Thema: Digitale Transformation – Evolution, Innovation, Disruption

11:40 - 12:25 Uhr

Sicherheitszertifizierung für die Digitale Transformation: Erfahrungsbericht zum Industrial Data Space (Vortragssprache: Deutsch)

Prof. Dr. Jan Jürjens,
Dr. Jan Cirullies
Fraunh. Inst. f. Software- u. Systemtechn. ISST


Sicherheitszertifizierung für die Digitale Transformation: Erfahrungsbericht zum Industrial Data Space

Der Vortrag präsentiert die Herausforderungen und zugehörige Lösungsansätze für die Qualitätssicherung und Sicherheitszertifizierung von sicherheitskritischer Software im Kontext des "Industrial Data Space", einer unternehmensübergreifenden Initiative unter Beteiligung der Fraunhofer-Gesellschaft mit dem Ziel der Entwicklung einer Plattform als Enabler für Datenorientierte Geschäftsmodelle und Big Data as a Service, um die digitale Souveränität über Daten und Dienste für Wirtschaft und Gesellschaft zu ermöglichen. Die Initiative wird getragen von der Anwendervereinigung IDS e.V.. Als beispielhafte Use-Case-Szenarien werden Erfahrungen von Anwendungen der Sicherheitszertifizierung in Bereichen wie Logistik & Industrie 4.0 präsentiert.

Kontext und Hintergrund:
Die Digitalisierung ist die zentrale gesellschaftliche, betriebswirtschaftliche und technologische Entwicklung. Vor dem Hintergrund der Herausforderungen der digitalen Transformation hat sich Ende 2014 die Initiative »Industrial Data Space« zusammengefunden, um die digitale Souveränität über Daten und Dienste für Wirtschaft und Gesellschaft zu erhalten. Die Initiative wird getragen von Unternehmen in Partnerschaft sowie den zuständigen Bundesministerien, namentlich dem Bundesministerium für Bildung und Forschung (BMBF), dem Bundesministerium für Wirtschaft und Energie (BMWi), dem Bundesministerium des Innern (BMI) und dem Bundesministerium für Verkehr und digitale Infrastruktur (BMVI).

Eine Softwarekomponente, welche in der Cloud oder dem Industrial Data Space eingesetzt wird, muss entsprechend der Richtlinien der jeweiligen Verbände sowie nach gesetzlich festgelegten Standards zertifiziert werden. Dies ist ein aufwändiger und fehleranfälliger Prozess, der für jede Änderung an der Softwarekomponente erneut durchgeführt werden muss.

Unser Sicherheitsmodellierungs- und Analysewerkzeug CARiSMA bietet Ansätze, die in einer teilautomatisierten und effizienten Erstzertifizierung angewendet werden können und auch bereits exemplarisch im Rahmen des Cloud-Computing angewendet wurden. Basierend auf diesen Ansätzen werden in dieser Arbeit die Anforderungen und Abläufe einer automatisierten Zertifizierung und Rezertifizierung von Software anhand des Beispiels des Industrial Data Space erörtert.

Zunächst wird in diesem Vortrag der Industrial Data Space vorgestellt und dessen Eigenschaften charakterisiert und anschließend die Anforderungen an eine Zertifizierung erörtert. Auf diese Erörterung folgend wird gezeigt, welche dieser Anforderungen bereits von bestehenden Technologien von CARiSMA abgedeckt werden und nachfolgend ein Konzept für eine Erstzertifizierung sowie später eine Erweiterung um eine Rezertifizierung vorgestellt. Im letzten Abschnitt werden die Vorteile, Herausforderungen sowie unser Ansatz für eine automatisierte (Re-)Zertifizierung zusammengefasst.

Bei unternehmensübergreifenden Geschäftsprozessen im Industrial Data Space und dem damit verbundenen Austausch von Daten sind verschiedene Compliance-Auflagen zu berücksichtigen. Es muss geprüft werden, welche Daten und in welcher Form das Unternehmen verlassen dürfen sowie zu welchen Zwecken diese Daten verwendet werden dürfen. Dürfen die jeweiligen Daten das Unternehmen verlassen, so kann z. B. abhängig vom Verwendungszweck eine Anonymisierung notwendig sein. Sämtliche in diesem Prozess beteiligten Komponenten von der Entscheidungsfindung, über die Anonymisierung und Übertragung bis zur Datenverarbeitung müssen per Zertifikat belegen, dass diese die jeweils gültigen Richtlinien und Normen einhalten.

Allgemein werden solche Zertifizierungen in der Industrie nach manueller Analyse unter Zuhilfenahme von normalsprachlichen Leitfäden oder Prüfkatalogen erstellt. Speziell zur Zertifizierung von Software-as-a-Service-Lösungen entwickelt der Verband der Cloud-Services-Industrie in Deutschland (EuroCloud Deutschland eco) ein Gütesiegel und einen zugehörigen Prüfkatalog. Vergleichbare Zertifizierungen werden vom Industrial Data Space e.V. für einen Datenaustausch zwischen Unternehmen angestrebt und zurzeit entwickelt. Relevante allgemeinere Sicherheitsstandards für Cloud-Computing, den Industrial Data Space und andere IT-Anwendungen sind das „Statement on Auditing  Standards (SAS) Nummer 70 Typ II“ und das ISO-Zertifikat 27001. Medizinische Produkte müssen z. B. neben diesen Standards auch nach der EU Richtlinie 93/42/EWG bzw. deren nationalen Umsetzungen zertifiziert werden.

Aus diesen Vorbildern und gesetzlichen Standards ergibt sich die Notwendigkeit einer Sicherheitszertifizierung der verwendeten Komponenten als wichtiger Bestandteil des Industrial Data Space, um eine sichere Kommunikation sowie Datenaustausch zu ermöglichen.

Für solch eine Sicherheitszertifizierung im Industrial Data Space wurden von der Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. sechs Hauptaspekte identifiziert:

  • Verbindungssicherheit gegen Manipulation und Abhören der übertragenen Daten.
  • Identitätsnachweis zwischen den jeweiligen Kommunikationspartnern.
  • Datennutzungskontrolle zur Einhaltung von Standards zur sicheren Speicherung und Verarbeitung sowie Richtlinien zur Nutzungsdauer und Weitergabe von bereitgestellten Daten.
  • Sichere Ausführungsumgebung zur Einhaltung von Sicherheitsleveln auf unterschiedlichen Plattformen.
  • Remote Attestation der Einhaltung von Löschungsfristen und der Feststellung eines vertrauenswürdigen Zustandes des Gegenübers.
  • Applikation Layer Virtualisierung für die Auslagerung von Teilsystemen in die Cloud.

Zur Zertifizierung einer Komponente unter Berücksichtigung dieser Aspekte müssen vielfältige Eigenschaften berücksichtigt werden. Wird solch eine Zertifizierung ohne eine Werkzeugunterstützung durchgeführt, ergibt sich daraus ein langwieriger und fehleranfälliger Prozess. Der Vortrag stellt daher einen werkzeuggestützten Ansatz vor, der hier unterstützt.

Prof. Dr. Jan Jürjens, Fraunhofer Institut für Software- und Systemtechnologie ISST

Jan Jürjens ist Director Research Projects am Fraunhofer Institut für Software- und Systemtechnologie ISST und Professor für Software-Engineering an der Universität Koblenz-Landau. Er studierte Mathematik an den Universitäten Bremen und Cambridge, promovierte in Informatik an der Universität Oxford und war als Postdoc an der TU München tätig. Vor seiner Tätigkeit in Koblenz zuletzt Professor an der TU Dortmund sowie Royal Society Industrial Fellow bei Microsoft Research (Cambridge) sowie non-stipendiary Research Fellow am Robinson College (Universität Cambridge) und wurde dort 2009 zum Senior Member ernannt. Er ist Autor des Buches "Secure Systems Development with UML" (Springer-Verlag 2005, chinesische Übersetzung 2009).

Dr. Jan Cirullies, Fraunhofer Institut für Software- und Systemtechnologie ISST

Dr.-Ing. Jan Cirullies, 1984 geboren in Dortmund, leitet seit März 2017 die Abteilung Digitization in Logistics am Fraunhofer-Institut für Software- und Systemtechnik ISST in Dortmund. 2009 und 2012 hat er an der Technischen Universität Dortmund die Studiengänge Logistik (Dipl.-Logist.) und Wirtschaftswissenschaften (Dipl.-Kfm.) abgeschlossen. Den Doktorgrad der Ingenieurwissenschaften hat ihm die Fakultät Maschinenbau an der Technischen Universität Dortmund 2016 verliehen.

Zunächst als Stipendiat und dann als Mitarbeiter der Fraunhofer-Gesellschaft hat Cirullies 2009 seine Karriere am ebenfalls in Dortmund ansässigen Fraunhofer-Institut für Materialfluss und Logistik IML begonnen. Dabei lag sein wissenschaftlicher Fokus auf der methodischen Entwicklung des Supply Chain Design und Supply Chain Planning sowie auf der Entwicklung auf ereignisdiskreter Simulation beruhender logistischer Assistenzsysteme. 2013 wechselte Cirullies in die neugegründete Abteilung Informationslogistik und Assistenzsysteme am Fraunhofer IML, in der er die Verantwortung für die Themen Simulation und Assistenzsysteme ergriff. Mit der Übernahme der Abteilungsleitung am Fraunhofer ISST im März 2017 treibt Cirullies sowohl das Digital Business Engineering im logistischen Umfeld als auch entsprechende IT-Lösung und Methoden wie Beacons, dezentrale IT-Architekturen, der Industrial Data Space oder Machine Learning voran.