Conference PaperPDF Available

Datensicherheit: Die nächste große Herausforderung in der modernen Landtechnik?

Authors:

Abstract

Der wirtschaftliche Druck in der Landwirtschaft mit weniger Ressourcen höhere Erträge zu erwirtschaften hat zu einer zunehmenden Automatisierung und Industrialisierung agrartechnischer Prozesse geführt. Die Vernetzung von kooperativen Agrarprozessen verfügt über außerordentliches wirtschaftliches Potenzial, birgt aber auch große Gefahren für die Datensicherheit. Daten werden vielfach nicht durch den Dateneigentümer erfasst, sondern von beauftragten Dienstleistern (z.B. von Lohnunternehmen). Bei einer Datenerfassung durch Dienstleister sind Datenzugriffe nicht kontrollierbar und nachträgliche Datenmanipulationen nicht auszuschließen. Datensicherheitslösungen aus anderen Wirtschaftsbereiche lassen sich nur unzureichend auf die Landtechnik übertragen. Dieser Beitrag stellt ein Basiskonzept zur bereichsübergreifenden Datensicherheit in der Landtechnik vor. Das Ziel des Konzeptes ist, die Datenhoheit durch den Eigentümer zu jeder Zeit zu gewährleisten und ausgewählte Prozessdaten manipulationssicher zu dokumentieren.
A. Ruckelshausen et al. (Hrsg.): Intelligente Systeme Stand der Technik und neue Möglichkeiten,
Lecture Notes in Informatics (LNI), Gesellschaft für Informatik, Bonn 2016 15
Datensicherheit: Die nächste große Herausforderung in der
modernen Landtechnik?
Franz Kraatz
1
, Frank Nordemann
1
, Ralf Tönjes
1
Abstract: Der wirtschaftliche Druck in der Landwirtschaft mit weniger Ressourcen höhere Erträge
zu erwirtschaften hat zu einer zunehmenden Automatisierung und Industrialisierung agrartech-
nischer Prozesse geführt. Die Vernetzung von kooperativen Agrarprozessen verfügt über außer-
ordentliches wirtschaftliches Potenzial, birgt aber auch große Gefahren für die Datensicherheit.
Daten werden vielfach nicht durch den Dateneigentümer erfasst, sondern von beauftragten Dienst-
leistern (z.B. von Lohnunternehmen). Bei einer Datenerfassung durch Dienstleister sind Datenzu-
griffe nicht kontrollierbar und nachträgliche Datenmanipulationen nicht auszuschließen. Daten-
sicherheitslösungen aus anderen Wirtschaftsbereiche lassen sich nur unzureichend auf die Land-
technik übertragen. Dieser Beitrag stellt ein Basiskonzept zur bereichsübergreifenden Datensicher-
heit in der Landtechnik vor. Das Ziel des Konzeptes ist, die Datenhoheit durch den Eigentümer zu
jeder Zeit zu gewährleisten und ausgewählte Prozessdaten manipulationssicher zu dokumentieren.
Keywords: Kooperative Agrarprozesse, Datensicherheit, Privatsphäre
1 Daten in kooperativen Agrarprozessen
Während der Ausführung von Agrarprozessen nehmen Landmaschinen über den herstel-
lerübergreifenden ISOBUS unterschiedlichste Daten in Form von Messwerten auf.
Durch erfasste Daten zu Erträgen oder tatsächlichen Ausbringmengen können Prozesse
optimiert und z.B. durch Applikationskarten mit teilflächenspezifischen Applizierungs-
angaben effizient gedüngt werden. Auch die Dokumentation zur Einhaltung von gesetz-
lichen Auflagen (z.B. Nährstoffbilanzen) erfolgt auf Basis der erfassten Daten, indem
der applizierte Dünger ins Verhältnis zum Ertrag gesetzt wird. Eine Datenübertragung
von Landmaschine zu Landwirt erfolgt meist ohne zwischengeschaltete Stationen. Aller-
dings erfahren Datendrehscheiben zum Datenaustausch zwischen Prozessakteuren eine
steigende Verbreitung. Bislang finden bei der Übertragung und Verarbeitung dieser für
den Landwirt sehr wichtigen Daten nur sehr geringe bis keine Datensicherheitsmecha-
nismen Verwendung. Zudem werden Daten des Landwirts von unterschiedlichsten Sys-
temen und Akteuren (Datendrehscheiben, Lohnunternehmen, Dienstleistern) erfasst und
verarbeitet. Unberechtigte Datenzugriffe und Datenmanipulationen werden nicht ausge-
schlossen. Es fehlt ein akteurübergreifendes, verteiltes Rechtemanagement, um den Da-
tenzugriff in einer verteilten Umgebung mit unterbrechungsbehafteter Kommunikation
zu sichern. Auch rechtliche Vorgaben zur lückenlosen Nachweispflicht werden eine
manipulationssichere Datenerfassung erfordern.
1
Hochschule Osnabrück, Fakultät Ingenieurwissenschaften und Informatik, Albrechtstr. 30, 49076 Osnabrück,
Deutschland, f.kraatz;f.nordemann;r.toenjes@hs-osnabrueck.de
Published in: 36. GIL-Jahrestagung, Gesellschaft für Informatik in der Land-, Forst-, und
Ernährungswirtschaft, Osnabrück, Februar 2016.
16 Franz Kraatz, Frank Nordemann et al.
2 Datensicherheit in anderen Wirtschaftsbereichen
Die Grundlage für digitale Datensicherheit bilden symmetrische und asymmetrische
Verschlüsselungstechniken. Der Unterschied beläuft sich auf die Verwendung eines
Schlüssels bei symmetrischen Verfahren und dem Einsatz eines Schlüsselpaares bei
asymmetrischen Verfahren. Beide Verfahren besitzen Vor- und Nachteile, weshalb sich
z.B. für die sichere Datenkommunikation im Internet eine Mischform etabliert hat. Zur
eindeutigen Zuordnung von öffentlichen Schlüsseln zu Kommunikationspartnern haben
sich digitale Signaturen etabliert. Hier werden die Schlüsselpaare der asymmetrischen
Verschlüsselung in umgekehrter Reihenfolge verwendet. Eine vertrauenswürdige Instanz
signiert den öffentlichen Schlüssel des Kommunikationspartners. Das Verfahren wird bei
Bankkarten eingesetzt, um Überweisungen digital zu unterschreiben. Ein zentrales Prob-
lem bei der Verteilung digitaler Daten ist die Gewährleistung der Datenhoheit. Die Me-
dienindustrie realisiert Video- und Musikstreaming über gekapselte Softwareumgebun-
gen, die mit Digital Rights Management (DRM) [Sta03] Datenzugriffe kontrollieren.
Diese Mechanismen erlauben auch ohne stetige Kommunikationsverbindung den Daten-
zugriff (Offline-Modus). Um Daten mit Gruppen zu teilen kann die Attribute Based Enc-
ryption (ABE) [LW11] eingesetzt werden. So können Ärzte oder Krankenschwestern je
nach Gruppenzugehörigkeit auf die digitale Patientenakte zugreifen.
In zur Landtechnik verwandten Wirtschaftsbereichen ist ein deutlich gestiegenes Be-
wusstsein für Datensicherheit zu erkennen. Stuxnet hat verdeutlicht, dass auch Industrie-
anlagen durch Cyberangriffe bedroht werden. Mit Industrie 4.0 wird die Automatisie-
rung industrieller Prozesse gesteigert. Dabei rückt das Thema Datensicherheit in den
Fokus, weshalb das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine
Reihe von Anforderungen und Testempfehlungen für Hersteller erarbeitet hat [BSI14].
In der Automobilindustrie werden unter dem Begriff Car-to-X Verkehrsinformationen
ausgetauscht und Autos vermehrt direkt oder über Smartphones an das Internet ange-
bunden. Damit ist das Fahrzeug kein geschlossenes Kommunikationssystem mehr und
Sicherheitslücken können für Cyberangriffe [Sch15] missbraucht werden. Eine Übertra-
gung bestehender Datensicherheitskonzepte aus anderen Bereichen (Bank- / Gesund-
heitswesen, Industrie 4.0) ist durch die Charakteristika der Landtechnik nicht ohne Ein-
schränkung möglich. Agrarprozesse verfügen über heterogene und dynamisch ändernde
Akteure und Komponenten, die in einer örtlich verteilten und mit Kommunikationsun-
terbrechungen versehenen Umgebung einen Auftrag bearbeiten. Dennoch soll die Da-
tenhoheit über erfasste Daten zu jedem Zeitpunkt beim Auftraggeber liegen. Auch recht-
liche Dokumentationsvorgaben müssen mit beschränkter Hardware eingehalten werden.
3 Basiskonzept zur Datensicherheit in der Landtechnik
Das entwickelte Basiskonzept zur Datensicherheit in Abb. 1 wird anhand des Agrarpro-
zesses Flüssigmistausbringung erläutert. Dieser Anwendungsfall beinhaltet neben einer
bedarfsgerechten Düngeverteilung auf einem Schlag auch die manipulationssichere
Datensicherheit: Die nächste große Herausforderung in der modernen Landtechnik? 17
Dokumentation der Ausbringmengen, die an zuständige Behörden gemeldet werden. Der
Agrarprozess wird zudem nicht durch den eigentlichen Landwirt, sondern durch einen
beauftragten Lohnunternehmer bearbeitet und über eine Datendrehscheibe zugestellt.
RM-Box
Sensor
Aktor Signier-
Box
RM-Box
Distributor /
Lizensierte
Auftragsdate n (2)
Lizensierte
Auftragsdate n (1)
Notwendige
Prozessdaten
Signierte
Prozessdaten
Notwendige
Prozessdaten
Signierte
Prozessdaten
(PK-Landwirt)
Landwirt
SK-Landwirt
PK-Lohnunte rnehmer
(PK-RM-Box)
Lohnunternehmer
PK = öffentliche r Schlüssel SK = gehe imer Schlüssel RM = Rechtemanagement
Klartext Lizenz
Signierte Daten Verschlüs selte Daten
Ad-Hoc
Asym.
Verschlüsselung
Abb. 1: Basiskonzept zur Datensicherheit in der Landtechnik
Zur Wahrung der Datenhoheit durch den Dateneigentümer ist die Nutzung von digitalen
Lizenzen für den Zugriff auf Daten vorgesehen. Der Eigentümer beschreibt in einer
Lizenz, welchen Akteuren er für einen bestimmten Zeitraum ein Nutzungsrecht auf eine
definierte Datenmenge einräumt. Auf diesem Weg kann ein Landwirt z.B. einen Daten-
satz über den Auftrag Flüssigmistdüngung einem Lohnunternehmer zukommen lassen
und den Datenzugriff auf den Ausführungszeitraum begrenzen. Die Datensicherheit kann
bei Bedarf durch Mechanismen der Attribute Based Encryption (ABE) weiter gesteigert
werden, in dem für den Datenzugriff Attribute erfüllt sein müssen (z.B. Zugriffsort,
Zugriffskomponente, etc.). Die Einhaltung der Nutzungslizenzen wird durch eine mani-
pulationssichere Software zum Datenzugriffsmanagement gewährleistet. Sie ist auf
prozessteilnehmenden Geräten (PCs, mobile Geräte, Landmaschinenterminals) installiert
oder kann als Hardwarebaustein (RechteManagement-Box [RM-Box]) realisiert werden.
Die Software kapselt Datensätze auf den Geräten und regelt Zugriffe über Nutzungsli-
zenzen. Der Zugriff auf Prozessdaten kann zur Laufzeit konfiguriert werden, um die
Datenhoheit des Landwirts bei der Datenaufnahme durch einen Lohnunternehmer zu
sichern. Die weitläufigen Umgebungen im Agrarbereich verlangen zudem ein funktions-
fähiges Rechtemanagement ohne kontinuierliche Kommunikationsverbindung. Zu die-
sem Zweck ist ein zeitlich beschränkter Offline-Modus in der Software / der RM-Box
vorgesehen. Die Datensicherheit auf dem Übertragungsweg wird zunächst durch die
Verschlüsselung des Kommunikationspfades gewährleistet. Bekannte Mechanismen wie
HTTPS, WPA oder virtuelle Tunnel bieten effektiven Schutz gegen das Abhören von
Kommunikationsverbindungen. Zusätzlich integriert das Konzept Methoden zur asym-
metrischen Verschlüsselung mittels RSA. Mithilfe von öffentlichen und privaten Schlüs-
seln kann ein Datensatz nur vom vorgesehen Empfänger (z.B. eine Person, eine Maschi-
ne, eine RM-Box) entschlüsselt werden. Möglichen Zwischenstationen auf dem Übertra-
18 Franz Kraatz, Frank Nordemann et al.
gungsweg (Personen, Maschinen, Datendrehscheiben, etc.) bleibt die Entschlüsselung
verwehrt. In einigen Fällen ist ein uneingeschränkter Datenzugriff erforderlich, durch
den die Datenhoheit des Eigentümers nicht mehr zu gewährleisten ist. Ein Precision-
Farming-Anbieter benötigt meist unbeschränkten Zugriff auf Boden- und Ertragskarten,
um Applikationskarten zu berechnen. In derartigen Szenarien dienen digitale Wasserzei-
chen (Watermarking) als Hilfsmittel, um Missbrauchsstellen eindeutig zu identifizieren.
Zur manipulationssicheren Dokumentation von Prozessdaten wird eine gesicherte
Hardwareumgebung verwendet. Eine von einer vertrauenswürdigen Stelle geprüfte Sig-
nier-Box versieht Prozessdaten mit einer digitalen Signatur. Im Anwendungsfall Flüs-
sigmistausbringung können Ausbringmengen von einer Behörde zweifelsfrei geprüft
werden, da die Signatur eine spätere Datenmanipulation ausschließt. Reine Software-
Lösungen sollten aufgrund größerer Angriffsmöglichkeiten vermieden werden.
4 Zusammenfassung
In Zukunft werden die von verschiedenen Akteuren erfassten und verarbeiten Daten-
mengen in der Landtechnik weiter steigen. Die Datensicherheit wird zum entscheiden-
den Erfolgsfaktor bei der kooperativen Bearbeitung von Agrarprozessen. Eine einfache
Übertragung von Sicherheitskonzepten aus anderen Wirtschaftsbereichen ist aufgrund
der spezifischen Charakteristika der Landtechnik ausgeschlossen.
Das Basiskonzept für eine akteurübergreifende Datensicherheit in der Landtechnik setzt
auf eine effektive Adaption und Kombination bewährter Sicherheitsmechanismen aus
der Informations- und Kommunikationstechnik. Im Fokus der Konzeption steht die
Wahrung der Datenhoheit des Eigentümers, der prozessbezogene Datenzugriff in einem
verteilten Umfeld mit heterogenen Akteuren und die manipulationssichere Datendoku-
mentation. Das Basiskonzept soll das Problembewusstsein in der Landtechnik schärfen
und als Grundlage einer gemeinschaftlichen Diskussion zur Problemlösung dienen.
Literaturverzeichnis
[BSI14] BSI: ICS-Security-Kompendium. 11/2014, https://www.bsi.bund.de/SharedDocs/
Downloads/DE/BSI/ICS/ICS-Security-Kompendium-Hersteller.pdf (19.11.2015).
[Eck06] Eckert, C.: IT-Sicherheit - Konzepte, Verfahren, Protokolle. Oldenbourg, 2006.
[LW11] Lewko, A.; Waters, B.: Decentralizing Attribute-Based Encryption. Proc. of 11th Int.
EUROCRYPT Conf., Springer-Verlag, Heidelberg, S. 568-588, 2011.
[Sch15] Schneider, D.: Jeep Hacking 101. IEEE Spectrum, 08/2015, http://spectrum.ieee.org/
cars-that-think/transportation/systems/jeep-hacking-101 (19.11.2015).
[Sta03] Stamp, M.: Digital Rights Management - The Technology Behind the Hype. J. Elect-
ron Commerce Res., 4. Jg., Nr. 3, S. 102-112, 2003.
ResearchGate has not been able to resolve any citations for this publication.
Article
Full-text available
A specific digital rights management (DRM) system designed for digital document protection is presented in some detail. Following some background information on document protection, the various technical measures employed by this DRM system are discussed. These technical measures include a variety of tamper -resistance methods, controlled execution techniques, encryption, digital watermarking and other techniques. The discussion of specific security features is followed by a discussion of several other current and developing DRM systems and technologies. Comments and conjectures on the limitations and future directions of the technology are made throughout.
Article
We propose a Multi-Authority Attribute-Based Encryption (ABE) system. In our system, any party can become an authority and there is no requirement for any global coordination other than the creation of an initial set of common reference parameters. A party can simply act as an ABE authority by creating a public key and issuing private keys to different users that reflect their attributes. A user can encrypt data in terms of any boolean formula over attributes issued from any chosen set of authorities. Finally, our system does not require any central authority. In constructing our system, our largest technical hurdle is to make it collusion resistant. Prior Attribute-Based Encryption systems achieved collusion resistance when the ABE system authority "tied" together different components (representing different attributes) of a user's private key by randomizing the key. However, in our system each component will come from a potentially different authority, where we assume no coordination between such authorities. We create new techniques to tie key components together and prevent collusion attacks between users with different global identifiers. We prove our system secure using the recent dual system encryption methodology where the security proof works by first converting the challenge ciphertext and private keys to a semi-functional form and then arguing security. We follow a recent variant of the dual system proof technique due to Lewko and Waters and build our system using bilinear groups of composite order. We prove security under similar static assumptions to the LW paper in the random oracle model.