer gehen zur Technik - und prüfen. Das Problem: Mit der klassischen Methode - bekannt aus Kfz-Haupt- und Abgasuntersuchung - ist Sicherheit nur zu einem bestimmten Zeitpunkt feststellbar. Mit digital-vernetzten Industrieanlagen und -geräten kommen die Daten zu den Prüfern. Wie beim Schiffsklassifizierer kann der Zustand technischer Anlagen so an 7 Tagen der Woche rund um die Uhr festgestellt werden. Das "Lifecycle Monitoring" läuft bereits an den Containterbrücken eines Hamburger Terminalbetreibers mittels vernetzter Teststreifen. 


Digitale Aufzugsprüfung durch eine TÜV-Expertin.
Foto: TÜV Nord/Hauke Haas
Außerdem laufen rd. 30 Aufzugsanlagen testweise im Echtzeitmonitoring. Immer mehr Anlagen werden von den Herstellern vorgerüstet, so dass die Daten zu den Prüfern auf den Monitor kommen können. Somit stellen sich für die Experten in der technischen und digitalen Prüfung neue Fragen: 'Welche Daten werden für die Prüfung benötigt? Und wie können wir sicher sein, dass die Daten echt sind?' Heute hat die Vor-Ort-Prüfung im Schnitt rd. 70 Prüfpunkte, die abgearbeitet werden. Welche Punkte können künftig rund um die Uhr beobachtet werden? Erste Erfahrungen zeigen: Rund 1/3 der Inspektion können remote erfolgen, rd. 2/3 bleiben der Vor-Ort-Besichtigung vorbehalten.

Daten: "Das Recht kann nur bei demjenigen liegen, der die Daten erzeugt."

Um gemischte Services anzubieten und die Prüfung von Produktions- und Transportanlagen auf eine neue Stufe zu heben, bedarf es einheitlicher Schnittstellen für einen normierten Zugang zu gesicherten Daten. Bislang gibt es keine Regelung zu digital-vernetzten Industrieanlagen vom Typ 4.0. Damit stellt sich die Glaubwürdigkeitsfrage für zugelieferte Daten. Der TÜV-Experte schlägt für dieses Thema ein Trustcenter vor, das keine eigenen Interessen verfolgt, wie globale Datensammler aus der Kategorie Amazon, Facebook, Google & Co. Ulf Theike hat noch mehr Wasser für den Wein: Wer ist der Eigentümer der Daten? Der Hersteller, der Betreiber oder der Nutzer von Maschinen oder Geräten?


Kompetenz des TÜV Nord mit eigenen Rechenzentren.
Foto: TÜV Nord

Für persönliche Daten ist die Antwort aus Sicht des Experten klar: "Das Recht kann nur bei demjenigen liegen, der die Daten erzeugt hat." Beispiel: Der Patient als Nutzer von "Vivy" oder "TK-Safe", den digitalen Gesundheitsakten der Krankenkassen. Auch beim Autofahren sollte klar sein; Nicht BMW, Daimler, Ford, Opel oder VW gehören die Daten - sondern dem Autofahrer. Im B-2-C steht für den TÜV-Mann fest: Persönlichkeitsrechte vor Industrieinteressen. Doch bei Industrieanlagen wird es schon kniffliger: Längst gibt es Personenerkennungssysteme in Aufzügen, werden SIM- und Handydaten im WLAN ausgelesen. Das beginnt bei Kamerasystemen für den Notruf und endet in neuen Geschäftsmodellen von Otis, Schindler oder Thyssen-Krupp.

Schutzorganisation der Verbraucher, nicht der Hersteller.

"Es darf nicht jeder in Europa seinen ökonomischen Gelüsten nachkommen und gegen Persönlichkeitsrechte verstoßen"; warnt der Kenner. Kein Wunder: Sind die Technischen Überwachungsvereine doch entstanden, weil industrielle Güter Gefahren ins sich bergen. Und der TÜV stellt sich als Schutzorganisation der Verbraucher auf. So fordert Ulf Theike als Top-Manager des TÜV Nord ein Trust-Center für neue, datenseitig heikle Themen, wie Autonomes Fahren oder Medizinprodukte. Diese sollten behördlich betrieben - oder auch in Partnerschaft mit den zur Neutralität verpflichteten TÜV-Organisation. Gerade bei Medizinprodukten nimmt die Datenrelevanz mit Patientendaten zu.


Der TÜV Nord in Hamburg-Stellingen
Foto: TÜV Nord

In Hamburg und Essen arbeiten unter dem gebürtigen Münsteraner allein 15 Digitalexperten im eigenen Innovation Center - neben den Digital Academys zur Weiterbildung mit jeweils rd. 250 Trainingsexperten. Als ein spannendes Thema aus seinem Bereich nennt der Experte z. B. Next Reality mit AR und VR, die Blockchain-Technologie und den 3D-Druck. 'Wie kann man sicher gehen, dass der Drucker tatsächlich unverfälschte CAD-Zeichnungen bekommen hat, um einwandfreie Teile aus Kunststoff oder Metall zu drucken?' Genau daran arbeiten Technologie-Experten und Sachverständige aus der Prüfung Hand in Hand in den beiden Innovation Centern an Alster und Ruhr. 

Die Frage: "Wie stellen wir wieder ganzheitliche Sicherheit her?" 

Es gibt tausende von Angriffen auf Industrieunternehmen - jeden Monat. Desto vernetzter die Unternehmen, desto höher die Gefahr, wie der "No Petya"-Angriff durch ein Softwareupdate in der Personalabteilung einer ukrainischen Beiersdorf-Tochter beweist. Die Folge: 4,5 Tage weltweiter Produktionsausfall und rd. 35 Mio. Schaden - laut offizieller Angaben. Wie können Experten vom TÜV zusammen mit Herstellern wieder ganzheitliche Sicherheit herstellen? Dabei ist das Bundesamt für Sicherheit in der Informationstechnik nicht immer nur hilfreich. Vielmehr sehen die Sachverständigen einen zunehmenden Trend des BSI, in den Bereich Akkreditierungen und Zertifizierungen zu gehen. Neue Konkurrenz seitens des Staates?

Digitale Prüfiung am PC beim TÜV Nord.
Foto: TÜV Nord/Koyou

Der TÜV-Experte hält dagegen: "Wir prüfen gegen anerkannte ökonomische Risiken." Damit nicht genug: In Zukunft werden Prüfer vor Ort ebenso präsent sein, wie Informatiker, die z. B. kritische Infrastrukturen prüfen. Gerade die kritischen Infrastrukturen werden zunehmend entscheidender. Schon heute gibt es in Deutschland rund 1.800 sogenannte "KRITIS"-Unternehmen - Tendenz steigend. Das Thema digital-vernetzter Unternehmen und ihrer datenbasierter Produkte und Services nimmt weiter zu. Der TÜV bietet deshalb Unternehmen auch an, vor Ort von der Digital Academy fit gemacht zu werden. Gut zu wissen, dass der TÜV dabei ist, Hersteller und Verbraucher in der digitalen Welt nicht allein zu lassen.

 Hamburg Digital Background: 


TÜV Nord - Innovation Space, Hamburg:
tuev-nord.de/explore/de/erzaehlt/innovationskultur-tuev-innovation-space/

TÜV Nord - Digitalisierung am Beispiel V2X:
tuev-nord.de/de/privatkunden/ratgeber-und-tipps/technik/digitalisierung/

TÜV Nord - Digitalisierungsstudie 2018 Automotive:
tuev-nord.de/de/unternehmen/verkehr/autohaus-und-werkstatt/effizienz-steigern/tuev-nord-digitalisierungs-studie-2018/ 

TÜV Digital Academy für Mitarbeiter:
tuev-nord-group.com/leitbild/digital-academy/

TÜV IT in der TÜV Nord Gruppe, Essen:
tuvit.de

--

HANSEPERSONALITY 
BSI-Präsident Arne Schönbohm: "Die Lage ist ernst."

Common Criteria in der Wikipedia:
de.wikipedia.org/wiki/Common_Criteria_for_Information_Technology_Security_Evaluation