Alle Beiträge von IoT Vogel

Das ist Winston – ein Mensch der sich als Roboter verkleidet hat. Warum? Weil IoT die Lücke zwischen virtueller und realer Welt schließen soll. [Zeichnung ist noch geklaut, aber wir kennen ja jemanden der gut Roboter zeichnen kann] Warum heißt Winston Winston? Der Hintergrund ist eher düster, aber bei RTL 2 und Apple hat es auch funktioniert. Winston Smith ist die Hauptfigur in George Orwells Roman „1984“, in der die Bevölkerung permanent mit „nicht abschaltbaren Geräten“ überwacht wird. Winston ist Teil des Systems, beginnt aber immer mehr zu Zweifeln, wird aber durch eine Gehirnwäsche wieder auf Kurs gebracht. Eine Steilvorlage für eine kritische und diskussionswürdige Auseinandersetzung mit dem Thema IoT.
IOT - Industrie 4.0 und IIC, IOT - IoT-Praxis, IOT - IoT-Technologie

Datenfehler in der Supply Chain automatisch erkennen und korrigieren

Schreibe einen Kommentar

Auch wenn die Supply-Chain-Planung immer mehr automatisiert wird, ist es für die meisten Disponenten schwierig, die Hände vom Lenkrad zu nehmen und die Technologie die Arbeit machen zu lassen. Allerdings stimmen die meisten Planer wohl darin überein, dass ein Job, den sie gerne an die KI delegieren würden, die Datenbereinigung ist. Die Datenqualität ist auch in der Supply-Chain-Planung ausschlaggebend für den Erfolg. Die Aufarbeitung schlechter Daten, das Erfassen und Korrigieren von Datenfehlern wird nicht selten mit viel manuellem Aufwand von Planungsteams betrieben.

Fehler, Fehler, überall Fehler

Denn Supply-Chain-Datenfehler können in Beschreibungen, Identifikatoren, Klassifizierungscodes, Steuerungsvariablen und an vielen anderen Stellen gefunden werden. Fehler können das Ergebnis falscher menschlicher Eingaben, falscher Beziehungen zwischen Datenelementen und Datensätzen, einer falschen Ausgabe von statistischen Optimierern, mangelhafter EDI-Übertragungen und anderer Ursachen sein. Und da die Daten der Lieferkette miteinander verbunden sind, kann ein Fehler in einem Feld schnell zu Fehlern in einem anderen Feld führen.

Supply-Chain-Fehler können auch sehr subtil sein, wenn es um obskure Anwendungsdaten geht, die nicht regelmäßig überprüft werden. Für jeden bekannten Fehlertyp gibt es zwangsläufig Hunderte von unbekannten Typen, und für jeden bekannten Fehler kann es Tausende von anderen geben, die so lange unentdeckt bleiben, bis sie Probleme verursachen.

Angesichts der Tatsache, dass die Supply Chain gerade dabei ist, sich zum Netzwerk der Netzwerke zu entwickeln, werden Datenfehler künftig immer häufiger zutage treten. Ihre Auswirkungen werden im gesamten Unternehmen und noch darüber hinaus stärker spürbar sein.

Von der Unmöglichkeit, manuell Fehler in komplexen Lieferketten zu finden

In einer großen Lieferkette ist es nicht möglich, einzelne Fehler mit traditionellen Ansätzen zu finden und auszumerzen. Selbst der erfahrenste Planer kann nur noch einen Bruchteil der vorhandenen Anomalien finden. Die Erstellung einer ausreichend großen Stichprobe von Beispielfällen ist ein sehr zeitaufwendiger Prozess. Es gibt einfach zu viele Daten, als dass ein manueller Ansatz in einer großen oder komplexen Lieferkette sinnvoll wäre.

Die Grenzen prädiktiver Modelle

Wenn ein gewisser Grad an Automatisierung heutzutage in der Datenbereinigung eingesetzt wird, dann sind das prädiktive Modelle. Aber da es sich dabei meist um mathematische Funktionen handelt, können sie zwar deutlich machen, dass sie einen Datensatz für einen Ausreißer halten, aber nicht erklären, warum. Dies macht es, besonders in einer dynamischen Supply-Chain-Umgebung, schwierig, Ausreißer zu verstehen, zu verwalten oder zu ändern.

Wie KI Abhilfe schaffen kann

Einen besseren Ansatz verfolgt die sogenannte sich selbst korrigierende Supply Chain, die Künstliche Intelligenz einsetzt, um Fehler in Supply-Chain-Daten automatisch zu finden und zu beheben. Das schließt auch vergangene Datenfehler ein. Zudem werden Methoden des maschinellen Lernens eingesetzt, durch die das Modell sein Wissen darüber, wie man solche Fehler erkennt und korrigiert erweitert. Dieses wird genutzt, um aktuell auftretende Datenfehler zu korrigieren, bevor sie sich negativ auf Produktion oder Prozesse auswirken können.

Bei diesem Ansatz zur Korrektur von Supply-Chain-Daten schauen Experten nicht auf Hunderte oder Tausende von verdächtigen Datensätzen. Sie untersuchen nur eine Handvoll Regeln, die alle Anomalien in den Daten qualifizieren. Wird nur eine Anomalie-Regel entfernt, können so automatisch Tausende korrespondierende tatsächliche Anomalien beseitigt werden.

Die sich selbst korrigierende Supply Chain

Der Ansatz der sich selbst korrigierenden Supply Chain nutzt Live-Daten in Supply-Chain-Anwendungen und -Workflows vom Materialeinsatz bis zur Produktverteilung. Das Wissen, die Erfahrung und die Kompetenz von Planern und anderen Experten wird auf höchst effiziente und effektive Weise verwendet. Im Grunde genommen gleicht dieser Ansatz einem intelligenten Assistenten, der den Planern hilft, ihre alltäglichen Aufgaben effektiver zu erledigen.

 

Die sich selbst korrigierende Supply Chain ist ein dreistufiger Prozess:

  1. Das Modell findet Beispiele für Anomalien in historischen Daten und erstellt Regeln für natürliche Sprachtypen, die dann von einem Fachplaner oder IT-Datenbankexperten überprüft werden.
  2. Verdächtige Datensätze, die vorher bereits markiert wurden, werden genutzt, um das logische Modell zur Korrektur der Datenfehler zu erstellen.
  3. Das Modell prüft automatisch und kontinuierlich neue Daten und findet und ersetzt fehlerhafte Datensätze im Produktionssystem.

 

Der Einsatz von KI in der Supply-Chain-Planung hilft dabei, die Fehlerbereinigung zu automatisieren. Anstatt die Daten der Lieferkette selbst zu bereinigen, lassen die Planer diese mühselige Arbeit von der KI erledigen und können sich auf die Aufgaben konzentrieren, bei denen sie ihr Wissen und die menschliche Intelligenz besser einsetzen können.

 

IOT - IoT Szene, IOT - IoT-Praxis

Keine Panik bei der Digitalisierung

Schreibe einen Kommentar

Schon wieder eine Einladung zu einer Konferenz über die digitale Zukunft. Jeden Tag könnte ich meine Zeit bei Vorträgen zu diesem Megatrend verbringen. Leicht kann es einem schwindlig werden, wenn man nur den Visionären und Evangelisten zuhört. Am Rednerpult kommt die Zukunft schneller als man die Prozesse dafür organisieren kann. Wenn die Mikrofone dann aber ausgeschaltet sind, werden die Töne leiser und nicht wenige Kollegen beklagen einen Digitalismus, der wenig bringt – weder den Herstellern noch den Anwendern.

Rasch eine vermeintlich intelligente Funktion in ein Gerät einbauen, ein Big Data Projekt aus dem Boden stampfen oder überall Sensortechnik einpflanzen, ist noch keine Vorbereitung auf die Zukunft, von der wir wissen, dass sie neu und anders sein wird. Da gibt es viel Rausch, Bauerntricks und auch manche Übertreibung, die im Zuge der Digitalisierung schnell begonnen wird. Und noch schneller eine Datenflut zur Folge hat, die kein Programmierer leicht bewältigen kann. Gerade die deutschen Mittelständler und Familienunternehmen sind bekannt für ihren Innovationsdrang. Aber auch dafür, dass sie Luftblasen zum Platzen bringen. Ganzheitlich werden sich Prozesse und Produkte – aber auch das Denken – an den Arbeitsplätzen verändern müssen, wenn wir aus der Digitalisierung Vorteile für die Kunden ziehen wollen.

Digitalisierung ist das Mittel, zufriedene Kunden der Zweck

Dass Digitalisierung kein Selbstzweck ist, zeigt sich am besten an Amazon: Viele nennen das zweitwertvollste Unternehmen der Welt als leuchtendes Vorbild in Sachen Digitalisierung. Das stimmt zwar, ist aber nur die halbe Wahrheit. Tatsächlich ist Amazon ein Logistik-Gigant. Bei Amazon bestellen wir nicht, weil uns der Webshop so gefällt, sondern weil es das Unternehmen schafft, die unmöglichsten Dinge fast immer innerhalb von 24 Stunden zu liefern. Genau diesen Service wollen die Kunden haben. Pläne, eigene Packstationen aufzustellen oder gar Pakete mit Drohnen auszuliefern, zeigen, worin die Stärke von Amazon tatsächlich liegt. Ohne Digitalisierung wäre all das nicht zu managen, aber sie ist vor allem das Werkzeug, um eine schnelle und effiziente Supply-Chain zu ermöglichen. Ein anderes Beispiel ist ein Flughafen: Digitalisierung bedeutet, dass eine intelligente Software die nahe Zukunft prognostizieren kann und die Prozesse danach ausrichtet, dass an allen Gates das richtige Personal steht und es zu keinen Verspätungen in der Abfertigung kommt. Digitalisierung hängt nicht an mehr Computern und größeren Bandbreiten, sondern an den Prozessen – und sie ist nicht Selbstzweck, sondern sie muss einen neuen, spezifischen Kundennutzen schaffen.

Radikaler Kundennutzen

Wie auch bei Amazon sind Logistik und Supply-Chain-Prozesse auch bei Lapp ganz wesentliche Hebel, um Kundennutzen zu schaffen. Der Endverbraucher kann viele Produkte online bestellen und die Verbindungslösungen (Kabel, Stecker, Switche, Zubehör, fertig konfektionierte Systeme) nach seinen Bedürfnissen konfigurieren. Die Lieferung erfolgt in Deutschland innerhalb von 24 Stunden; in Europa dauert es kaum länger. Die Errichtung von Produktionsstätten und Lagern auf mehreren Kontinenten stellt einen vergleichbaren Servicegrad weltweit sicher. Ein noch schnellerer Lieferservice würde den Kunden derzeit keinen weiteren Vorteil bringen. Die Potenziale liegen in aller Regel nun an anderen Stellen einer ganzheitlich gedachten Wertschöpfungskette. Die Identifikation der Produkte per QR-Code zum Beispiel, das würde Vorteile bringen.

Industrie 4.0 – was ich übrigens für eine tolle Marketinginitiative Deutschlands halte – bedeutet kürzere Innovationszyklen. Das schafft Druck. Doch man kann nicht erfolgreich am Wettbewerb teilnehmen, wenn man sich dem Wandel nicht stellen würde: Anbieter wie Lapp müssen daher das Portfolio ausbauen, tiefer in die Anwendungen eintauchen und die Mitarbeiter befähigen, die Kunden zu beraten. Das Ziel ist es hier, dass in jedem noch so komplexen Maschinennetzwerk, egal bei welchen Protokollen und Standards, Daten und Strom sicher und schnell von A nach B transportiert werden.

Der Fortschritt ist eine Schnecke

Die Digitalkonzerne Facebook, Google & Co. wirbeln vieles durcheinander. Deutschlands Mittelstand, die Basis eines bereits langanhaltenden Wohlstands, wirkt im Vergleich langsam und zögerlich. Doch Veränderungen müssen nicht disruptiv passieren, viele Verbesserungen geschehen durch stetige Entwicklung. Der Maschinenbau und viele vergleichbare Industriebranchen sind weniger technologieverliebt als vielmehr anwendungsgetrieben. Die Veränderungsgeschwindigkeit wird dabei häufig überschätzt, auch in der Digitalisierung.

Nur keine Panik bei der Digitalisierung – das ist keine populäre Position. Ich halte mich an Peter Drucker, der sagte, es gibt nicht viel Nutzloseres, als effizienter zu machen, was man eigentlich gar nicht tun sollte. Deshalb schauen wir genau hin was wir wie und warum digitalisieren.

Der Fortschritt ist eine Schnecke, lautet ein bekanntes Sprichwort – die technischen Möglichkeiten entwickeln sich hingegen in rasender Geschwindigkeit. Heute Industrie 4.0, morgen Künstliche Intelligenz. Wer sich aber allein von den technischen Möglichkeiten treiben lässt, wird sehr wahrscheinlich mit hohem Tempo in die falsche Richtung laufen.

IOT - Industrie 4.0 und IIC, IOT - IoT-Praxis, IOT - IoT-Security

In vier Schritten zum Standard IEC 62443

Schreibe einen Kommentar

Spätestens seit den weltweiten Attacken mit den Schadprogrammen WannaCry und NotPetya im Jahr 2017 müssen sich Industrieunternehmen auch mit der umfassenden Sicherung ihrer Industrial Control Systems (ICS) auseinandersetzen. Die internationale Standardfamilie IEC 62443 »Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme« bildet dabei ein grundlegendes Rahmenwerk. Dieses gewährt sowohl die Cybersicherheit gegenüber Angriffen, als auch die Produktivität gegenüber technischen Fehlerzuständen und Fehlkonfigurationen.

Im Kern bildet die IEC 62443 ein Qualitätsmanagementsystem für ICS, denn sie folgt – wenn auch etwas versteckt – dem kontinuierlichen Verbesserungsprozess von Planen, Umsetzen, Überprüfen und Optimieren. Eine industrielle Anomalieerkennung wie Rhebo Industrial Protector bietet bezüglich der Sichtbarkeit der Daten umfangreiche Funktionalitäten, um ICS stabil und sicher zu planen und zu steuern.

Schritt 1: Risikoanalyse

Die praktische Umsetzung des Standards beginnt mit einer detaillierten Risikobewertung der informationstechnologischen Infrastrukturen. Was im Grund wie eine normale Fehlermöglichkeiten-Einflussanalyse (FMEA) klingt, birgt den Teufel im Detail. Denn der Standard fordert nicht weniger als die vollständige Bewertung des Status Quo:

  • Grenzen des zu betrachtenden Systems (System under Consideration, SuC)
  • Generelle Cybersicherheitsrisiken (externe Bedrohungsszenarien und interne Sicherheitslücken / Verletzbarkeiten)
  • Auswirkungen der Bedrohungen auf die bestehende Infrastruktur
  • Identifikation möglicher Sicherheitsmaßnahmen
  • Re-Evaluierung der Bedrohungen (als iterativen Prozess)

Für Betreiber von ICS bedeutet das die Analyse und Dokumentation jeder Komponente im ICS in Bezug auf ihre Eigenschaften, Kommunikationsbeziehungen sowie ihr Kommunikationsverhalten und Risiko für die Cybersicherheit und Gesamtanlageneffektivität. Firewalls und andere Grenzwächterlösungen versagen bei diesem Punkt, da ihnen die Innenansicht des ICS fehlt. Ein industrielle Anomalieerkennung dagegen blickt gezielt in das Netzwerk und identifiziert aufgrund von Kommunikationsvorgängen jegliche Komponenten, deren Eigenschaften und Verbindungen.

Anomalieerkennung
Eine Sicherheitslösung für ICS muss in der Lage sein, Störungen zu erkennen, bevor es zum ungeplanten Stillstand kommt. (Quelle: Rhebo)

Schritt 2: Komplette Absicherung

Der zweite Schritt umfasst einen sehr umfangreichen Maßnahmenkatalog, der im Kapitel 3.3 für die Systemebene und in Kapitel 4.2 für die Komponentenebene definiert wird. In sieben Basisanforderungen (Foundational Requirements, FR) verlangt der Standard die allumfassende Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität, Vertraulichkeit der Daten, eingeschränkten Datenfluss, rechtzeitige Reaktion auf Ereignisse im ICS sowie die Verfügbarkeit der Ressourcen. Ziel ist letztlich eine vollständige Kontrolle über alle Vorgänge, Veränderungen und Zugriffe auf das ICS – sowohl während des Normalbetriebs als auch während des Stressbetriebs sowie nach Neuinstallationen und Anpassungen.

Die industrielle Anomalieerkennung unterstützt, prüft und dokumentiert den Anspruch an eine lückenlose Kontrolle durch die vollständige Sichtbarmachung der Vorgänge im ICS, sowohl punktuell als auch kontinuierlich.

Schritt 3: Rund-um-die-Uhr-Überwachung

Der große Unterschied zum Qualitätsmanagement liegt bei der IEC 62443 in der Gleichzeitigkeit. Während im Qualitätsmanagement Stichproben genutzt werden, um das System regelmäßig zu prüfen, gilt bei der IEC 62443 Echtzeit und Vollständigkeit. Das ergibt sich aus Schritt 2, der eine komplette Kontrolle über alle Vorgänge postuliert. Betreiber von ICS müssen also ein System aufbauen, das alle Vorgänge im ICS auf Richtigkeit prüft und sofort über Abweichungen alarmiert.

Eine industrielle Anomalieerkennung erreicht das zum Beispiel, indem sie lückenlos jeden Kommunikationsvorgang im ICS mitliest, gegen das zu erwartenden Standardmuster abgleicht und Abweichungen zu diesem umgehend als Anomalie meldet. Die Überwachung erfolgt rund um die Uhr, Anomalien werden in Echtzeit und inklusive Risikobewertung an die Betreiber gemeldet.

Schritt 4: Gefährdungen beseitigen, bevor die Fertigung betroffen ist

Wer alle Daten seines ICS vorliegen hat, kann auch optimal auf Störungen und erkannte Gefährdungen reagieren. Der Standard fordert dabei nicht nur die Überwachung des ICS auf Schadsoftware. Auch technische Fehlerzustände, die zum Beispiel Überlastzustände und Kommunikationsfehler im ICS hervorrufen und so die Fertigung gefährden können, gehören dazu.

Eine industrielle Anomalieerkennung erkennt jede Abweichung im ICS – vom Schadcode bis zu Fehlern im Kommunikationsverhalten oder den Inhalten der Telegramme. Darüber hinaus liefert sie zu jeder gemeldeten Anomalie alle Details zum Vorgang. Damit kann die Quelle einer Anomalie schnell gefunden, analysiert und repariert werden. Betreiber können damit Ausfälle vermeiden und das ICS kontinuierlich optimieren. Und sollte doch einmal eine plötzliche Störung auftreten, liegen alle Daten bereit, um Gegenmaßnahmen umgehend einzuleiten und den ungeplanten Stillstand auf ein Minimum zu beschränken.

IOT - IoT-Praxis

Die fünf Bestandteile einer vernetzten Produktion

Schreibe einen Kommentar

1. Sensorintegration

Dreh und Angelpunkt der digitalen Transformation ist zunächst die Adaption des Fertigungsprozesses durch die Sensorik. Sensoren sind ohnehin für die Automation im Produktionsmodul enthalten, jedoch müssen für eine vollständige digitale Transformation des physikalischen Produktionsablaufes auch Komponenten erfasst werden, die bisher rein passiv waren – wie zum Beispiel ein Lagerbehälter, ein Transferband, eine Rohrleitung oder ggf. auch das Produkt selbst. Zudem müssen Verschleißobjekte wie Lager an Motoren und Antrieben für eine vollständige Digitalisierung erfasst werden. Bis zum kleinsten Bestandteil im Fertigungsprozess benötigen damit alle an der Produktion beteiligten Komponenten ihre digitale Adaption.

2. Horizontale Vernetzung

Der Produktionsablauf ist aufgeteilt in mehrere Fertigungsschritte. Um auch hier einen optimalen Produktionsprozess zu schaffen, sind alle beteiligten Produktionsinseln miteinander zu vernetzen. Dies ermöglicht auch die „Modul-zu-Modul“-Kommunikation, sodass sich Fertigungsinseln untereinander und ggf. mit dem Produkt abstimmen, ohne den überlagerten Produktionsleitrechner zu benötigen. Diese horizontale Vernetzung gilt jedoch nicht nur für den internen Produktionsablauf, sondern auch für die externe Logistik des Fertigungsprozesses. Die Zuführung von Rohstoffen und auch der Abfluss des Logistikers sind bei Bedarf einzubinden.

3. Vertikale Vernetzung

Die Cloud-Vernetzung auf im Internet öffentlich verfügbare Server – bezeichnet als „Public Cloud“ – erzeugt große Bedenken, da dies unter Umständen den Zugang auf den Produktionsprozess weltweit öffnet. Bei der vertikalen Vernetzung der digitalisierten Fabrik sollte daher bewusst zwischen der offenen Cloud-Anwendung und der vertikalen Vernetzung auf externe, aber nach wie vor zum Unternehmen gehörende Fertigungsrechner unterschieden werden. Durch zum Beispiel eigene mit VPN, https sowie weiteren individuellen Verschlüsselungsmethoden und Verkryptungen in der Kommunikation der privaten Client Server Topologien geschützten Zugängen auf eigene Server, wird die Internetstruktur nur noch als Vernetzung genutzt. Diese als „Private Cloud“ bezeichnete Architektur unterscheidet sich im Wesentlichen zur „Public Cloud“ in seiner Serverlandschaft und der Serveranbindung an offene gemietete Serverlandschaften.

Unabhängig ob „Private“ oder „Public Cloud“: In beiden Fällen dreht es sich um die vertikale Anbindung aus dem Produktionsmodul heraus, über eigene Firmengrenzen hinweg. Im B-to-C-Geschäft kann der Zugang auf die Server auch dem Endkonsumenten ermöglicht werden, um dadurch zum Beispiel eine Bestellung direkt am Fertigungsmodul zu platzieren. Neben der eigentlichen Steuerung können so parallele Kommunikationsprotokolle integriert werden, über die der Zugriff erfolgt. Im physikalischen Zugriff kann dies über Ethernet oder Mobilfunknetz erfolgen, im logischen Zugriff über MQTT.  Mit dem Zugriff unterschiedlicher Clients auf die Steuerung lassen sich Zustandsinformationen wie Run/Stop, Verbindungsstatus, Geräteinformationen sowie im IEC-Programm definierte Variablen in die Cloud senden und visualisieren. Über die Programmierung lassen sich die Variablen definieren, die in die Cloud übertragen werden sollen oder die zu schützen sind. Sensible Daten verlassen das Unternehmen auf diese Weise nicht.

4. Cyber-Security

Wo Produktionsdaten erfasst und übertragen werden, spielt das Thema Cyber-Security eine ganz wesentliche Rolle. Produktionsdaten sind ein wertvolles Gut, das es besonders zu schützen gilt.

Grundsätzlich sollte der Anwender in weniger kritischen Anwendungen Vorkehrungen treffen: Unsichere Protokolle wie Telnet, http, ftp oder SNMP sind bei kritischen Applikationen zu vermeiden und verschlüsselte Protokolle zu bevorzugen. Nicht benötigte Ports (Protokolle) müssen deaktiviert werden. Default-Passwörter sollten selbstverständlich immer geändert und Benutzerrollen zugewiesen werden.

5. Modularisierung

Durch immer kürzere Produktlebenszyklen gepaart mit dadurch kleineren Stückzahlen bis zur individuellen Fertigung der Losgröße 1, ist die Produktion gefordert, sehr flexibel und wandlungsfähig auf diese Anforderung zu reagieren – ohne dabei die Fertigungskosten zu steigern. Die benötigte Wandlungsfähigkeit ist nur mit einer Modularisierung des Produktionsprozesses zu schaffen. Dies gilt nicht nur für die Produktionsmodule, sondern auch für die Automation des gesamten Fertigungsprozesses.

 Die Standardisierung der Schnittstelle zwischen den Fertigungsmodulen und dem übergeordneten Produktionsleitrechner kann die richtige Methodik hierfür sein. Durch diese Standardisierung können ohne Anpassung am Produktionsleitrechner Fertigungsmodule getauscht werden.

Standardisierung ist damit ein wichtiger Baustein, um die Industrie-4.0-Anforderungen nach modularen Anlagen zu lösen, die nicht nur modular gebaut, sondern ebenso modular automatisiert sind und damit einen wesentlichen Grundstein für die autarke, selbstverwaltende Fabrik legen. Nur so können  Anlagenmodule flexibel und herstellerunabhängig miteinander kombiniert werden und sind damit die Basis für mehr Flexibilität und eine hohe Wandlungsfähigkeit.

Fazit

Die Digitalisierung in der Produktion ist eine notwendige Entwicklung zur Stabilisierung und auch Steigerung der Wertschöpfung – bei zunehmendem internationalem Wettbewerbsdruck mit steigendem individuellem Produktbedarf.

IOT - IoT Szene

Die kaufmännische Perspektive der Digitalisierung

Schreibe einen Kommentar

Nach nun mehreren Jahren von vielfältigen Informationen und Veröffentlichungen zum Thema Industrie 4.0/ Digitalisierung rückt ein weiterer Aspekt in den Fokus. In den Anfängen waren die Publikationen im Wesentlichen technologisch basiert und motiviert. So konnten die interessierten Leser oder Zuhörer bei Vorträgen lernen, dass durchaus ein Bauteil in der Fertigung zum bestimmenden Element werden kann, wenn man ihm Verarbeitungsinformationen mitgibt. In den Folgejahren wurden viele Beispiele von Industrie 4.0- Elementen gezeigt, die ein tieferes Verständnis ermöglichten. Auf den Hannover Messen der letzten Jahre konnte man diese Entwicklung sehr schön nachvollziehen. Inzwischen gelangen wir aber an den nächsten und sehr entscheidenden Punkt: Es ist die Frage zu beantworten, wo Industrie 4.0/ Digitalisierung in unserem Unternehmen betriebswirtschaftlich einkoppelt. Wir – spätestens aber der CFO eines Unternehmens- müssen verstehen, welche betriebswirtschaftlichen Effekte sich daraus nachweisen lassen.

Abbildung 1: Wirtschaftlichkeitseffekte (Quelle: THM).

Smart Electronic Factory stellt Frage nach Wirtschaftlichkeit

In der Smart Electronic Factory (SEF) e.V., einem Zusammenschluss von verschiedenen bekannten Unternehmen und Hochschulen zur Förderung von Industrie 4.0/ Digitalisierung im Mittelstand, werden seit Beginn Industrie 4.0- Elemente als Proof-of-Concept (PoC) bei Partnerunternehmen umgesetzt. Man könnte es als Operation am offenen Herzen bezeichnen, da es sich um Umsetzungen in realen Unternehmen handelt, die Gewinn- und Verlust- Betrachtung gesteuert werden. Und daher hat sich hier besonders die Frage nach der Wirtschaftlichkeit gestellt. An der Technischen Hochschule Mittelhessen (THM), einem der Gründungsmitglieder der SEF, ist eine Systematik zur Bewertung solcher Proof-of-Concepts entwickelt worden. Diese Systematik kam dann bei 6 technisch erfolgreich umgesetzten PoC´s zum Einsatz. Es sollte die Antwort gefunden werden, ob sie auch betriebswirtschaftlich erfolgreich waren. In Abbildung 1 sind die Ergebnisse zusammengefasst. Insgesamt lässt sich feststellen, dass die Amortisationszeiten bei ca. 1 Jahr liegen und damit deutlich besser sind, als erwartet.

Exemplarisch soll hier ein PoC aus Abbildung 1 näher beschrieben werden: „Kommunikation Bauteil mit Maschine“. Im Detail geht es darum, dass eine Leiterplatte in der Elektronikfertigung am Beginn des Produktionsprozesses mit einem Data Matrix Code gekennzeichnet wird. Damit erhält die Leiterplatte ihre eindeutige Bestimmung. Über das Auslesen das Data Matrix Codes beim Eingang in den Bestückungsautomaten wird dieser vom Bestücker gelesen und mit dem geladenen Bestückungsprogramm verglichen. Sollte ein unzutreffendes Bestückungsprogramm geladen sein, dann wird der Prozess gestoppt, so dass keine Fehlbestückung vorkommen kann. Damit konnte erreicht werden, dass die Overall Efficiency Effectiveness (OEE) für diese Baugruppe von 85% auf 90% an der Bestückungsline gesteigert werden konnte. Außerdem konnte durch Reduzierung von Dokumentationsaufwendungen 1 Operator eingespart werden. Die Lohnkosten senkten sich um 40%, was in einer Herstellkostensenkung von 2% je Baugruppe resultierte. Die Profitabilität der Baugruppe konnte um 38% gesteigert werden. Der Return on Invest lag bei 225%, die Amortisationszeit bei 9 Monaten.

Es zeigt sich also, dass sich Industrie 4.0 resp. Digitalisierung rechnet. Ohne fundierte Wirtschaftlichkeitsrechnung wird der CFO eines Unternehmens schwerlich von Investitionen in diesen Bereich überzeugt werden können.

 

IOT - IoT Szene

Make or Buy: 5 Faktoren, um richtig zu entscheiden

Schreibe einen Kommentar

Es wird zunehmend schwerer sich allein mit dem eigenen Produkt von der Konkurrenz abzuheben. Nicht nur deshalb sind weiterführende Dienste, die zusammen mit dem Produkt verkauft werden, im Trend. Auch attraktive Geschäftsmodelle, wie das bedarfsgerechte Warten und Beliefern mit Ersatzteilen führt zu einer besseren Kundenbindung und verlässlichen Einnahmen. Ganz zu schweigen von alternativen Abrechnungsmodellen, wie dem Bezahlen von Maschinen nach Nutzung.

Bei der Erweiterung der eigenen Geschäftsmodelle stellt sich dann die Frage, ob die Entwicklung komplett mit eigenen Ressourcen erfolgen kann, oder ob ein Zukauf von Komponenten, Know-how oder Entwicklungsressourcen der bessere Weg zum Ziel ist. Diese 5 Faktoren sollte man bei dieser Entscheidung beachten:

1. Faktor Zeit

Vorab zu sagen ist: Wer jetzt noch nicht angefangen hat, wird das Rennen mit den Mitbewerbern womöglich verlieren. Ein gutes Produkt zur Markreife zu bringen benötigt mehrere Jahre. Vor allem sollte vermieden werden die Fehler zu begehen, die andere schon gelöst haben.

2. Quality as a Service

Kaum ein digitales Produkt schafft es, höchste Qualität von Beginn an zu gewährleisten. Die gewissen Details, die ein technisches Produkt zu einem gern genutzten Service machen, entwickeln sich oft erst nach Jahren der Nutzung in der Praxis. Gerade die nicht funktionalen Anforderungen, wie Stabilität, Sicherheit und Wartbarkeit werden dabei oft unterschätzt.

3. Standardfunktionalität nicht unterschätzen

Wird der Entwicklungsumfang eines Projektes abgeschätzt, steht zunächst die Kernfunktionalität im Fokus der Betrachtung. Die vielen, wenn auch kleinen Funktionen, die darum herum benötigt werden, kosten oft ein Vielfaches der Zeit. So gehören zu einer komfortablen Datenanalyse selbstverständlich auch Funktionen, wie automatischer Report-Versand, Excel-Export, Korrekturmöglichkeiten, automatische Zeitzonenanpassung und vieles, vieles mehr.

4. Risiko minimieren

Umso mehr Ressourcen in die Entwicklung eines Produktes gesteckt werden, umso höher ist der Verlust, wenn der Erfolg ausbleibt. Allerdings lässt sich dieses Risiko erheblich reduzieren, indem eine bestehende IIoT-Lösung für die eigenen Bedürfnisse abgewandelt wird. So wird die Zeit zum Markteintritt reduziert der tatsächliche Kundennutzen kann günstig erprobt werden.

5. Fachkräftemangel omnipräsent

Kaum ein Beruf ist von der zunehmenden Spezialisierung betroffen, wie der eines Softwareentwicklers. Auf Cloud-Lösungen spezialisierte Fachkräfte mit jahrelanger Erfahrung sind am Markt kaum auffindbar. Wie in jeder Branche, ist auch nicht jeder Entwickler ein Spezialist seines Fachs. Warum also nicht dem vertrauen, der seine Expertise mit einem gut funktionierenden Produkt unter Beweis gestellt hat.

Fazit

In den meisten Fällen macht es keinen Sinn das Rad neu zu erfinden. Mit einer Standard-IoT-Plattform lassen sich fast alle Anwendungsfälle schneller, günstiger und sicherer abdecken. Bei der Wahl der richtigen Plattform ist vor allem auf dem bereits vorhandeneren Funktionsumfang und die kostengünstige Anpassungsfähigkeit zu achten. Anschließend müssen Unternehmen leidglich entscheiden wie exklusiv ihr eigenes Produkt sein soll – also wie sehr es sich von der der Standardlösung abheben soll.

Dieser Beitrag wurde verfasst von: Thomas Hepp (Mirasoft GmbH & Co. KG)

IOT - IoT-Praxis

IoT: Warum sollte man Softwaretests automatisieren?

Schreibe einen Kommentar

In Zeiten von IoT spielt die Sicherheit der Software eine immer wichtigere Rolle, und damit auch Tests um diese zu gewährleisten. Meistens werden Softwaretests aktualisiert, weil es der Mitbewerber auch macht. Weit verbreitet ist die Ansicht, die Automatisierung sei meistens die Kosten nicht wert. Natürlich sind bestimmte Arten von Software schwieriger und teurer zu testen als andere, so dass das Wertversprechen von der jeweiligen Anwendung und Branche abhängt. Insgesamt aber gibt es einen klaren Trend hin zur Testautomatisierung. Mit Testautomatisierung ist in diesem Beitrag die Testausführung gemeint, also das Ausführen der Tests und das Auswerten der Resultate ohne menschliches Zutun. Die automatisierte Ausführung ist Voraussetzung für einen modernen, flexiblen (und agilen) Testprozess.

Wann Testautomatisierung notwendig ist

Möchte man auf die Agile-, DevOps- und Continuous-Initiativen aufspringen, bleibt keine andere Wahl, denn ohne Automatisierung gerät man hier unweigerlich ins Hintertreffen.

Dies bestätigt Theresa Lanowitz, Analystin bei voke Research, in einem Gespräch. Als Marktforschungsunternehmen fokussiert Voke Spezialisten im Bereich Enterprise IT und Software seit 2006. Im Jahr 2016 stellte man zum ersten Mal in 10 Jahren fest, dass Unternehmen mehr über Qualität als über schnellere Releases besorgt sind. Trotzdem halten sich die Aktivitäten in punkto automatisiertes Testen sehr in Grenzen. Die manuellen Tests werden niemals aufhören, auch deren Notwendigkeit nicht. Aber um neue Releases schneller vorzustellen, ist die Testautomatisierung notwendig. Wenn die Benutzererfahrung besser werden soll, reicht es nicht nur schnell zu sein – sondern Schnelligkeit muss mit Qualität einhergehen.

Laut Theresa Lanowitz erfordert dies die ‚extreme Automation‘, was sie wie folgt erläutert: „Extreme Automatisierung ist genau das, wonach es klingt: Automatisierung von allem, was nur irgendwie geht und Eliminierung menschlicher Interaktionen, um sicherzustellen, dass die vor der Produktion gefundenen Defekte nicht bis in die Produktion gelangen. Es geht dabei nicht nur um das Automatisieren des Prüfprozesses, sondern um die Automatisierung von allem. Zu den Erkenntnissen, die wir gewonnen haben, gehört die Tatsache, dass die Entwickler keine automatisierten Modultests mögen. Einer der Befragten kommentierte dies mit den Worten: ‚Einige Dinge ändern sich eben nie‘.“

Um den erforderlichen hohen Automatisierungsgrad zu erreichen, ist es notwendig, jeden manuellen Arbeitsgang zu überdenken, und bei einigen Schritten unbedingt über den Tellerrand hinauszublicken. Die in das Ausarbeiten einer guten und stabilen Automatisierung investierte Zeit macht sich von selbst bezahlt – nicht nur durch eine unmittelbare Zeitersparnis, sondern indem coole Dinge wie Continuous Delivery möglich werden.

Schöne API-Welt

Wer noch mit altmodischen, monolithischen Desktop-Anwendungen arbeitet, der steht vor einem Berg an fragiler Arbeit, die mit einer Reihe gelegentlich wackeliger und häufig abartig teurer Tools erledigt werden muss. Um wieviel besser ist es dagegen in der neuen API-Welt! Denn die Benutzeroberfläche (User Interface – UI) ist die Ursache der meisten Probleme, mit denen Desktop-Apps zu kämpfen haben. APIs dagegen sind unempfindlich gegenüber dem Betriebssystem, der Bildschirmauflösung und den Eigenheiten der  Bildschirmkarte. Sie sind bestens definiert und eignen sich hervorragend für das automatisierte Testen.

Agile Entwicklung ermutigt zu Veränderungen. Wird mit kurzen Iterationen entwickelt, scheitern die automatisierten, UI-basierten Test Suites oft sobald es zu Änderungen kommt. Und dies passiert selbst wenn es nur um einfache Modifikationen am GUI-Layout oder um unerwartete Änderungen am Verhalten von Back-End-Services geht. Dies ist nicht bei allen Tools so, aber bei einem Großteil der traditionellen Lösungen.

Mit APIs dagegen ist das, was getestet wird, für die Ansteuerung durch einen Code anstatt durch Menschen ausgelegt. Der Testdatensatz lässt sich problemlos zusammenstellen und anschließend in einer Datei, einem Spreadsheet oder einer Datenbank hinterlegen. Der Treiber kann bestimmte Inputs vorgeben und weiß genau, welche Outputs zu erwarten sind. Ein solches Konzept auszuweiten, ist mit den richtigen Tools trivial.

Continuous Testing und Service Virtualisierung

Wie ist kontinuierliches Testen in den heutigen komplexen Umgebungen überhaupt möglich angesichts der Vielzahl von Abhängigkeiten? ING hat 150 Scrum-Teams und Pay Pal verfügt über 680 Scrum-Teams auf der ganzen Welt. Man stelle sich all die Abhängigkeiten vor! Niemand kann so etwas koordinieren, ohne sich im Gewirr dieser Abhängigkeiten zu verstricken.

Abhilfe kann hier nur die Simulation schaffen – beispielsweise, wenn kein Zugang zu einem Großcomputer existiert, der zum Testen notwendig ist, oder wenn gegen einen Third-Party-Service getestet wird. Die Service-Virtualisierung eröffnet hier die Möglichkeit zum kontinuierlichen Testen und Integrieren. Durch das Einbeziehen der Simulation in den Entwicklungsprozess arbeitet man von Anfang an mit Integrationstests.

Diese ebenso einfache wie bahnbrechende Idee findet in vielen anderen Branchen bereits Verwendung, nur in der Softwareindustrie noch nicht wirklich. Service-Virtualisierung ist vergleichbar mit einem Windkanal-Versuch: Das Flugzeug wird hineingestellt und durch das Simulieren aller denkbaren Umgebungsbedingungen getestet. Genau das ist erforderlich – und die Service-Virtualisierung ist das nötige Mittel dafür.

Den Einstieg bieten die Simulation zum Handling der Umgebung, ein Testdaten-Management-Tool zum Umgang mit den Inputs und den Ergebnissen und ein hervorragendes API-Test-Tool zum Erstellen und Ausführen der Tests. Mit diesen Werkzeugen gerüstet, lassen sich Dinge automatisieren, bei denen man das nie für möglich gehalten hätte. Eine solche Ausstattung macht nicht nur schneller, sondern verleiht auch die Flexibilität zum Testen jener Teile der Applikation, die normalerweise nicht besonders gut abgedeckt werden. Ohne die richtigen Tools lassen sich z.B. Exception Handling, fehlerhafte Inputs, Fehlerbedingungen und der Security-Komplex möglicherweise schwierig oder gar nicht testen.

Entwickler, die sich davon nicht überzeugen lassen und immer noch für das manuelle Testen plädieren – und die Erhebungen von Voke zeigen, dass die Chance dafür 50:50 steht – sind es sich selbst schuldig, einen Blick auf die neuesten Tools auf diesem Gebiet zu werfen, um zu sehen, wie sie ihre Softwaretests beschleunigen und verbessern können.

IOT - IoT-Praxis

Blockchain: Wie gelingt eine kostengünstige Datenerhebung?

Schreibe einen Kommentar

Blockchains werden als eine treibende Kraft der digitalen Transformation angesehen. Neben dem extrem sicheren Payment- und Identity-Management sowie Dokumenten- und Informationsaustausch wird der Einsatz von Blockchains auch intensiv in der Warenlogistik diskutiert. Dieser Tracking & Tracing Anwendungsfall ist auch einer der wichtigsten Anwendungsfälle für Blockchains, aber auch der komplexeste, denn er betrifft die gesamte Wertschöpfungskette. Einer der wesentlichen Vorteile einer Blockchain ist hier die Absicherung und volle Transparenz der Informationen vom Hersteller bis zum Endverbraucher. In einer Blockchain sind nämlich alle Einträge und Transaktionen kryptographisch miteinander verkettet. So können einzelne Einträge nicht mehr manipuliert oder gelöscht werden, ohne alle anderen zu zerstören. Zudem wird die Blockchain über viele Orte hinweg gehostet, was die Manipulationssicherheit zusätzlich erhöht. Die Blockchain ersetzt oder ergänzt damit eine singuläre Vertrauensinstanz.

Blockchains für Tracking & Tracing

Es finden sich zahlreiche Anwendungsfälle für solche manipulationssicheren Dokumentationslösungen: In der Arzneimittel- und Lebensmittelindustrie geht es unter anderem darum, den Verbraucher vor verdorbener Ware oder auch Fälschungen zu schützen sowie bei Handelsklassifikationen beispielsweise entsprechende Herstellungsnachweise zu liefern. Bei Geräten, Maschinen und Anlagen will man die Nutzung tracken, um Garantiebedingungen für installierte Produkte nachweislich sicher zu dokumentieren. Bei der Ersatzteilversorgung will man sich vor Grauware schützen und auch im Luxusgütersegment will man Raubkopien bekämpfen. Es spricht also viel für den Einsatz einer Blockchain zur manipulationssicheren Sendungsverfolgung und Rückverfolgung der Supply Chain.

Kosten müssen sinken

Eine wesentliche Hürde, die man bei der Implementierung einer Bockchain überwinden muss, sind jedoch die Kosten. Für jeden Eintrag in eine Bockchain muss die Rechenleistung für die kryptographischen Verfahren bezahlt werden und das Hosting auf mehreren Servern kostet ebenfalls Gebühren. Blockchains eignen sich damit zunächst vor allem für reglementierte Märkte, die eine sichere Dokumentation zwingen fordern oder für besonders teure oder gefährliche Güter, bei denen Tracking & Tracing wünschenswert und eine fälschungssichere Dokumentation wichtig ist. Je kostengünstiger eine Blockchain-Transaktion aber wird, desto mehr kann man sie auch auf preissensitivere und weniger kritische Tracking & Tracing Lösungen anwenden.

IoT-Sensoren in die Blockchain integrieren

Neben den Kosten der Bockchain Technologie an sich spielt im Rahmen der Warenwirtschaft dabei insbesondere die Erfassung und Übermittlung der Daten an die Blockchain eine entscheidende Rolle. Diese Lieferung einzelner Datensätze darf nämlich quasi nichts kosten, wenn Blockchains zum Standard der Dokumentation werden sollen. Und hier kommt man dann letztlich zu der passenden IoT-Sensorik, die es möglichst günstig anzubinden gilt. Bei Blockchains im Tracking & Tracing Bereich wollen Kunden beispielsweise jederzeit wissen, wo das Gut aktuell ist und in welchem Zustand bzw. unter welchen Umgebungsbedingungen es sich befindet. Es werden also Vergleichsweise viele Datensätze über den Zeitverlauf benötigt, wenn man – um nur ein Beispiel zu nennen – sicherstellen will, dass ein LKW oder Container nicht auf der Fahrt zwischen Lieferant und Logistikhub umgeladen wird. Oder wenn auf Verpackungseinheiten der Temperaturverlauf erfasst werden soll, um eine durchgängige Kühlkette zu dokumentieren. So nutzen zum Beispiel  Lieferdienste für Lebensmittel auf der letzten Meile häufig keine Kühlwagen, sondern verwenden stattdessen Trockeneis als Kühlmittel in die Boxen, sodass jedes Gebinde mit zu kühlenden Lebensmitteln einzeln getrackt werden muss.

Kleine Datensätze, großer Nutzen

Alle 15 Minuten beispielsweise Messdaten an die Blockchain zu übermitteln aus tausenden von Boxen erfordert eine extrem kostengünstige IoT-Konnektivität. Welchen Datenpfad kann man aber nehmen und was kostet dieser? Grundsätzlich braucht ein solches Setup keine Gigabit-Datentarife: Eine Nachricht mit Temperaturwert ist nur rund 2 Byte groß. Geolokalisierungsdaten rund 6 Byte. Bei einer Übermittlung alle 15 Minuten ergibt sich daraus für jedes angebundene Gerät ein Datenvolumen von lediglich rund 70 Kilobyte für ein ganzes Jahr. Früher lohnte es sich nicht, über solche Lösungen auch nur nachzudenken: In Zeiten, wo eine SMS noch 10 Cent kostete, hätten sich hieraus jährliche Übertragungskosten von mehr als 3.500 Euro pro Device ergeben (0,1 € x 4 x 24 x 365= 3504,- €) – ein Vielfaches dessen, was die wöchentliche Onlinebestellung von Lebensmitteln kostet. Lieferkostenfrei geht das heute nämlich schon ab rund 50 Euro. Idealerweise liegen die Übertragungskosten deshalb quasi bei Null, denn nur so kann eine engmaschige Datenübermittlung an Blockchains oder sonstige Dokumentationssysteme ohne zu hohen Kostenaufwand installiert werden.

Einfache BWL macht klar, wie es zu den Milliarden Eintragungen in Blockchains kommen kann: Sinken die Kosten, steigt der Absatz. Insbesondere im unteren Preissegment gewinnt der Absatz bei Preissenkung deutlich an Fahrt. (Bildquelle: Sigfox)

Neue Netze für die IoT-Sensoren

Nun gibt es mittlerweile auch Tarife zur M2M Kommunikation über Mobiltelefonie. Doch auch diese muss man verwalten, was bei hunderten oder gar tausenden Behältern sehr aufwendig wird. Außerdem müssten auch die Investitionskosten drastisch sinken, denn 5 Euro für eine SIM-Integration lohnt den Investitionsaufwand nicht – so gern man diese Daten auch in die Blockchain schreiben würde. Der Markt fordert deshalb bezahlbare Lösungen. Die IoT-Anbindung muss also deutlich günstiger werden. Mit innovativen Übertragungs-Netzen, die verschiedene Anbieter im Bereich der neu entstehenden IoT-Anbindung derzeit vorantreiben, nähern wir uns diesem Ziel mit großen Schritten und das ist auch gut so, denn Blockchain-Technologie umfassend im Tracking & Tracing zu nutzen, ist zu allererst eine Frage des Preises.

Hohe Reichweite durch Ultra-Schmalband Netz

Ein kosteneffizientes IoT-Netz ist das Low Power Wide Area Netzwerk Sigfox, das sich weltweit im Ausbau befindet und in Deutschland bis Ende 2018 voraussichtlich rund 85% Netzabdeckung erreichen wird. Ein Modul kostet rund 2 Euro und für Einmalverbindungen wurden bereits Lösungen vorgestellt, die für rund 20 Cent zur Verfügung gestellt werden sollen. Warum ist dieses Netz aber so günstig? Es verwendet nicht das lizenzierte Mobilfunknetz, sondern das weltweit lizenzfreie Ultra-Schmalband – in Deutschland liegt das im Frequenzbereich zwischen 868,13 und 869,525 MHz. Insofern mussten die weltweiten Betreiber dieses Netzes keine Lizenzen ersteigern. Das Netz selbst benötigt auch nicht so viele Basisstationen, wie Mobilfunknetze. Die Zellen erreichen in Städten eine Reichweite von 3-5 Kilometern, auch durch Wände hindurch und bis in den tiefsten Keller. Über Land steigt die Reichweite auf rund 30 bis 50 Kilometer. Über See hat man schon tausend Kilometer und mehr gemessen, sodass man bei entsprechendem Netzausbau über Satellitentechnik zukünftig wahrscheinlich auch Offshore-Kühlcontainer live tracken kann. Eutelsat will dies auf jeden Fall evaluieren und hat deshalb eigens einen erdnahen Orbit-Satelliten mit dieser Technik bestückt, der in 500 bis 600 km Höhe seine Bahnen ziehen wird.

Kostengünstiger Betrieb

Zudem ist auch die Verbindung zu den Basisstationen weniger komplex, da es keinen Handshake gibt und gesendete Daten ähnlich wie ein Radioteleskop empfangen werden. Dadurch fallen auch die Anforderungen für die smarten Sensoren entsprechend niedriger aus. Mit zunehmendem Ausbau des Netzes werden die Kosten noch weiter sinken. Verbindungsentgelte muss der Anwender zudem nicht beim Netzbetreiber bezahlen. Er zahlt vielmehr den Preis für sein Device und die Bereitstellung der Cloud App. Lediglich der Devicehersteller bezahlt die Kosten für das Datenvolumen bereits beim Kauf der ID des Devices. Alles kann also auf einen schlanken, kostengünstigen Betrieb solcher Services ausgelegt werden.

Preissegmente der Remote-Anbindungen von IoT-Devices an Blockchain Clients: Mit sinkenden Preisen pro Trackerlogik, sind immer breitere Applikationsfelder möglich. (Bildquelle: Sigfox)

Auch Einmalverbindungen für Gebinde

Logistik- und Gebindeanbieter arbeiten derzeit intensiv daran, ihre Mehrweg-Paletten, -Boxen und -Ladungsträger mit dieser Technologie auszurüsten, was ein viel feingliedrigeres Trackings & Tracing ermöglicht. Man kann es auch Tracking & Tracing 2.0 nennen. Dabei wird es aber nicht bleiben.

Sogar Tracking & Tracing 3.0 ist im Kommen: Es wird nämlich in Kürze eine Logik verfügbar, die einzig beim Öffnen eines Gebindes eine Meldung absetzen kann. Also Einmalverbindungen zur Blockchain für Einwegdevices wie beispielsweise Umverpackungen. Und diese Verbindungslogik zum Netz soll dann nur noch rund 20 Cent kosten. Das Netz kann deshalb den Einsatz von Blockchains beschleunigen, da die Sendungsverfolgung extrem günstig und sicher wird.

IOT - IoT-Praxis

Die Digitalisierung beginnt beim Nutzer

Schreibe einen Kommentar

Für Politiker und Journalisten scheint es wenig zu geben, was Digitalisierung nicht ist. Es wird von Revolution gesprochen und davon, dass man sich nicht abhängen lassen darf. Als Land, als Firma und als Einzelperson. Ich möchte die Gelegenheit dieses Artikels nutzen und ein paar generelle Erfahrungen in diesem Umfeld teilen. Sozusagen ein kurzer Bericht von der Front.

Evolution statt Revolution

Generell möchte ich festhalten, dass die „Digitalisierung“ nichts ist, was plötzlich und unerwartet an unsere Tür geklopft hat. Es gab und gibt keine Hand Gottes, die die Digitalisierung auf die Erde entlässt und aus dem Off zu uns spricht: Nun gehet hin und machet wie euch befohlen. Sondern wir haben ein technologisches Umfeld, das sich ständig weiterentwickelt. Aus Karteikarten wird ein ERP-System. Aus zwei Info-Terminals im Lager werden hundert. Aus physisch ausgedruckten Komissionieranweisungen werden Push-Nachrichten auf dem Handheld. Aus einem einfachen Einlagerungsalgorithmus wird künstliche Intelligenz, die heute schon weiß, dass ein Kunde in drei Wochen einen Artikel bestellen wird, bevor er das selbst weiß. Aber das ist alles bei Licht betrachtet keine Revolution, sondern lediglich ein konsequentes Weiterdenken des Bestehenden, flankiert von fortschreitender Technologie, insbesondere Prozessorgeschwindigkeit, die all das erst möglich macht. Ein Ende dieser kontinuierlichen (Weiter-)Entwicklung ist derzeit nicht in Sicht.

Die Tatsache, dass Digitalisierung meiner Meinung nach eher Evolution als Revolution ist, erfordert aber trotzdem Maßnahmen. In Kundenprojekten zeigt sich sehr häufig, dass ein bestimmter Einstieg in die Evolution der Digitalisierung ganz besonders vielversprechend, aber vielleicht gar nicht so offensichtlich ist: Nämlich die Konzentration auf den Nutzer. Es geht also gar nicht als Erstes um die Cloud, KI oder das Verbauen von hunderten Sensoren in Maschinen, sondern einfach mal als erstes um die Menschen, die in diesem Umfeld arbeiten. Und im Rahmen dieser Nutzerzentrierung lassen sich zwei Hauptgebiete identifizieren: Die User, die möglichst effizient ihr Tagesgeschäft machen wollen; im Lager, an der Stanzmaschine oder im Büro. Und als Zweites die User, die sich Prozesse ausdenken und umsetzen.

Potentiale der jungen Generation nutzen

Betrachten wir die erste Gruppe der ganz normalen Maschinenbediener, Komissionierer und Vorarbeiter. Wenn diese Menschen morgens das Werkstor passieren und ihr iPhone im Spint verstauen, verstauen sie auch den einfachen Zugang zu Informationen und die einfache und intuitive Bedienung von Apps gleich mit. Warum muten wir solchen Leuten eine SAP-Maske zu, bei der sie für eine Bestandskorrektur viel länger brauchen als für die Aufnahme eines Videos oder die Recherche eines Wikipedia-Artikels? Warum verweigern wir ihnen aktuelle Informationen zum Auftragsfortschritt und zum Zustand ihrer Firma? Warum muten wir jungen Leuten zu, dass sie zum Weiterscrollen einer Liste tausend mal pro Tag die Maus in die Hand nehmen müssen, wenn sie seit ihrer jüngsten Kindheit das ganz anders kennen. Das ganze Potenzial an Effizienz und Eigenantrieb kommt zum Erliegen. Wer das zulässt, braucht meine Erachtens mit KI und Sensoren gar nicht erst anzufangen. 

Nun zur nächsten Gruppe: Diejenigen, die sich diese Prozesse ausdenken. Es dürfte allen klar sein, dass ein klassisches Wasserfalldenken schon vor Jahren ausgedient hat. Sich hinsetzen und erst einmal alle fragen, alle mitdiskutieren lassen und dann im Rahmen eines politisch korrekten Minimalkonsenses in einer endlos langen Phase der Umsetzung etwas bauen, was bei Fertigstellung schon wieder veraltet ist. Das ist das genaue Gegenteil von dem, auf was junge High Potentials Lust haben. Hippe Startups in Berlin werden aber ihre Anziehungskraft verlieren, wenn der Mittelständler aus Pforzheim eine Arbeitsumgebung schafft, die das Prädikat „innovativ“ wirklich verdient. Sich Dinge ausdenken, prototypisch ausprobieren und im Erfolgsfall verfeinern. Das ist es, was die jungen Leute reizt und mir ist in unseren Kundenprojekten noch nie jemand begegnet, der aus einem funktionieren Prototyp mit den richtigen Tools und Methoden nicht tiefe, persönliche Genugtuung gezogen hätte.

Fazit

Zusammenfassend möchte ich an dieser Stelle nochmal auf die Idee der echten Nutzerzentrierung hinweisen: Für diejenigen, die im Tagesgeschäft die Arbeit machen genauso wie für die, deren Aufgabe die Prozessgestaltung ist. Unter dieser Prämisse verliert das Gespenst der Digitalisierung seinen Schrecken und ermöglicht einen relativ entspannten Einstieg, vorausgesetzt natürlich der Wille ist vorhanden. So kann Digitalisierung in der Praxis funktionieren.

IOT - IoT-Security

Applikations-Sicherheit als Qualitätsproblem: 6 Test-Tipps für die Praxis

Schreibe einen Kommentar

Kürzlich las ich auf LinkedIn einen Beitrag, in dem nach dem Unterschied zwischen den verschiedenen Anbietern statischer Analyseprodukte gefragt wurde. Eine Person, bei der es sich – was kaum überraschen dürfte – um einen Anbieter handelte, antwortete, die von seinem Unternehmen angebotene Lösung sei die bessere, denn während andere Anbieter auf Qualität und Security fokussiert seien, würde sich sein Unternehmen ausschließlich dem Thema Security widmen.

Vielleicht ist diese Einstellung kennzeichnend für das Problem mit der Applikations-Sicherheit, das derzeit in der Branche immer mehr an Bedeutung gewinnt. Zum Beispiel gibt es Organisationen, die versuchen, ihr Security-Team vollkommen losgelöst vom übrigen Softwareentwicklungs-Prozess, also sowohl von den Entwicklungs- als auch von den Prüf-Maßnahmen, zu betreiben. Nach diesem Konzept führt das Security-Team seine eigenen Tests durch (meist wird dabei versucht, die Software zu knacken), und die gefundenen Bugs werden dem Entwicklungs-Team mitgeteilt. Mit anderen Worten: Man versucht, den Code durch Testen sicher zu machen. Ich kann Ihnen versichern, dass das genauso erfolgreich ist als wenn Sie versuchen würden, Ihrem Code durch Testen Qualität zu verleihen.

Security-Tests reichen nicht aus

Damit hier kein Zweifel aufkommt: Natürlich sind Security-Tests dieser Art notwendig, aber sie reichen nicht aus. Die Software zu knacken, ist sicherlich sinnvoll. Wenn man es aber als Methode zur Verbesserung der Sicherheit nutzt, führt dies dazu, dass Fehler zu spät gefunden werden und unter den Tisch fallen. Insbesondere tiefere Ursachen wie ungeeignete Frameworks und Algorithmen werden gern unter den Teppich gekehrt. Denn die Abwägung, ob der Code neu geschrieben oder das Release einfach herausgegeben wird, geht oft zugunsten der Einhaltung des Zeitplans aus.

In dem eingangs erwähnten LinkedIn-Kommentar verleitet der Anbieter einen arglosen potenziellen Kunden auf gefährliche Weise zu der Annahme, seine Software sei irgendwie besser. Dabei bleibt unausgesprochen, in welcher Weise oder weshalb sie besser ist. Ich möchte hier keinem bestimmten Toolanbieter etwas anhängen, zumal ich ja selbst für ein solches Unternehmen arbeite. Mich frustrieren aber solche hohlen Argumente, die einen glauben lassen sollen, dort würde eine Art Wundermittel angeboten. In diesem Fall mag das Produkt des betreffenden Anbieters tatsächlich eine Reihe interessanter und einzigartiger Features bieten. Es wird jedoch der Eindruck vermittelt, dass Security auf geheimnisvolle Weise etwas anderes ist als Qualität. Dies aber reduziert unser Verständnis von Applikations-Sicherheit und macht uns alle etwas weniger sicher.

Qualitätsproblem gleich Sicherheitsproblem

Security und Qualität müssen gleichbehandelt werden, und Qualität muss sich auf ausgereifte technische Verfahrensweisen stützen. Tatsache ist doch: Wenn Sie ein Qualitätsproblem haben, haben Sie auch ein Sicherheitsproblem. Schließlich zeigen Untersuchungen, dass es sich bei 50 bis 70 Prozent der Security-Defekte um Qualitäts-Defekte handelt. Oder, um es mit anderen Worten zu sagen: Die guten alten Qualitätsmängel stellen sich als Schwachstellen heraus, die von Angreifern (bzw. Hackern oder anderen Böswilligen) genutzt werden, um Ihre Applikation zu knacken (wir nennen das ‚Zero Days‘).

Forscher sind übereinstimmend der Auffassung, dass es sich mindestens bei der Hälfte, vielleicht sogar bei 70 % der Software-Schwachstellen um grundlegende Codequalitäts-Probleme handelt, die sich durch das Schreiben von besserem Code vermeiden ließen. Nachlässige Programmierung also.“  – (Jim Bird “Building Real Software”)

Beispiele aus den CWE Top 25

Wenn Sie sich immer noch nicht sicher sind, in welcher Weise sich Qualität und Security überschneiden, sehen Sie sich doch ein paar Beispiele aus den CWE Top 25 an. Die folgenden möglichen Security-Folgen entstammen dem CWE Technical Impact:

  • 3: CWE 120 – Puffer-Kopie, ohne die Größe des Eingangswerts zu überprüfen (der klassische Pufferüberlauf). Dies kann zur Ausführung von nicht autorisiertem Code oder Befehlen, möglichen nicht autorisierten Datenzugriffen oder Denial-of-Service (DoS) führen.
  • 20: CWE 131 – Unkorrekte Berechnung der Puffergröße (mit der Folge eines Pufferüberlaufs). Mögliche Folgen sind DoS, die Ausführung von nicht autorisiertem Code oder Befehlen und das mögliche nicht autorisierte Lesen/Modifizieren von Speicherinhalten.
  • 25: CWE 190 – Integer-Überlauf oder Wraparound (mit der Folge von undefiniertem Verhalten oder Abstürzen). Mögliche Folgen sind DoS, die Modifikation von Speicherinhalten, die Ausführung von nicht autorisiertem Code oder Befehlen oder die Ausführung von beliebigem Code.

Wenn Sie sich genauer mit der kompletten, mehr als 800 Punkte umfassenden CWE-Liste befassen, finden Sie noch viele weitere Beispiele – darunter jegliche Arten von Über- und Unterlauf, Initialisierung, unkontrollierter Rekursion usw. All dies sind gängige Security-Attacken, gleichzeitig aber auch offensichtliche Qualitätsmängel.

Security von Anfang an einbauen

Die Softwaresysteme nehmen rapide an Komplexität zu, und es ist deshalb nahezu unmöglich, alle denkbaren Variationen zu testen. Es gilt die Aussage von Richard Bender: „Die Zahl der potenziellen Tests übersteigt die Zahl der Moleküle im Universum“. Er sagt damit auf spaßige Weise, dass wir es hier mit einer nicht zu bewältigenden Aufgabe zu tun haben. Jim Bird drückt es so aus: „Bei einem großen System müssten unendlich viele Pen Tester unendlich lange an unendlich vielen Tastaturen arbeiten, um vielleicht alle Fehler zu finden.“

Sicherheit und Zuverlässigkeit müssen also von Anfang an eingebaut werden, denn sie lassen sich nicht durch Testen nachrüsten. Solange die Security als ‚Extra‘ behandelt wird, wird sie Mängel aufweisen.

Was kann man tun?

Es folgen einige Tipps dazu, was Sie tun können, um sowohl die Security als auch die Qualität Ihrer Software zu verbessern:

  1. Schulen Sie Ihre Entwickler in der Entwicklung sicherer Software. Wenn Sie Ihre Entwickler richtig in die Entwicklung sicherer Software einweisen, können sie Security-Probleme entweder von vornherein vermeiden oder sie zumindest finden und beseitigen.
  2. Entwerfen und bauen Sie Ihre Systeme mit einer bewussten Fokussierung auf Qualität und Security. Vermeiden Sie Code, der zwar funktioniert, aber nicht wirklich gut ist, weil er potenzielle Security-Probleme (und damit auch Probleme mit der funktionalen Sicherheit) birgt. Die statische Analyse kann Ihnen hierbei helfen, indem sie Ihren Code nicht nur auf Bugs prüft, sondern auch auf die Einhaltung der bekannten optimalen Verfahrensweisen.
  3. Verlassen Sie sich nicht mehr auf Edge-Tools. Machen Sie sich Ihre tatsächliche Risiko-Exposition und Ihre Angriffsoberfläche bewusst. Firewalls und Virenschutz können die Mängel von unsicherem Code nicht kompensieren. Stattdessen sind Sie gefordert, Ihre Applikation angriffsresistent zu machen.
  4. Sammeln und messen Sie Defektdaten und nutzen Sie diese zur Beurteilung und Verbesserung Ihrer Entwicklungspraktiken. Welcher Code und welche Komponenten bringen die meisten Probleme? Welcher Code ist am besten? Wie wurden diese Teile geprüft? Wiederholen Sie gute Ideen und verwerfen Sie die schlechten.
  5. Nutzen Sie eine strikte statische Analyse. Akzeptieren Sie nicht einfach die Einschätzung eines Anderen, ein gemeldeter Defekt sei unwichtig oder ein Fehlalarm. Wenden Sie gute Regeln an, die Detektierung und Vermeidung beinhalten, und befolgen Sie sie. Am besten geht das mit einem auf optimalen Verfahrensweisen (Best Practices) gestützten Konzept. Hier kommen Codierstandards wie CWE, CERT und OWASP ins Spiel. Am besten lässt sich die Einhaltung der optimalen Verfahrensweisen mit der statischen Analyse gewährleisten.
  6. Machen Sie von der Laufzeit-Analyse Gebrauch. Sie deckt reale Probleme (insbesondere hinterhältige Speicherprobleme) auf und zeigt Ihnen ohne Fehlalarme genau, was an welcher Stelle schiefgegangen ist.

Wir müssen damit beginnen, Security gleich von Anfang an in den Code einzubauen. So wird der Code von Grund auf angriffsresistent, und man muss keine bekannten Sicherheitslücken nachträglich stopfen. Wenn Sie alle Ihre Softwareentwicklungs-Ergebnisse aus Codierung, Build und Test in einen zentralen Bestand einbringen, ist für Kontrollierbarkeit, Messbarkeit und Rückverfolgbarkeit gesorgt, was die beste Basis für künftige Verbesserungen darstellt.

Vergessen Sie nie, dass die Aufwendungen für solide Sicherheitsvorkehrungen geringer sind als die Kosten, die durch schlechte oder unsichere Software entstehen. Es gibt also keine Ausflüchte.