Header_Digital_Twins_Blogartikel_klein

Digitale Zwillinge und ihr Potenzial für sichere Betriebstechnik (OT)

Ein digitaler Zwilling ist ein virtuelles Abbild eines realen Systems oder Geräts. Er begleitet sein physisches Gegenstück während seines gesamten Lebenszyklus. Tests, Optimierungsverfahren und Fehlersuche können zunächst auf dem Zwilling durchgeführt werden, ohne die eigentliche Anlage (die zu diesem Zeitpunkt vielleicht noch gar nicht existiert) einzubeziehen. In diesem Artikel möchte ich Ihnen einige Empfehlungen geben, wie Sie dieses Potenzial nutzen können, um den Stand der OT-Sicherheit (Operational Technology Security) zu verbessern, z. B. in der Fertigungs- oder Gebäudeautomatisierung.

Hoffnung auf bessere und sicherere OT-Systeme

Sicherheit gewährleisten bedeutet häufig, dass Sicherheitstests durchgeführt oder neue Sicherheitskontrollen für ein System eingeführt werden. Die Aufrechterhaltung eines hohen oder zumindest ausreichenden Sicherheitsniveaus ist eine Herausforderung, vor allem, wenn das geschützte System über einen langen Zeitraum im Feld betrieben werden muss, z. B. bis zu 25 und mehr Jahre in der Fertigungsindustrie. Ein digitaler Zwilling kann hier die Lösung sein: Er ermöglicht die Durchführung vieler simulierter Sicherheitstests, ohne dabei auf das reale System zugreifen zu müssen [1]. Diese Sicherheitstests können automatische, periodische Tests oder Penetrations- und Systemtests umfassen. Ein System kann auf Fehlkonfigurationen in der Hard- und Software geprüft werden. Die Durchführung dieser Tests am digitalen Zwilling bietet den Vorteil, dass genauer eingeschätzt werden kann, wie sich das System in der Realität verhalten könnte. Außerdem hat eine Beschädigung des digitalen Zwillings keine Auswirkungen auf den Betrieb, da der Zwilling einfach zurückgesetzt werden kann. Ein weiterer Anwendungsfall für digitale Zwillinge in der OT-Sicherheit sind Systeme zur Erkennung und Vermeidung von Angriffen (eng. Intrusion-Detection- und Intrusion-Prevention-Systems), die Netzwerke auf bösartige Aktivitäten überwachen. Für das Training ihrer Erkennungsmechanismen sind große Datenmengen erforderlich, die digitale Zwillinge produzieren und somit beim Training der Intrusion-Detection-Systeme vor ihrem Einsatz helfen können.

Echte Digital Twins sind schwer zu finden

Dennoch sind die Einsatzfelder digitaler Zwillinge zur Verbesserung der Sicherheit (und für allgemeine Zwecke) derzeit begrenzt. Ein echter digitaler Zwilling benötigt kontinuierlich hochauflösende Daten. Ein solcher Datenstrom hat verschiedene Quellen und ändert sich während des Lebenszyklus des Systems. Zunächst können die Daten aus Konstruktions- und Entwicklungswerkzeugen stammen; später werden sie vom System während seines Betriebs im Feld generiert. Daten mit ausreichend hoher Auflösung und in ausreichender Menge (Stichwort Big Data) sind der Schlüssel für viele Anwendungsfälle des digitalen Zwillings. In der Forschung gibt es viele Testumgebungen, die Simulationstechniken verwenden, um ein reales Gegenstück zu imitieren [2]. Es ist jedoch schwierig, eine Bewertung zu finden, die wirklich zeigt, wie genau sie ihr reales Gegenstück nachbilden [3]. Die Suche nach einer Methode, mit der eine ausreichend hohe Datenauflösung (bekannt als Fidelity) erreicht werden kann, ist eine Forschungsfrage, die – zumindest im Moment – noch nicht gelöst ist. Dies sollte bei der Betrachtung möglicher Anwendungsfälle für digitale Zwillinge für die OT-Sicherheit berücksichtigt werden [4].

Abb. 1: Simulation des Fraunhofer AISEC, die zur Untersuchung digitaler Zwillinge verwendet wird.

Schritt für Schritt zum Ziel

Da digitale Zwillinge derzeit noch selten sind, können bei ihrer Entwicklung verschiedene Methoden in Betracht gezogen werden [5]. Unser Ziel sind Entwicklungen hin zu digitalen Zwillingen, die für die OT-Security von Nutzen sind.

Da nicht alle Teile eines komplexen Systems für die Untersuchung eines bestimmten Anwendungsfalls gleichermaßen relevant sind, können verschiedene Ebenen der Datenauflösung auf verschiedene Systemkomponenten angewendet werden. Ein Beispiel hierfür sind Penetrationstests von – wie in Abbildung 2 dargestellten – speicherprogrammierbaren Steuerungen (SPS). Das Ziel, dass die SPS-Zwillinge das reale Gerät möglichst genau nachahmen, kann z. B. mit Techniken wie Emulation oder Virtualisierung erreicht werden. Um digitale Zwillinge für industrielle Umgebungen entstehen zu lassen, sind jedoch in Zukunft weitere Fortschritte bei der Erfassung großer Datenmengen nötig.

Abb. 2: OT-Ausstattung am Fraunhofer AISEC.

[1] Eckhart, M., & Ekelhart, A. (2019). Digital twins for cyber-physical systems security: State of the art and outlook. Security and Quality in Cyber-Physical Systems Engineering, 383-412.

[2] Ani, U. P. D., Watson, J. M., Green, B., Craggs, B., & Nurse, J. R. (2021). Design Considerations for Building Credible Security Testbeds: Perspectives from Industrial Control System Use Cases. Journal of Cyber Security Technology,5(2), 71-119.

[3] Kayan, H., Nunes, M., Rana, O., Burnap, P., & Perera, C. (2022). Cybersecurity of industrial cyber-physical systems: a review. ACM Computing Surveys (CSUR), 54(11s), 1-35.

[4] Giehl, A., Wiedermann, N., Gholamzadeh, M. T., & Eckert, C. (2020, August). Integrating security evaluations into virtual commissioning. In2020 IEEE 16th International Conference on Automation Science and Engineering (CASE)(pp. 1193-1200). IEEE.

[5] Jones, D., Snider, C., Nassehi, A., Yon, J., & Hicks, B. (2020). Characterisingthe Digital Twin: A systematic literature review.CIRP Journal of Manufacturing Science and Technology,29, 36-52.

Weitere Informationen
Author
Autorenfoto_Giehl
Alexander Giehl

Alexander Giehl arbeitet seit 2013 am Fraunhofer AISEC, wo er sich auf die Verbesserung der Cybersicherheit durch Modellierung und Simulation spezialisiert hat. Seine Schwerpunkte sind sichere eingebettete Systeme, Sicherheit in der Fertigung und in der Automobilindustrie, digitale Zwillinge sowie allgemeine Cybersecurity und Managementsysteme. Darüber hinaus leitete er das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Forschungsprojekt »IUNO Insec« zur Entwicklung von Cybersecurity-Lösungen für KMU.

Most Popular

Keinen Beitrag verpassen?

Bitte geben Sie Ihre E-Mail-Adresse ein, um keinen Blog-Beitrag zu verpassen.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.

* Pflichtfeld

* Pflichtfeld

Mit dem Ausfüllen des Formulars akzeptieren Sie unsere Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Artikel

Wie man passende Datensätze baut, um erfolgreich Audio-Deepfakes zu erkennen

Deepfakes stellen eine erhebliche Bedrohung für die Demokratie sowie für Privatpersonen und Unternehmen dar. Sie ermöglichen unter anderem Desinformation, den Diebstahl geistigen Eigentums oder Trickbetrug. Robuste KI-Erkennungssysteme bieten eine Lösung, doch ihre Effektivität hängt entscheidend von der Qualität der zugrunde liegenden Daten ab: »Garbage in, garbage out«. Aber wie erstellt man einen Datensatz, der für die Erkennung von Deepfakes – die sich ständig weiterentwickeln – gut geeignet ist und eine robuste Detektion erlaubt? Was macht hochwertige Trainingsdaten aus?

Weiterlesen »

Parsing von X.509-Zertifikaten: Wie sicher sind TLS-Bibliotheken?

Digitale Zertifikate wie X.509 sind für die sichere Internetkommunikation unerlässlich, da sie Authentifizierung und Datenintegrität ermöglichen. Unterschiede in der Art und Weise, wie sie von verschiedenen TLS-Bibliotheken geparst werden, können jedoch zu Sicherheitsrisiken führen. In einer aktuellen Studie des Fraunhofer AISEC wurden sechs weit verbreitete X.509-Parser mit realen Zertifikaten analysiert. Die Ergebnisse zeigen Unstimmigkeiten auf, die sich auf sicherheitskritische Anwendungen auswirken könnten. In diesem Artikel fassen wir die wichtigsten Ergebnisse zusammen und erklären, warum Unternehmen ihre kryptografischen Bibliotheken genau unter die Lupe nehmen sollten.

Weiterlesen »

Impeccable Keccak: Absicherung kryptografischer Implementierungen mit fehlerresisitenten Schaltkreisen

Bedrohungen für die Cybersicherheit entwickeln sich stets weiter und kryptografische Implementierungen sind zunehmend von Angriffen durch Fehlerinjektionen gefährdet. Das Fraunhofer AISEC präsentiert mit Impeccable Keccak einen neuen Ansatz zur Sicherung von SLH-DSA (SPHINCS+), einem digitalen Signaturverfahren der Post-Quanten-Kryptografie, das von der NIST 2024 standardisiert wurde. Durch den Einsatz fehlerresistenter Schaltkreise und die Gewährleistung aktiver Sicherheit stellt dies einen neuen Ansatz für fehlerresistente Kryptografie dar.

Weiterlesen »