Paradigmenwechsel erforderlich »Keiner kann Industrie 4.0 in einer Disziplin solitär lösen«

Prof. Peter Liggesmeyer, 
Fraunhofer IESE und GI

»Meiner Ansicht nach müssen wir die Zertifizierung von geschlossenen, statischen Systemen zur Entwicklungszeit ersetzen durch eine Zertifizierung von offenen, dynamischen Systemen zur Laufzeit.«
Prof. Peter Liggesmeyer, Fraunhofer IESE und GI: »Meiner Ansicht nach müssen wir die Zertifizierung von geschlossenen, statischen Systemen zur Entwicklungszeit ersetzen durch eine Zertifizierung von offenen, dynamischen Systemen zur Laufzeit.«

Prof. Peter Liggesmeyer ist geschäftsführender Leiter des Fraunhofer-Instituts für Experimentelles Software Engineering IESE und Präsident der Gesellschaft für Informatik. Er erklärt seine Sicht auf Industrie 4.0 warum es einen Paradigmenwechsel in der Zertifizierung geben muss.

Markt&Technik: Wie ist Ihre Sicht auf die »deutsche« Industrie 4.0 vor dem Hintergrund der aktuellen Entwicklungen? 
Prof. Peter Liggesmeyer: Ich bin überzeugt davon, dass wir insgesamt gut positioniert sind. Zu den allgemeinen Kritikpunkten will ich nicht im Einzelnen einsteigen. Ich bin der Ansicht, dass Deutschland einen Vorteil daraus schöpft, dass wir uns weitgehend die Industrialisierung erhalten haben, während einige andere Länder inzwischen de-industrialisiert sind. Das heißt, wir haben in Deutschland und Europa die Nase insgesamt vorne. 

Nun haben aber bekanntlich die USA die Nase vorne, wenn es um Software-Themen geht. 
Industrie 4.0 hat natürlich einen starken Software-Bezug, aber nicht nur. Es geht darum, die technologische Basis für Industrie 4.0 vorhalten zu können und beides intelligent zu verbinden: die technischen Systeme auf der einen und die Informationssysteme auf der anderen Seite. Es gibt sicher gewisse Vorteile bei den Informationssystemen in den USA und auch in Asien. Dafür sehe ich uns aber bei der Technologie vorne. Wir haben auch mehr Übung darin, diese beiden Welten zu verbinden. 

Sie sprechen einen kritischen Punkt an: Für Industrie 4.0 müssen unterschiedliche Disziplinen kooperieren, die bislang wenig miteinander zu tun hatten. Da geht einiges durcheinander, so zumindest mein Eindruck, obwohl eigentlich besser alle involvierten Disziplinen an einem Strang ziehen sollten.
Das ist in der Tat so und hängt auch damit zusammen, dass dem Begriff »Industrie 4.0« keine eindeutige Definition zugrunde liegt und insofern Interpretationsspielraum bleibt. Industrie 4.0 ist für mich mit dem Ziel verbunden, massenindividualisierte Produkte herzustellen. Um dieses Ziel zu erreichen, müssen sich Industrie-4.0-Systeme – und das sind nicht nur Produktionsanlagen – auf Basis von Daten autonom rekonfigurieren können.

Aber lassen Sie mich dazu etwas ausholen: Seit Henry Ford gilt als Credo das Massenprodukt. Das heißt, man fertigt möglichst viele gleiche Produkte, denn erst dann lohnt sich die Fertigung. Aber es ist völlig klar, dass Massenprodukte nicht das sind, was das Individuum will. Dieses möchte etwas, was auf den eigenen Geschmack zugeschnitten ist, also ein individualisiertes Produkt. Wenn es einem Hersteller nun gelingt, so etwas in größeren Mengen zu fertigen, dann ist das ein massenindividualisiertes Produkt. Dieses Prinzip gibt es nicht nur in der Produktion, sondern auch in vielen anderen Bereichen, wie etwa bei Versicherungen, die ihren Kunden individuellere Verträge anbieten wollen! 

Zum einen müssen sich die Herstellungsprozesse möglichst autonom konfigurieren, um massenindividualisierte Produkte anbieten zu können. Ich kann ja nicht für jedes einzelne Produkt meine Fertigung umbauen. Massenindividualisierung ist also nicht ohne Autonomie möglich, und das erfordert, dass sich die Maschinen miteinander unterhalten müssen – so hält das Thema Kommunikation in die Fertigung Einzug. Dass Maschinen IP-Adressen erhalten, ist damit Mittel zum Zweck. Aber das alleine ist auch noch keine Industrie 4.0, eine IP-Adresse ist beispielsweise auch für Ferndiagnose und ggf. Fernwartung erforderlich. Aber eine Anlage, die aus der Ferne diagnostiziert werden kann, ist noch nicht zwingend Industrie 4.0.   

Zum anderen braucht die Fertigung Information darüber, was der Kunde eigentlich wünscht. Das bedeutet, dass die Produktionsumgebung geöffnet werden muss, z.B. zum Internet, denn das wird in aller Regel der Weg sein, auf dem die Kundenwünsche eingehen. Das Internet kann also nicht mehr vollständig von der Produktionsumgebung getrennt werden.

Ergo: Sie müssen notwendigerweise bestimmte Daten bis in die technische Ebene leiten, damit die Maschinen sich entsprechend konfigurieren können. Daraus ergeben sich beispielsweise auch Sicherheitsrisiken.  

Ohne Daten aus und im Internet gibt es also keine Industrie 4.0. Aber die Datensicherheit schürt noch höchste Bedenken. Besonders seit der NSA-Affäre gilt die Prämisse: Nichts ist absolut sicher. Sehen Sie das auch so? 
Ja, dem stimme ich zu. Nichts ist ohne Restrisiko, das ist uneingeschränkt richtig. Die Frage ist vielmehr: Wie drücke ich die potenziellen Risiken auf ein Niveau, das akzeptabel ist? Wie erreiche ich die richtige Balance aus Integration einerseits und Trennung andererseits? Das bedeutet, dass wir eine gemeinsame Betrachtung von Security und Safety brauchen. Wir reden seit Bekanntwerden der NSA-Affäre sehr viel von Datensicherheit – das ist aber nur die halbe Miete. Eine reine Software ist ja niemals sicherheitskritisch im Sinne von Safety. Sie wird erst potentiell gefährlich durch die Integration von Sensorik und Aktuatorik und die dadurch mögliche Ansteuerung von mechanischen Komponenten. Security und Safety können getrennt voneinander recht gut adressiert werden. Im Safety-Bereich gibt es Standards, die das Thema Betriebssicherheit für Automotive, Bahntechnik etc. beantworten. Und es gibt Standards für Security. Aber es gibt aktuell keine wirklich guten Lösungen, von Standards ganz zu schweigen, die beides im gemeinsamen Kontext betrachten: Es muss eine Integration aus Security und Safety stattfinden, damit Industrie 4.0 erfolgreich wird. Wer diese Nuss als Erster knackt, ist klar im Vorteil. Als Vertreter der Forschung sehe ich uns hier in der Pflicht, zu Lösungen beizutragen.

Was passiert, wenn jemand meine Produktionstechnik hackt und die Parameter so verstellt, dass Anwendungen – z.B. Maschinen, die vorher betriebssicher waren –, plötzlich gefährlich werden?
Das wäre ein sprichwörtlicher Super-Gau, der grundsätzlich nicht auszuschließen wäre. Deshalb brauchen wir Lösungen, wie wir Security als Einflussfaktor auf Safety in den Griff bekommen. Man kann die beiden Bereiche nicht jeweils für sich optimieren, weil so Wechselwirkungen nicht erkannt werden können. 

Was schlagen Sie also vor?
Wir arbeiten an diesem Thema schon seit Jahren. Es gibt Möglichkeiten, Verfahren zu integrieren, aber das ist Gegenstand der Forschung und noch nicht Stand der Praxis. Im Security-Bereich gibt es Regelwerke, genauso wie im Safety-Bereich. Wer zum Beispiel ein neues Verkehrsflugzeug zulassen will, muss sich nach den gängigen Standards richten. 

Meiner Ansicht nach müssen wir die Zertifizierung von geschlossenen, statischen Systemen zur Entwicklungszeit ersetzen durch eine Zertifizierung von offenen, dynamischen Systemen zur Laufzeit. Damit meine ich: Das System muss selbst entscheiden können, ob eine Re-Konfiguration sicher ist. Wir müssen die Systeme ertüchtigen, das zu tun. Eine Zertifizierung zur Laufzeit muss das System selbst leisten, und das Ergebnis muss mindestens so gut sein, wie es ein Mensch an dieser Stelle geleistet hätte.