Produkt- und Know-how-Schutz beim Engineering

RATG E BER
Produkt- und Know-how-Schutz
beim Engineering-Datenaustausch
100 % Partneranbindung
OEM’s Vorgaben erfüllen, CAD-Daten sicher austauschen
www.seeburger.de
Produkt- und Know-how-Schutz beim Engineering-Datenaustausch
Um ihre Marktpositionen und Wettbewerbsfähigkeit durch kürzere Entwicklungszeiten, erweiterte
und flexiblere Produkte auszubauen, sind Unternehmen der Fertigungsindustrie heute mehr denn
je gezwungen, schnell und einfach mit verschiedenen Partnern zu kooperieren. Dabei erfordert
die globale Zusammenarbeit mit mehreren Partnern und Lieferanten automatisierte und sichere
Datenaustauschprozesse. Dieser Beitrag befasst
sich mit einer Architekturempfehlung zur mehrstufigen Absicherung des Datenaustauschprozesses und der Kommunikation und benennt die
wesentliche Komponente einer ganzheitlichen
Datenaustauschlösung.
Die Wettbewerbsfähigkeit deutscher Unternehmen, insbesondere in der Fertigungsindustrie, hängt maßgeblich
von ihrer Fähigkeit ab, ihr Produktwissen- und Know-how
zu schützen. Der Wettbewerb wird globaler, intensiver
und härter. Für die Fertigungsunternehmen insbesondere in der Maschinen- und Anlagenbau- sowie Automobilindustrie ist es daher nicht nur eine Herausforderung,
sondern eine Verpflichtung, ihre Produkte und das elementare Produkt-Know-how zu sichern 1. Dabei ist der
Verlust des Produkt-Know-hows durch die Produktpiraterie eine enorme Bedrohung für die Innovationskraft
und Wettbewerbsfähigkeit der deutschen Fertigungsindustrie. Laut einer aktuellen VDMA-Studie aus dem
Jahr 2014 ist und bleibt die Produktpiraterie eine enorme
Bedrohung für die Innovationskraft und Wettbewerbsfähigkeit der deutschen Maschinen- und Anlagenbaubranche. So sind 71 Prozent der Unternehmen von Produktpiraterie betroffen 2.
Abbildung 1: Umsatz und Schaden durch Produktpiraterie im Maschinen- und Anlagenbau
Die Produktentwicklung ist heute vor allem durch Teamwork, Partnernetzwerke und den intensiven Austausch
von Produktdaten geprägt. Als weltweiter Motor für Produktinnovationen ist es für die deutsche Fertigungs- und
Automobilindustrie daher notwendig, im internationalen
produzierenden Netzwerk von Herstellern und Zulieferern Engineering-Daten sicher und effizient auszutauschen. Der Datenaustauschprozess über Ländergrenzen
hinweg muss einfach, sicher, automatisch und fehlerfrei funktionieren, um effizient zu sein 3. Daher sind für
das Versenden und Empfangen der Daten international
verständliche Standards unabdingbar, wobei sich beim
Sicherstellen eines reibungslosen und transparenten
Ablaufs von globalen Engineering-Datenaustauschprozessen zahlreiche Herausforderungen identifizieren lassen (vgl. Abbildung 2).
1)Leitfaden zum Produkt- und Know-how-Schutz. Generisches Prozessmodell zur Einführung von Schutzmaßnahmen gegen Produktpiraterie und
Know-how-Abfluss, VDMA, pks.vdma.org
2)VDMA Studie Produktpiraterie 2014, Produkt- und Know-how-Schutz, VDMA, 2014
3)OFTP 2 Sicherer Datenaustausch über das Internet, Leitfaden für den praktischen Einsatz, Dietmar Kaschmieder, VDA Verband der Automobilindustrie,
VDA DFÜ AG
2
SEEBURGER Business Integration Suite
als Basis für den weltweiten Produktdatenaustausch
Unternehmen brauchen ganzheitliche Engineering-Datenaustauschlösungen, die Risiken und operativen Kosten unsicherer und ineffizienter CAD-Datentransfers reduzieren.
Eine zentrale Datenaustausch Suite – konzipiert für den
einfachen und sicheren Datenaustausch – kann die Anforderungen in diesem Bereich abdecken. Somit wäre es
auch möglich, einen zentralen Überblick über alle Datentransfers für alle Unternehmensbereiche an einem Punkt
zu konsolidieren. Mit einer solchen ganzheitlichen Lösung
können Produktdaten und Dokumente beliebiger Art unternehmensweit (intern und extern) sicher ausgetauscht
und eine unbegrenzte Anzahl an OEM- sowie EngineeringPartner angebunden werden. Eine solche ganzheitliche
Lösung für den automatisierten und sicheren CAD-Datenaustausch mit allen OEMs und Zulieferern sollte dabei
Lösungsbausteine für ENGDAT-Versand und Empfang,
ODETTE-Protokollunterstützung in allen Versionen (OFTP/
OFTP2), Managed File Transfer-Komponente für den CADDatenaustausch, eine Web-Portal-Lösung zur Anbindung
aller Partner, eine Windows Client mit Windows Explorer
Plug-In und Microsoft Outlook-Integration für den einfachen Versand und Empfang der Konstruktionsdaten sowie
Client-Anwendung für mobile Endgeräte und schließlich
Technische 2D/3D CAD
Modelle, Baugruppen,
Stücklisten (BOM)
für Design und Fertigung,
diverse Formate STEP etc.
Globaler, sicherer Datenaustausch mit Automobilherstellern & -zulieferern
gem. VDA, ODETTE, SASIG,
AIAG, GALIA, JAMA,
EDIFACT, ANSI X.12 etc.
Synchroner/asynchroner
CAx-Datenaustausch
Add-Hoc oder Offline
100% Engineering
Partneranbindung
via Web-Portal
IT, Engineering
PDM/PLM-Leiter
CAx Anwender,
Forschung und
Entwicklung
Monitoring
& Routing
Komponente für das Sichern des Datenaustauschprozesses in der sogenannter DMZ-Umgebung beinhalten. Im
Folgenden wird detailliert auf die einzelnen Komponenten
eingegangen und die jeweiligen Funktionen einer solchen
ganzheitlichen Datenaustauschlösung grob beschrieben.
Eine ganzheitliche Datenaustauschlösung soll vor allem
den unsicheren Dateitransfer mit E-Mail-Anhängen sowie
unsichere und ineffiziente Verfahren mittels verteilter
FTP-Server, Datenträger oder sonstiger Einzelanwendungen ersetzen. Die Heterogenität solcher Insellösungen ist
nicht beherrschbar und ein wesentlicher Kostentreiber.
Ein konsolidierter und vereinheitlichter Ansatz für alle Datentransfers mit einer Datenaustausch Suite sollte daher
den Transfer von Dateien beliebiger Größe wie CAx- oder
Grafik-Daten ermöglichen und die Risiken, dass Daten an
falsche Adressaten transferiert werden, zu spät ankommen, beim Transfer verloren gehen oder gestohlen werden, reduzieren.
Darüber hinaus sollen mit Hilfe der ganzheitlichen Datenaustauschlösung die Richtlinien und Vorgaben die der
Gesetzgeber, Branchenstandards oder Datenschutzbestimmungen für sichere Transfers abgebildet und so unterstützt werden.
CAx-Datenaustausch
mit internationalen
Standards
ENGDAT/OFTP2
VDA 4951
Business Integration Suite
Leiter Entwicklung
und Konstruktion
BIG
CAD Data
Mobile App
OEM/EngineeringDatenaustauschmanager,
supplier
Kommunikation,
Web-Portal
Produktdaten aller Art
Qualitätsdokumente,
Produktspezifikationen,
Serviceanleitungen,
Visualisierungsdaten
Integration
PDM-, CAD-,
Qualitäts-Tools
und Konverter
etc.
Datentransfer
Managed File Transfer
für EngineeringDatenaustausch
Managed Service, Cloud
oder on Premise
Engineering, QS,
Service, Produktion,
Vertrieb
Engineering IT
PDM/PLM-Leiter
Unterstützung
aller Kommunikationsprotokolle
OFTP2, OFTP-TCP/IP,
OFTP/ISDN
Nutzung aller
Verfügbaren Netzwerke
ANX, ENX, JNX, ISDN,
Internet, VPN, LAN,
WAN/RAS, VAN
IT-Technik, Admin,
Datenaustauschmanager
Abbildung 2: Ausgewählte Anforderungen an eine ganzheitliche Lösung für den CAD-Datenaustausch
3
Sicherheitstechnischen Vorgaben von OEMs
für den Konstruktionsdatenaustausch
Datensicherheit und Datenintegrität stehen bei der Übertragung von Geschäftsdaten via Internet im Vordergrund.
Daten müssen sicher und gesetzeskonform ausgetauscht und das unternehmensinterne Netz nach außen
abgesichert werden. Gleichzeitig soll die Neuanbindung
von Geschäftspartnern für den Fachbereich flexibel und
schnell möglich sein, ohne dass die IT-Infrastruktur zu
komplex wird.
Aus den sicherheitsrelevanten Gründen ist beispielsweise der asynchrone Konstruktionsdatenaustausch
mit den OEMs in der Automobilindustrie zukünftig nur
noch über OFTP2 möglich. Für Zulieferer bedeutet dies,
dass alle bestehenden OFTP-Datenverbindungen für
den Konstruktionsdatenaustausch zu OEMs auf OFTP2
umgestellt werden müssen. Dabei sind die Zulieferer
zur Absicherung der physikalischen Verbindung an das
Internet verantwortlich, wenn zum Konstruktionsdatenaustausch das Kommunikationsprotokoll OFTP2 zum
Einsatz kommt.
In den Datenaustausch relevanten Sicherheitsrichtlinien der OEMs für Zulieferer und Partner sind in der
Regel grundlegende Anforderungen zur Nutzung und
Austausch von Daten in Kontext des Produkt-Know-howSchutzes hingewiesen. Wenn beispielsweise für den
CAx-Datenaustausch mit Partnern das Kommunikationsprotokoll OFTP2 zum Einsatz kommt, sollte die physikalische Verbindung einer Partnerfirma an das Internet
zweistufig abgesichert werden.
Abbildung 3: Eine Architekturempfehlung für den einheitlichen und sicheren Datenaustausch
4
Die erste Stufe der Absicherung erfolgt in so einem Fall
bereits bei den Partnerfirmen intern. Dabei können die
Client-Rechner im internen Netzwerk über ein StandardGateway bzw. eine interne Firewall ausschließlich für
die benötigten Zugriffe berechtigt werden. Die zweite
Stufe kann dann die DMZ-Zone absichern und das interne Netzwerk in Richtung Provider-Router und Internet in Form einer externen Firewall schützen. Dabei soll
ein unternehmensspezifisches Sicherheitskonzept die
Konfiguration des Firewalls dokumentieren.
Eine ganzheitliche Lösung für den Engineering-Datenaustausch soll den Datentransfer sichern, die zugrundeliegende DMZ-Infrastruktur vereinfachen und so die
schnellere Anbindung von Partnern und Zulieferern
ermöglichen. Durch die zentrale Verwaltung aller partnerspezifischen Konfigurationen in der Datenaustausch
Suite können Partneranbindungen nahtlos an die
Firewall übertagen werden. Dadurch kann der Aufwand
partnerspezifischer Firewall-Konfigurationen entfallen.
Sensible Daten sollten auf keinen Fall nicht in der DMZ
gespeichert sondern über sichere Verbindungen, den
Kommunikationsknoten, ins gesicherte Netzwerk verla-
Funktionen
Hochverfügbarkeit durch Clustering/
Load-Balancing
z z Keine Datenspeicherung in der DMZ
z z Keine Aktivierung von Inbound-Verbindungen
z z Protokollterminierung in der DMZ
z z Authentifizierung in der DMZ
z z Zentral verwaltete Konfiguration
z z ICAP-Schnittstelle zur Anbindung von
AvP- oder DL-Produkten
z z IP Adressen Black/White-Listing
z z Bandbreitenverwaltung
zz
gert und dort gespeichert werden. Die Firewall-Lösung
soll dabei möglichst als Proxy- und Protokollfilter dienen, ohne die Daten zu persistieren. Damit gibt es keine
direkte Verbindung mehr aus der DMZ in das gesicherte
Unternehmensnetzwerk. Es befinden sich auch keinerlei sensitive Daten mehr auf exponierten Systemen und
die Angriffsfläche für potenzielle Datendiebe wird dadurch verringert.
Eine solcher Ansatz für den Schutz des Datenaustauschprozesses bietet Unternehmen eine konsolidierte, zentral verwaltete Application Layer Gateway
(Proxy/Reverse Proxy) Lösung für alle externen Kommunikationsprotokolle wie FTP, SFTP, AS/2, HTTP. Bandbreitenmanagement, Black/ White-Listing und die Integration von externen Systemen via ICAP-Schnittstelle
sollten ebenso zum Leistungsspektrum von Datenaustauschlösungen wie die Authentifizierung und Protokollfilterung gehören. Durch die genannten Funktionen
sind dann Unternehmen in der Lage auch die konforme
Datenübertagung gemäß SOX, HIPAA, PCI DSS etc. zu
gewährleisten.
Vorteile
Sichere und rasche Partneranbindung
Volle Kontrolle über alle externen Verbindungen
und die Kommunikation
z z Verbindung erfolgt nur aus der gesicherten Zone
heraus
z z Wegfall partnerspezifischer Firewall-Konfigurationen ohne Sicherheitseinbußen
z z Keine Speicherung von Daten oder
Authentifizierungsinformationen in der DMZ
z z Reduzierung der Komplexität von Sicherheitsinfrastruktur
z z Kontrolle über Compliance-Vorschriften
zz
zz
Tabelle: Beispiele für Funktionen und Vorteile einer integrierten Sicherheitslösung für CAx-Datenaustausch
5
Engineering-Daten per E-Mail sicher versenden
Nach einer von CONTACT Software, das Fraunhofer IPK
Berlin und der VDI gemeinsam durchgeführte Studie zur
kollaborativen Produktentwicklung, werden für den Versand der Produktdaten -trotz aller Sicherheitsbedenken
und existierenden Datenschutzbestimmungen in den
Unternehmen- immer noch E-Mail verwendet 4. An dieser
Studie nahmen über 1.400 Ingenieure aus den unter-
schiedlichsten Branchen teil. Die Studie stellt fest, dass
selbst in der Automobilindustrie mit hohen Anforderungen zum Schutz des Produkt-Know-hows, 45 Prozent der
Befragten ihr E-Mail System nutzen, um sicherheitsrelevante CAD- und Produktdaten mit Kunden und Lieferanten ohne Verschlüsselung der Dateianhänge per E-Mail
auszutauschen.
E-Mail Plug-In: MS Outlook
CAD-Konstrukteur/
Ingenieur
zz
zz
zz
CAD-Daten/
Komplette
Verzeichnisse
Nahtlose Integration in E-Mail-Client
Daten werden sicher über eine verschlüsselte Verbindung versendet. Unbegrenzte Grösse der Dateianhänge. Beispielsweise 2GB große CAD-Baugruppe einfach per E-Mail senden.
Prüfung von Inhalten: Third-Party-Virenscanner und DLP integrierbar
Abbildung 4: Engineering-Daten sicher und einfach per E-Mail austauschen
Dabei können Engineering-Daten mit einer direkt im
E-Mail-Programm integrierten Datenaustauschlösung
z. B. aus Outlook, sicher versendet werden. So ist es
möglich eine 2 GB große CAD-Baugruppe sicher und einfach per E-Mail an Partner und Zulieferer zu senden. Der
Anwender kann für den Versand der CAD-Daten zwar die
gewohnten E-Mail-Clientsoftware nutzen, aber die große
Dateianhänge werden automatisch über die ganzheitliche Datenaustauschlösung umgeleitet und anschließend
in einer verschlüsselten Form auf einer webbasierten
Lösung zum Download bereitgestellt. Dabei kann durch
Konfiguration der Aufruf von Konvertern und Prüftools
zwischen geschaltet werden. Dies würde beispielsweise erlauben, die CAD-Daten vor dem Versand bzw. nach
dem Empfang in gewünschten Formaten zu konvertieren
bzw. nach bestimmten Regeln zu prüfen.
Anwendungen wie Apps auf mobilen Endgeräten (z. B.
iPhone) bieten eine andere Möglichkeit mit einer einfach
zu bedienende Applikation (Smartphone App) für den sicheren Datenaustausch. So können auch Produktdaten
zur Datenaustauschlösung transferiert, zentral abgelegt und mit jedem Partner austauscht und Permits zum
Up- oder Download von Daten generiert und versendet
werden.
4)Kollaborative Produktentwicklung und Digitale Werkzeuge. Defizite Heute – Potenziale Morgen.
Hrsg.: Prof. Dr. Rainer Stark, Dr. Roland Drewinski, Dr. Haygazun Hayka, Dr. Heinz Bedenbender. Erscheinungsjahr: 2013
6
www.seeburger.de
ASIA PACIFIC
China
SEEBURGER Asia Pacific Ltd.
Level 3, Three Pacific Place
1 Queen’s Road East
Hong Kong
Phone +852 2584 6220
Fax +852 2588 3499
[email protected]
CHINA HQ
SEEBURGER China Inc.
Suite 2005-06, 20/F
SINO Life Tower
707 ZhangYang Road, Pudong
200120 Shanghai
P.R. China
Phone +86-21-50471825
Fax +86-21-50471831
[email protected]
www.seeburger.cn
Bulgaria
SEEBURGER Informatik EOOD
Grigorij Gorbatenko Strasse 6
k-s Mlados I
BG-1784 Sofia
Phone +359 29745-100
[email protected]
www.bg.seeburger.com
Italy
SEEBURGER Informatica SRL Unipersonale
Via Frua, 14
I-20146 Milano
Phone +39 02 45 48 53 68
Fax +39 02 43 51 01 10
[email protected]
www.seeburger.it
Czech Republic
Phone +420 733 723602
[email protected]
www.cz.seeburger.com
Spain/Portugal
SEEBURGER Informática S.L.
Calle Marqués del Duero 8
Esc. 1, Bajo Derecha
E-28001 Madrid
Phone +34 91 433 69 89
Fax +34 91 434 12 28
[email protected]
www.seeburger.es
Eastern Europe &
South Eastern Europe
(except Hungaria, Czech Republic,
Bulgaria & Turkey)
Phone +49 (0) 7252/96-1172
[email protected]
www.seeburger.com
SEEBURGER China Inc.
CBD International Mansion
C529, 5/F
No.16 Yongan Dongli
Chaoyang, Beijing, 100022
Phone +86 (0) 10 6563 7565
Fax +86 (0) 10 6563 7562
[email protected]
France
SEEBURGER France S.A.R.L.
87, rue du Gouverneur Général Eboué
F-92130 Issy Les Moulineaux (Paris)
Phone +33 (0) 1 41 90 67 50
Fax +33 (0) 1 41 90 67 59
[email protected]
www.seeburger.fr
Japan
SEEBURGER KK
Nishi-Gotanda Sign Tower 5th Floor
1-33-10 Nishi-Gotanda
Shinagawa-ku, Tokyo 141-0031
Phone +81-(0)3-6303-9120
Fax +81-(0)3-6303-9124
[email protected]
Germany
HEADQUARTERS
SEEBURGER AG
Edisonstraße 1
D-75015 Bretten (near Karlsruhe)
Phone +49 (0) 72 52/96-0
Fax +49 (0) 72 52/96-2222
[email protected]
www.seeburger.de
www.seeburger.eu
Malaysia
Malaysia Representative Office
Level 28, The Gardens South Tower
Mid Valley City, Lingkaran Syed Putra
59200 Kuala Lumpur
Malaysia
Phone +(603) 2298-7161
Fax +(603) 2298-7333
[email protected]
EUROPE
Austria
SEEBURGER Informatik GmbH
Vienna Twin Tower
Wienerbergstraße 11/12A
A-1100 Wien
Phone +43 (0) 1/99 460-6189
Fax +43 (0) 1/99 460-5000
[email protected]
www.seeburger.at
Belgium & Netherlands
SEEBURGER Benelux B.V.
Het Poortgebouw - Beechavenue 54-60
Schiphol-Rijk
NL-1119 PW, the Netherlands
Phone +31 (0)20 658 6137
Fax +31 (0)20 658 6111
[email protected]
www.seeburger.nl
SEEBURGER Benelux B.V.
Regus Brussels Airport
Pegasuslaan 5
B-1831 Diegem
Belgium
Phone +32.2.709.29.28
Fax +32.2.709.22.22
[email protected]
www.seeburger.be
Hamburg
Gasstraße 18
Haus 1
D-22761 Hamburg
Phone +49 (0) 40/2388240
Fax +49 (0) 40/23882424
[email protected]
Sweden/Scandinavia
SEEBURGER Svenska AB
Vendevägen 90 (7th floor)
SE-182 32 Danderyd
Phone +46 (0) 8 544 99 140
Fax +46 (0) 8 544 99 149
[email protected]
www.seeburger.se
SEEBURGER Svenska AB
Olskroksgatan 30
SE-416 66 Göteborg
Phone +46 (0) 31 339 15 25
Fax +46 (0) 31 339 15 26
[email protected]
Switzerland
SEEBURGER Informatik AG
Samstagernstrasse 57
CH-8832 Wollerau
Phone +41 (0) 44 787 01 90
Fax +41 (0) 44 787 01 91
[email protected]
www.seeburger.ch
Turkey
Phone +49 (0) 72 52/96-1172
[email protected]
www.seeburger.com.tr
Köthen
Konrad-Adenauer-Allee 13
D-06366 Köthen
Phone +49 (0) 34 96/50 81-0
Fax +49 (0) 3496/50 81-27
[email protected]
MIDDLE EAST & AFRICA
Middle East & Africa
Phone +49 (0) 72 52/96-1172
[email protected]
www.seeburger.com
Trier
SEEBURGER Trier GmbH
Max-Planck-Straße 18+20
54296 Trier
Phone +49 (0) 651 99379-0
Fax +49 (0) 651 99379-29
[email protected]
NORTH AMERICA
USA
SEEBURGER, Inc.
1230 Peachtree Street NE
Suite 1020
Atlanta, GA 30309, USA
Phone +1 678-638-4894
Fax +1 770 604 3885
[email protected]
www.seeburger.com
Great Britain/Ireland
SEEBURGER UK Ltd.
Abbey House
450 Bath Road
Longford
West Drayton
Middlesex
UB7 0EB
Phone +44 (0) 208 564 3900
Fax +44 (0) 208 897 8295
[email protected]
www.seeburger.co.uk
www.seeburger.com/global-offices/
Alle genannten Produktnamen sind Eigentum der jeweiligen Unternehmen. Ratgeber Produkt- und Know-how-Schutz · © SEEBURGER AG 10/2014
SEEBURGER AG · Edisonstraße 1 · D-75015 Bretten · Phone: +49 (0) 7252/96-0 · Fax: +49 (0) 7252/96-2222 · [email protected] · www.seeburger.de