Übersicht Ergebnisse
drag and bot GmbH - Security Check
Die Software von drag&bot bietet eine grafische Programmieroberfläche für Industrieroboter. Um diese Funktionalität bereitstellen zu können, benötigt die Software diverse Schnittstellen. Diese Schnittstellen können von möglichen Angreifern potenziell als Einfallstore verwendet werden. Ein Angreifer könnte insbesondere die angebotene Weboberfläche ausnutzen. Um eine fundierte Einschätzung über den aktuellen Stand der Security der drag&bot-Software treffen zu können, werden in diesem QuickCheck Analysen auf zwei verschiedenen Ebenen durchgeführt. Zum einen erfolgt eine Sicherheitsanalyse der Architektur der drag&bot-Software. Zum anderen wird die Security der Webanwendung unter Zuhilfenahme verschiedener automatisierter Web-Security- Scanner untersucht.
SOTEC Software Entwicklungs GmbH + Co. Mikrocomputertechnik KG - CloudPlug edge SECURITY CHECK
Der SOTEC CloudPlug edge ist ein Cloud-Gateway, der Daten aus verschiedenen Quellen einer Anlage oder eines Prozessnetzwerks erfassen, auswerten und darauf reagieren kann. Aufgrund der großen Menge der zu verarbeitenden Prozessdaten spielen die Privacy und Security des CloudPlug edge eine wichtige Rolle. Eine Möglichkeit, die Security von industriellen Kontroll- und Steuerungssystemen zu bewerten und zu zertifizieren, bietet die internationale Normenreihe IEC62443. Sie definiert Security-Levels zwischen 1 (Absicherung gegen zufällige Manipulation bzw. Falschbedienung) und 4 (Schutz vor böswilliger Manipulation mit großem Ressourcenaufwand und großer Motivation und Wissen). Die im Jahr 2019 erschienene Norm 62443-4-2 definiert konkrete Anforderungen an Produkte und Komponenten, die für das Erreichen eines bestimmten Security-Levels notwendig sind.
Mojin Robotics GmbH - IT-SICHERHEITSANALYSE CARE-O-BOT® ARCHITEKTUR
Die Firma Mojin Robotics GmbH bietet mit dem Care-O-bot® eine Roboterplattform für den flexiblen Einsatz in beispielsweise Haushalt, Hotel oder Healthcare an. Der Roboter wird auf die individuellen Anforderungen des Kunden angepasst und übernimmt verschiedene Aufgaben wie Lotsenfunktion, Verkaufsassistenz oder Concierge-Service. Um diese Aufgaben übernehmen zu können, benötigt er ein umfangreiches Backend für Zugriff auf verschiedene Dienste wie Navigation, Produktdatenbank oder Dialogsysteme. Die dafür gebaute Architektur vernetzt die internen Systeme des Roboters mit dem Netz von Mojin Robotics, den Systemen des Kunden und dem Internet. Die benötigte Komplexität der Architektur und Verteilung der einzelnen Komponenten bergen das Risiko, dass nicht erkannte Schwachstellen sich auf das gesamte System auswirken können. Deshalb soll eine umfassende Analyse der IT-Sicherheit der Architektur vorgenommen werden.
NEXT.robotics GmbH & Co. KG - POTENTIALBESTIMMUNG ROS UND OPENSOURCE
Die Unternehmen NEXT.robotics GmbH & Co KG und KPI GmbH setzen als Vertreiber und Integrator von Automatisierungslösungen unterschiedliche robotische Systeme und Anwendungen ein. Neben Anfragen zu konventionellen Systemen kommen auch vermehrt Anfragen zu auf ROS (Robot Operating Systems) basierten Lösungen. Dieses vor allem aus dem Bereich der Robotikforschung stammende Framework besitzt inzwischen Schnittstellen zu vielen konventionellen Robotersystemen sowie Sensoren und Aktoren. ROS bietet dabei die Möglichkeit, modular eingesetzt zu werden, und liefert so die Möglichkeit, schnell vorhandene Komponenten wiederzuverwenden und so neue Anwendungen innerhalb kürzester Zeit aufzubauen. Auch bietet ROS die Möglichkeit, Algorithmen in unterschiedlichen Hochprogrammiersprachen umzusetzen.
Aufgrund seines unterschiedlichen Lösungsansatzes und seiner Restriktionen im Hinblick auf Sicherheitsgarantien ist es für Unternehmen oftmals schwierig zu entscheiden, in welchen Fällen die Nutzung von ROS sinnvoll ist. Genau dieses Problem wurde schwerpunktmäßig in diesem QuickCheck angegangen.
New Dexterity GmbH - FLEXGRIP – SICHERES GREIFEN
Bisherige Lösungen für sicheres Greifen mit flexiblem Greifer sind oftmals stark anwendungszentriert oder stark generalisiert. Dabei sind besonders die generalisierten Ansätze sehr kostspielig und nur bedingt robust. Cobots und Servicerobotik brauchen jedoch flexibles, robustes, preiswertes und sicheres Greifen auf einer generalisierten Basis, damit sie ein großes Spektrum an Alltagsaufgaben abdecken können.
Ziel dieses QuickChecks war die Untersuchung des von New Dexterity entwickelten Greifers bezüglich Risiken für die funktionale Sicherheit (Safety) sowie Potentiale und Risiken (Security) der aktuellen State-of-the-Art KI-Lernverfahren bei einem Mehrfingergreifer. Dabei wurde sowohl von dem Einsatz im industriellen als auch im häuslichen Umfeld ausgegangen. Darauf aufbauend wurden Empfehlungen erarbeitet, wie die Sicherheit des Greifers weiter erhöht werden kann.
fischer Edelstahlrohre GmbH - SECURITY ANALYSE EINER PROFILIERANLAGE
Die Steuerungen der weltweiten Produktionsanlagen der fischer Edelstahlrohre GmbH werden an dem Standort in Achern entwickelt. Um die, vor allem im Automobilumfeld, geforderte Lieferfähigkeit gewährleisten zu können, muss die Störanfälligkeit der Anlagen möglichst gering gehalten werden. Ein Aspekt dabei ist die Störung durch unabsichtliche Fehlbenutzung oder durch einen absichtlichen Angriff auf die Anlage. Eine Möglichkeit, die Widerstandsfähigkeit gegen solche Störungen zu erhöhen, ist die Umsetzung von Maßnahmen in Bezug auf die Security der Anlage.
Die internationale Normenreihe IEC 62443 bietet eine Möglichkeit, die Security von industriellen Kontroll- und Steuerungssystemen zu bewerten und zu zertifizieren. Sie definiert Sicherheitslevel zwischen 0 (keine besonderen Anforderungen oder Schutzmaßnahmen) und 4 (Schutz vor böswilliger Manipulation mit großem Ressourcenaufwand und großer Motivation und Wissen). Die Norm IEC 62443-3-3 definiert konkrete Anforderungen an Kontroll- und Steuerungssysteme, die für das Erreichen eines bestimmten Sicherheitslevels notwendig sind.
PRÜFUNG IT-SICHERHEIT SMART ENERGY GATEWAY
Der Projektpartner entwickelt mit einem kleinen Team ein Gerät zur dezentralen Energiesteuerung. Dabei handelt es sich um ein Gerät, welches in das Heimnetzwerk von Kunden integriert wird und eine intelligente Steuerung von Endgeräten beispielsweise im Bereich der Elektromobilität ermöglicht. Dazu erfasst und verarbeitet es Daten von weiteren Geräten im Haushalt des Kunden und kann auf dieser Basis kompatible Verbraucher steuern. Ziel ist ein optimiertes Energiemanagement für den Kunden. In diesem Rahmen werden auch besonders schützenswerte und unter Umständen personenbezogene Daten verarbeitet. Ein besonderer Schutz des Geräts gegen etwaige Angreifer ist hierbei unerlässlich.
In diesem QuickCheck soll daher die IT-Sicherheit dieses Geräts untersucht werden und ein Wissenstransfer stattfinden, der es den Mitarbeiterinnen und Mitarbeitern des Projektpartners ermöglichen soll, zukünftig auftretende Fragestellungen der IT-Sicherheit möglichst qualifiziert zu beurteilen.
EUCHNER GmbH & Co. KG - MGB2 PROFINET
Durch eine zunehmende Vernetzung verschiedener Steuerungskomponenten steigt die Relevanz der IT-Sicherheit immer weiter an. Insbesondere durch die erhöhte Vernetzung innerhalb der Produktion und auch zwischen Produktion und Office-IT stellen die Netzwerkschnittstellen von Steuerungskomponenten interessante Ziele für einen Angreifer dar. Zudem wird die Hürde für einen Angriff durch die verbreitete Nutzung von Ethernet-basierten Netzwerkprotokollen gesenkt, da ein Angreifer nun kaum noch spezielles Domänenwissen benötigt. Neben der Safety muss während eines Entwicklungsprozesses also auch die IT-Sicherheit beachtet werden. Um in diesem Bereich Kompetenzen aufzubauen, können verschiedene Maßnahmen angewandt werden. Eine Möglichkeit ist dabei, eine IT-Sicherheitsanalyse einer konkreten Steuerungskomponente durchzuführen.
Murrelektronik GmbH - SICHERHEITSANALYSE PLASMA
Durch die steigende Vernetzung in industriellen Netzwerken wird auch die Vermischung zwischen Feldbus- und IT-Kommunikation zunehmen. Mit der Öffnung der industriellen Netze werden einem Angreifer zudem neue Möglichkeiten für den Zugriff und die Manipulation des Netzes gegeben. Dies führt zu neuen Anforderungen, die an industrielle, eingebettete Systeme gestellt werden. Unter anderem wird eine hohe Stabilität, Netzwerkperformance und IT-Sicherheit gefördert. Im Rahmen dieses QuickChecks soll ein Feldbus-E/A-Modul auf seine Stabilität und IT-Sicherheit untersucht werden. Dabei wird ein Fokus auf die angebotene Webanwendung gelegt. Es werden automatisierte Verwundbarkeitsscanner eingesetzt, die durch eine umfassende manuelle Analyse ergänzt werden. Durch diese Untersuchung wird so auch erreicht, dass die Performanz der Verwundbarkeitsscanner an einem Feldbus-Modul evaluiert werden kann.
SEW-EURODRIVE GmbH & Co. KG - SICHERHEITSANALYSE
Durch die steigende Vernetzung in industriellen Netzwerken wird auch die Vermischung zwischen Feldbus- und IT-Kommunikation zunehmen. Durch die Öffnung der industriellen Netze werden einem Angreifer zudem neue Möglichkeiten für den Zugriff und die Manipulation des Netzes gegeben. Dies führt zu neuen Anforderungen, die an industrielle, eingebettete Systeme gestellt werden. Insbesondere herstellereigene Engineering-Protokolle sind anfällig für Angriffe. Das eingesetzte Engineering-Protokoll entspricht nicht mehr den Security-Anforderungen in Zeiten von IIoT und Industrie 4.0. Im Rahmen dieses QuickChecks soll das Engineering-Protokoll mittels des am Fraunhofer IOSB entwickelten Industrial-Security-Testing-Frameworks ISuTest und Fuzzing auf seine Robustheit hin untersucht werden.
DIEFFENBACHER GmbH - OT-SICHERHEIT
Dieffenbacher ist einer der fortschrittlichsten Hersteller von Pressensystemen und kompletten Produktionsanlagen für die Holzwerkstoff-, Composites- und Recyclingindustrie. Die Kunden immer einen Schritt weiterzubringen ist klares Unternehmensziel, so ist auch die OT-Sicherheit der von Dieffenbacher ausgelieferten Maschinen und Anlagen von besonderer Wichtigkeit. Angriffe auf Produktionsanlagen können weitreichende Folgen haben. Diese beinhalten unter anderem Stillstand, Schäden und Produktionsausfall und / oder den Verlust von Daten und Know-how. Dieffenbacher hatte bereits hohe Standards bei der OT-Sicherheit, trotzdem ist es wichtig, diese in einem stetigen Prozess zu prüfen und immer an den aktuellen Stand der Technik und aktuelle Bedrohungssituationen anzupassen. Der Fokus lag speziell auf Maßnahmen aus der Norm IEC 62443. Die Umsetzung und Einhaltung ist für immer mehr Kunden von hoher Wichtigkeit. Dies speziell auch in der Verbindung mit Vernetzungen z. B. für Anbindungen an Kundennetze, Remote-Verbindungen und IIoT. Zudem sollte die Härtung der in der Maschine oder Anlage beinhalteten Systeme noch stärker betrachtet werden.
SICK AG - SICHERHEITSANALYSE
Der thermische Durchflussmesser FTMg der SICK AG mit seinen vielfältigen Industrie-4.0-Schnittstellen wie ein Webserver, MQTT und OPC-UA wurde in diesem QuickCheck analysiert. In der Zukunft werden immer mehr industrielle Automatisierungs- und Steuerungskomponenten hochgradig vernetzt sein und hauptsächlich auf Ethernet-Technologien basieren. Viele der angebotenen Zusatzfunktionen wie beispielsweise ein Webserver, der die Konfiguration der Komponente erleichtert, bieten mögliche Einfallstore für einen Angreifer. Bei der frühzeitigen Erkennung von Schwachstellen können verschiedene moderne Verwundbarkeitsscanner hilfreich sein. Im Rahmen dieses QuickChecks sollen verschiedene Verwundbarkeitsscanner verwendet werden, um eine konkrete, industrielle Komponente auf Schwachstellen zu untersuchen. Der Fokus soll hier auf der
Webanwendung liegen. So können zum einen Schwachstellen in der Komponente aufgedeckt werden und zum anderen kann die Performanz der verschiedenen Verwundbarkeitsscanner an realen Komponenten weiter untersucht werden. Die automatisierten Untersuchungen werden durch eine manuelle Untersuchung ergänzt, um mögliche weitere Schwachstellen aufzudecken.
Deep Care GmbH - SICHERHEITSANALYSE
Die Firma Deep Care GmbH entwickelt ein intelligentes Assistenzsystem, welches auf dem Schreibtisch platziert wird und den Büroangestellten über einen Bildschirm individuelle Informationen und Hinweise für ein gesundes Sitzverhalten anzeigt. Das kleine Gerät ist durchgehend präsent und begleitet den Büroangestellten fortlaufend während seiner Arbeit und dient ihm als digitaler und individueller Physiotherapeut. Die Hauptvorteile sind die nachhaltige Förderung von mehr Bewegung (Bewegungsübungen am Schreibtisch, Pausen, Stehtischnutzung, etc.) sowie die langfristige Verbesserung der ergonomischen Sitzhaltung. Hinzu kommen langfristig motivierende Ziele und individuelle Analysen sowie kontinuierlich eingestreute Information zur gesundheitlichen Aufklärung. Langzeit-Verhaltensanalysen sollen über eine begleitende persönliche App zur Verfügung gestellt werden.