Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Ferti- gungsobj ektes

Die Erfindung betrifft ein Verfahren, ein zugehörigen Computerprogrammprodukt, eine Fertigungseinheit sowie eine Anord ^¬ nung zur Prüfung einer Konsistenz zwischen Referenzdaten ei- nes Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes, wobei zwei getrennte Kommunikations ^¬ kanäle genutzt werden.

In modernen Automatisierungsanlagen werden zur Steuerung von Fertigungsprozessen oder einzelnen Produktionsschritten IT- Systeme eingesetzt. Diese IT-Systeme kontrollieren den Ferti- gungsprozess basierend auf einem digitalen Abbild der Ferti ^¬ gungsanlage oder einem digitalen Abbild eines zu produzierenden Werkstücks. Das digitale Abbild wird auch digitaler Zwil- ling oder Digital Twin genannt. Der digitale Zwilling des Werkstücks wird während der Fertigung mit dem Zustand des Werkstücks synchronisiert. Der Einsatz von IT-Systemen in der Industrieautomatisierung erfordert angepasste Maßnahmen zur Gewährleistung der IT-Sicherheit. IT-Systeme mit deren zu- grundeliegendem Kommunikationsnetzwerk sind oftmals leichter angreifbar. Insbesondere ist die Konsistenz zwischen physischer Welt und virtueller Repräsentation in Form des digitalen Zwillings entscheidend für einen sicheren Produktionsab ^¬ lauf. Daher sollen Manipulationen an einem Werkstück oder an seinem digitalen Zwilling erkennbar sein.

Es ist allgemein bekannt, eine eindeutige Referenz auf einem Werkstück oder einem Werkstückträger anzubringen, beispielsweise mittels eines passiven Markers wie eines Barcodes oder NFC-Chips . Diese Referenz kann von einer Fertigungsanlage ausgelesen werden und ermöglicht eine eindeutige Zuordnung des Werkstücks bzw. die Zuordnung zu seinem digitalen Zwilling. Es ist überdies bekannt, dass ein Werkstück selbst über IT-Fähigkeiten verfügt und einer Fertigungsanlage aktiv eine Referenz senden kann. Mit diesen Verfahren wird ungesichert eine Referenz des Werkstücks an eine bearbeitende Maschine übermittelt. Sobald ein Auslesen beispielsweise eines RFID- Chips möglich ist, kann eine ungesicherte Übertragung durchgeführt werden, auch durch nicht zu diesem Zweck vorgesehene Lesegeräte, die beispielsweise manipuliert sind. Zudem könnte ein Werkstück einen manipulierten Referenzwert übertragen. Das Vorsehen kryptographischer Verfahren zum Schutz des Referenzwertes erfordert einen aufwändigen Key Management Pro- zess, bei welchem gegebenenfalls durch jedes Werkstück ein ^¬ zeln Schlüsselmaterial ausgestellt und verwaltet werden muss. Bei einer Vielzahl von Werkstücken innerhalb einer Ferti- gungsanlage ist dieser Prozess komplex und verwaltungsinten ^¬ siv .

Daher ist es Aufgabe der vorliegenden Erfindung, ein Verfahren, ein Computerprogrammprodukt hierfür, ein Fertigungsob- jekt sowie eine Anordnung bereitzustellen, welche auf einfa ^¬ che Weise die Sicherheit bei der Verarbeitung von Daten eines digitalen Zwillings eines Fertigungsobjektes erhöhen.

Diese Aufgabe wird durch die Gegenstände der unabhängigen An- sprüche gelöst. Vorteilhafte Ausgestaltungen sind in den ab ^¬ hängigen Ansprüchen angegeben.

Die Erfindung betrifft ein Verfahren zur Prüfung einer Konsistenz zwischen Referenzdaten eines Fertigungsobjektes und Daten eines digitalen Zwillings des Fertigungsobjektes, wobei die Referenzdaten über einen ersten Kommunikationskanal und die Daten des digitalen Zwillings über einen zweiten Kommunikationskanal übertragen werden, und wobei eine erste Übertra ^¬ gung über den ersten Kommunikationskanal an eine physische Verfügbarkeit des Fertigungsobjektes innerhalb einer Ferti ^¬ gungsanlage gekoppelt ist und eine zweite Übertragung über den zweiten Kommunikationskanal an einen Zugriff auf ein Kommunikationsnetzwerk der Fertigungsanlage gekoppelt ist. Unter einem Fertigungsobjekt wird beispielsweise ein Werk ^¬ stück oder Werkstückträger verstanden, beispielsweise ein Werkstück, welches in einem Fertigungsprozess bearbeitet wird. Es kann sich um einen Herstellungsschritt innerhalb ei ^¬ nes Veredelungsprozesses handeln oder um einen Zusammenbau mehrerer Werkstücke zu einem Produkt.

Die Referenzdaten des Fertigungsobjektes enthalten zumindest eine Information, die die Identifikation des Fertigungsobjektes ermöglicht. Beispielsweise ist eine Nummerierung der Fer ^¬ tigungsobjekte innerhalb einer Fertigungsanlage vorgesehen, welche jedes Werkstück oder jedes Objekt zur Bearbeitung eines Werkstückes eindeutig identifiziert. Die Referenzdaten können dafür einen Referenzwert enthalten, der speziell zu Zwecken der Identifizierung vorgesehen ist.

Auf dem digitalen Zwilling des Fertigungsobjektes ist bei ^¬ spielsweise der Fertigungsplan hinterlegt, nach welchem der Fertigungsprozess durchgeführt werden soll. Beispielsweise sind Statusinformationen zum Status des Fertigungsobjektes in aktueller Form auf dem Werkstück hinterlegt. Der digitale Zwilling spiegelt die momentan bestehende physische Anordnung in einer Fertigungsanlage oder einen Status einer Fertigungs- anläge, beispielsweise eines Cyber Physical Production Sys ^¬ tems, kurz CPPS . Dies ermöglicht eine Synchronisation und bi ^¬ direktionale Wechselwirklung oder Absprache mit der digitalen Welt in einem PLM- oder Engineering System. Der digitale Zwilling enthält beispielsweise Informationen über die Kapa- zitäten oder Umgebungsbedingungen, Produktionsschritte oder Aufgaben innerhalb des Cyber Physical Production Systems. Beispielsweise wird ein Speicherinhalt nach jedem Fertigungs ^¬ schritt aktualisiert, um den Status anzupassen. Es sind zwei Kommunikationskanäle, ein erster Kommunikations ^¬ kanal und ein zweiter Kommunikationskanal vorgesehen. Der erste Kommunikationskanal ist an eine physische Verfügbarkeit des Fertigungsobjektes innerhalb einer Fertigungsanlage ge- koppelt. Beispielsweise ist der erste Kommunikationskanal nur aktiv oder nur nutzbar, falls sich das Fertigungsobjekt in einer bestimmten räumlichen Umgebung innerhalb der Fertigungsanlage aufhält. Somit beruht der erste Kommunikationska- nal auf einer physischen Nähe des realen Werkstücks zu einem Wirkungsbereich des Kommunikationspartners. Dabei kann es sich beispielsweise um eine Fertigungseinheit handeln.

Der zweite Kommunikationskanal ist an einen Zugriff auf ein Kommunikationsnetzwerk der Fertigungsanlage gekoppelt. Bei ^¬ spielsweise kann der zweite Kommunikationskanal nur genutzt werden, falls eine Nutzung oder ein Zugang oder ein Zugriff auf ein IT-System der Fertigungsanlage möglich ist. Insbesondere ist ein solcher zweiter Kommunikationskanal über das Kommunikationsnetzwerk der Fertigungsanlage für eine Ferti ^¬ gungsanlage während eines Produktionsprozesses dauerhaft ak ^¬ tiviert und nutzbar. Beispielsweise kann eine Fertigungsein ^¬ heit mit anderen Fertigungseinheiten der Fertigungsanlage permanent Daten austauschen. Es kann überdies der Zugriff auf das Kommunikationsnetzwerk an eine Authentisierung der Fertigungsanlage gekoppelt sein, so dass nur autorisierte Anfragen Zugriff erhalten. Die Sicherheit beruht also auf Absicherung des Kommunikationsnetzwerkes, beispielsweise durch kryptogra- phische Schlüssel oder Zertifikate. Der erste Kommunikations- kanal ist hingegen beispielsweise nur in vorgegebenen Zeit ^¬ spannen nutzbar, in welchem sich das Werkstück oder das Fertigungsobjekt beispielsweise nahe genug oder mit einer pas ^¬ senden Ausrichtung in der Nähe einer Fertigungseinheit befindet. Hier wird also die Sicherheit durch die physische Ver- fügbarkeit des Werkstücks hergestellt.

Auf vorteilhafte Weise werden Daten, die das Fertigungsobjekt betreffen, somit über zwei unabhängige Wege in der Anlage verteilt. Dadurch, dass das Werkstück selbst Informationen tragen kann, kann eine Fertigungsmaschine Daten des physi ^¬ schen Werkstücks direkt auslesen und überdies Daten des digi ^¬ talen Zwillings des Werkstücks über den zweiten Kommunikati ^¬ onskanal beispielsweise aus einem IT-Kommunikationsnetz aus- lesen. Die Verwendung zweier unabhängiger Kommunikationskanäle erhöht die Sicherheit der Daten des digitalen Zwillings, da ein Angreifer für einen erfolgreichen Angriff auf einen Fertigungsschritt zwei unabhängige Kommunikationskanäle gleichzeitig erfolgreich kompromittieren oder manipulieren muss. Beide Kommunikationskanäle sind vorteilhafterweise in einem digitalen Automatisierungssystem ohne notwendige Nachrüstung vorgesehen. Eine IT-Kommunikationsinfrastruktur, wie beispielsweise Profibus oder Industrial Ethernet, kann neben den üblichen Einsatzwecken auch zu Zwecken der Übertragung der Daten des digitalen Zwillings genutzt werden. Der physische Transport des Fertigungsobjektes bewirkt vorteilhafter ^¬ weise automatisch, dass sich das Fertigungsobjekt gemäß dem Produktionsplan für bestimmte Zeiten in einem Wirkungsbereich einer Fertigungseinheit aufhält. Ein Kommunikationsweg, der auf physischer Nähe beruht, wie beispielsweise optische Kom ^¬ munikationsverfahren oder Nahfeldkommunikationsverfahren, sind zum Auslesen von Referenzwerten vorgesehen.

Die Konsistenzprüfung zwischen Daten des physischen Werkstücks und Daten, die in einem digitalen Zwilling des Werkstücks gespeichert sind, sichert eine Integrität und/oder Au ^¬ thentizität einer der beiden Datensätze, sofern dem anderen vertraut werden kann. Somit sind Manipulationen von Daten des digitalen Abbildes im digitalen Zwilling oder Manipulationen am Werkstück oder Werkstückträger detektierbar . Ist einer der beiden Kommunikationskanäle geschützt bzw. das Werkstück oder der digitale Zwilling des Werkstücks geschützt, so kann die Konsistenzprüfung Auskunft über die Integrität des jeweils anderen Kanals oder Datensatzes geben.

Die Konsistenzprüfung erfolgt zu dem Zweck, im Falle einer Inkonsistenz reagieren zu können. Beispielsweise erfolgt ein Ausgeben eines Prüfergebnisses und nur im Falle einer bestä- tigten Konsistenz erfolgt daraufhin ein weiterer Schritt, beispielsweise eine Verarbeitung des Fertigungsobjektes durch die Fertigungseinheit. Beispielsweise ist eine Übertragung der Daten des digitalen Zwillings nur möglich in Fällen, in denen ein Prüfergebnis vorliegt, das die Konsistenz zwischen den Referenzdaten und den Daten des digitalen Zwillings belegt, so dass damit insbesondere auf eine Integrität der Da ^¬ ten des digitalen Zwillings geschlossen werden kann. Es er- folgt auf vorteilhafte Weise eine Kopplung der Daten des di ^¬ gitalen Zwillings mit einem spezifischen physikalischen Werkstück .

Gemäß einer Ausgestaltung beruht der erste Kommunikationska- nal auf einer physischen Nähe und ist insbesondere für ein optisches Kommunikationsverfahren oder für ein Nahfeldkommu- nikationsverfahren ausgerichtet. Somit kommt es zu einer Übertragung der Referenzdaten von einem Fertigungsobjekt über den ersten Kommunikationskanal nur, falls beispielsweise der physische Abstand klein genug ist. Beispielsweise wird ein

Nahfeldkommunikationsverfahren wie NFC, kurz für Near-Field- Communication, angewandt, welches für kurze Strecken von wenigen Zentimetern eine Datenübertragung ermöglicht. Somit ist nur in einem begrenzten räumlichen Bereich innerhalb der Fer- tigungsanlage die erfolgreiche Nutzung des ersten Kommunika- tionskanales möglich. Eine Datenübertragung von insbesondere manipulierten Referenzdaten eines anderen oder manipulierten Fertigungsobjektes, welches sich nicht in dem festgelegten räumlichen Gebiet innerhalb der Fertigungsanlage, insbesonde- re in einem Radius um die Fertigungseinheit, befindet, können somit auf vorteilhafte Weise nicht über den ersten Kommunika ^¬ tionskanal übermittelt werden.

Gemäß einer Ausgestaltung beruht der zweite Kommunikationska- nal auf einer Kommunikationsinfrastruktur, insbesondere auf einer Profibus- oder Industrial Ethernet-Struktur . Somit können klassische Industriekommunikationsnetzwerke genutzt wer ^¬ den, welche insbesondere eine Kopplung zu einem Büronetzwerk aufweisen können.

Gemäß einer Ausgestaltung wird als Referenzdaten neben einem Referenzwert zusätzlich eine erste Prüfsumme über die Daten des digitalen Zwillings übertragen und es wird eine zweite Prüfsumme über die über den zweiten Kommunikationskanal über ^¬ tragenen Daten des digitalen Zwillings gebildet und die zwei ^¬ te Prüfsumme mit der ersten Prüfsumme verglichen und auf Kon ^¬ sistenz hin geprüft. Insbesondere wird als Referenzwert ein Marker, z.B. in Form einer Seriennummer oder einer ferti- gungsanlageninternen Nummerierung übermittelt. Bei der ersten Prüfsumme über die Daten des digitalen Zwillings handelt es sich beispielsweise um einen Hash-Wert. Es wird eine Hash- Funktion auf die Daten des digitalen Zwillings angewandt und nur die Prüfsumme, aus welcher aufgrund der Eigenschaften von Einwegfunktionen nicht auf die Daten des digitalen Zwillings rückgeschlossen werden kann, sind auf dem Fertigungsobjekt hinterlegt. Beispielsweise werden der Referenzwert sowie die erste Prüfsumme der Daten des digitalen Zwillings von einem Prozessor einer Fertigungsanlage verarbeitet. In einer Vari ^¬ ante ist der Referenzwert Bestandteil der Prüfsumme, das heißt es erfolgt eine PrüfSummenbildung über einen Datensatz aus den Daten des digitalen Zwillings verknüpft oder

konkateniert mit dem Referenzwert.

Auf Basis der Referenz werden die Daten des digitalen Zwillings über den zweiten Kommunikationskanal angefordert. Bei ^¬ spielsweise sind diese auf einer zentralen Steuerungskompo ^¬ nente in einem Speicher hinterlegt. Beispielsweise führt der Prozessor auf Grundlage der über den zweiten Kommunikations ^¬ kanal, z.B. über ein Industrial Ethernet-System, empfangenen Daten des digitalen Zwillings eine PrüfSummenbildung durch. Somit wird der Hash-Wert der Daten des digitalen Zwillings gebildet. Es handelt sich dabei um die zweite Prüfsumme. Die- se beruht auf der Sicherheit des zweiten Kommunikationskana- les bzw. der Unversehrtheit des Speichers. Es erfolgt ein Ab ^¬ gleich der beiden Prüfsummen. Sind diese beiden weitgehend identisch, beispielsweise nach Beachtung möglicher auftretender Übertragungsfehler, so liegt eine Konsistenz zwischen den Referenzdaten des Fertigungsobjektes und den Daten des digi ^¬ talen Zwillings des Fertigungsobjektes vor. Es kann mit er ^¬ höhter Sicherheit davon ausgegangen werden, dass weder das Fertigungsobjekt selbst noch der digitale Zwilling manipu- liert wurde. Somit ermöglicht das Verfahren einen Integri ^¬ tätsschutz der Daten des digitalen Zwillings.

Gemäß einer Ausgestaltung werden als Referenzdaten neben ei- nem Referenzwert zusätzlich ein symmetrischer Schlüssel oder Informationen zur Generierung eines symmetrischen Schlüssels übertragen. Die Daten des digitalen Zwillings werden mit dem symmetrischen Schlüssel in verschlüsselter Form gespeichert und sind mit dem symmetrischen Schlüssel entschlüsselbar. Beispielsweise sind durch einen Prozessor einer Fertigungsma ^¬ schine der Referenzwert und der Schlüssel oder die Schlüssel ^¬ informationen über den ersten Kommunikationskanal empfangbar, sobald das Werkstück sich im Wirkungsbereich der Fertigungsmaschine befindet. Die Daten des digitalen Zwillings werden in verschlüsselter Form über den zweiten Kommunikationskanal von einem Speicher übertragen.

Nur falls das korrekte Schlüsselmaterial auf der Fertigungs ^¬ maschine vorliegt, können die Daten des digitalen Zwillings entschlüsselt werden. Ein Angreifer, welcher die Daten des digitalen Zwillings manipulieren möchte, müsste Kenntnis über den symmetrischen Schlüssel haben, um innerhalb des Kommunikationsnetzwerkes die Daten des digitalen Zwillings in unver ^¬ schlüsselter Form verfügbar zu haben und dann gegebenenfalls zu manipulieren. Ein Austausch von verschlüsselten Daten durch einen Angreifer und eine Übertragung der manipulierten Daten kann beispielsweise unter Verwendung zusätzlicher Maßnahmen, beispielsweise vorteilhaft bei Verwendung von

authenticated encryption, auffallen.

Überdies wird durch die vorgeschlagene Ausführungsform auf vorteilhafte Weise ein Auslesen der Daten des digitalen Zwillings auf Seiten des Kommunikationsnetzwerkes verhindert. Die Daten liegen zu keiner Zeit in unverschlüsselter Form vor. Beispielsweise liegen die Daten in unverschlüsselter Form erst auf der Fertigungseinheit vor und auch erst, nachdem der symmetrische Schlüssel über den ersten Kommunikationskanal ermittelt werden konnte. Vertrauliche Daten im digitalen Zwilling sind auf vorteilhafte Weise erst lesbar, wenn eine Fertigungseinheit oder Maschine physischen Zugriff auf das Werkstück hat. Ebenso kann die Fertigungseinheit selbst erst dann Zugriff auf die Daten des Zwillings in unverschlüsselter Form bekommen und diese verarbeiten, wenn sie physischen Zugriff auf das Werkstück hat. Insbesondere können auf vorteil ^¬ hafte Weise vertrauliche Prozessanweisungen innerhalb der Da ^¬ ten des digitalen Zwillings verschlüsselt werden. Weniger kritische Daten können unverschlüsselt vorliegen, um den Re- chenaufwand zu reduzieren. Eine Schlüsselvereinbarung oder das Verteilen des Schlüsselmaterials kann beispielsweise in einer vertraulichen Umgebung während einer Initialisierungsphase vorgenommen werden. Gemäß einer Ausgestaltung werden als Referenzdaten neben einem Referenzwert zusätzlich ein symmetrischer Schlüssel oder Informationen zur Generierung eines symmetrischen Schlüssels übertragen. Neben den Daten des digitalen Zwillings wird zusätzlich ein erster Nachrichtenauthentifizierungscode über die Daten des digitalen Zwillings übertragen und ein zweiter Nachrichtenauthentifizierungscode über die über den zweiten Kommunikationskanal übertragenen Daten des digitalen Zwillings mittels des symmetrischen Schlüssels gebildet. Der ers ^¬ te Nachrichtenauthentifizierungscode wird mit dem zweiten Nachrichtenauthentifizierungscode verglichen und auf Konsis ^¬ tenz hin geprüft. In diesem Szenario liegen zwar die Daten des digitalen Zwillings auch in unverschlüsselter Form innerhalb des Kommunikationsnetzwerkes vor, dafür entfällt ein Entschlüsselungsalgorithmus beispielsweise auf einem Prozes- sor der Fertigungseinheit und es kann sattdessen eine einfa ^¬ che Bildung eines Nachrichtenauthentifizierungscodes, bei ^¬ spielsweise eines Message Authentication Codes, kurz MAC ge ^¬ nannt, durchgeführt werden. Es können auch sogenannte keyed- Hash-Funktionen verwendet werden, die eine Prüfsumme unter Einbeziehung des symmetrischen Schlüssels bilden.

Auf vorteilhafte Weise wird ein Integritätsschutz der Daten des digitalen Zwillings mittels der MAC-Prüfsumme oder der keyed-Hash-Prüfsumme ermöglicht. Es ist so sichergestellt, dass die Daten des digitalen Zwillings nach einer initialen Hinterlegung der Prüfsumme, beispielsweise auf dem Speicher, auf den das Kommunikationsnetzwerk zugreift, nicht verändert oder manipuliert wurden bzw. Veränderungen der Daten im digitalen Zwilling nur durch autorisierte Entitäten erfolgte, die den zugehörigen Schlüssel kennen. Da zunächst ein erfolgrei ^¬ cher Abgleich zwischen dem ersten Nachrichtenauthentifizie- rungscode und dem zweiten Nachrichtenauthentifizierungscode erfolgen muss, bevor beispielsweise eine Weiterverarbeitung der Daten des digitalen Zwillings möglich ist, ist zugleich sichergestellt, dass auch die Übertragung über den ersten Kommunikationskanal, welche das Schlüsselmaterial bereit ^¬ stellt, erfolgreich durchgeführt werden konnte. Da über das physische Werkstück und den ersten Kommunikationskanal also der passende Schlüssel oder das passende Schlüsselmaterial geliefert werden muss, um einen mit dem ersten Nachrichtenau ^¬ thentifizierungscode übereinstimmende zweiten Nachrichtenau ^¬ thentifizierungscode ermitteln zu können, wird die Authenti- zität des Fertigungsobjektes nachgewiesen. Eine erfolgreiche Konsistenzprüfung kann wiederum Voraussetzung für weitere Fertigungsschritte oder Freigaben oder Zugriffserlaubnis im Fertigungsverfahren sein. Die Mechanismen zum Schutz der Vertraulichkeit und der Si ^¬ cherstellung der Integrität bzw. Authentizität können vorteilhaft kombiniert werden.

Gemäß einer Ausgestaltung sind die Informationen als Start- wert ausgebildet und geeignet zur Generierung des symmetri ^¬ schen Schlüssels mittels einer Schlüsselableitungsfunktion. Es wird also entweder direkt ein symmetrischer Schlüssel oder ein Input für eine Schlüsselableitung ergänzt. Beispielsweise werden zur Schlüsselableitung sogenannte Key Derivation

Functions verwendet.

Gemäß einer Weiterbildung werden ein fertigungsobj ektspezifi- scher Schlüssel oder fertigungsobj ektspezifische Informatio- nen durch Einbeziehen fertigungsobj ektspezifischer Merkmale in eine Schlüsselableitungsfunktion bereitgestellt, wobei die fertigungsobj ektspezifischen Merkmale insbesondere mittels des Referenzwertes oder mittels einer physikalisch

unklonbaren Funktion erzeugt werden. Somit kann ein je Fertigungsobjekt oder Werkstück individueller Schlüssel generiert werden oder übertragen werden. Somit sind die Daten des digitalen Zwillings nur entschlüsselbar oder eine MAC Prüfsumme darüber nur verifizierbar, falls der fertigungsobj ektspezi- fisch passende Schlüssel mit Hilfe des ersten Kommunikations ^¬ kanals verfügbar gemacht wurde. Beispielsweise kann eine op ^¬ tische physisch unklonbare Funktion, kurz PUF, eingesetzt werden, die die individuelle Oberflächenstruktur eines Werkstücks erfasst. So sind Daten des digitalen Zwillings auf vorteilhafte Weise nur entschlüsselbar, falls von dem passenden Fertigungsobjekt, das über die physikalisch unklonbare Funktion eindeutig charakterisiert ist, die Referenzdaten er ^¬ folgreich über den ersten Kommunikationskanal übertragen wurden .

Gemäß einer Ausgestaltung wird als Referenzdaten neben einem Referenzwert zusätzlich ein Eingangswert einer Einwegfunktion übertragen und die Daten des digitalen Zwillings über den zweiten Kommunikationskanal übertragen, falls ein Ergebnis- wert der Einwegfunktion über den Eingangswert mit einem gespeicherten Ergebniswert übereinstimmt. Es soll beispielswei ^¬ se gelten, dass ein Ergebniswert E durch das Anwenden einer Hash-Funktion auf einen Eingangswert P erhältlich ist. Den Referenzdaten wird der Eingangswert P beigefügt. Ein Zugriff auf die Daten des digitalen Zwillings über den zweiten Kommunikationskanal soll nur möglich sein, wenn eine Hash-Wert- bildung des passenden Ergebniswertes E mittels Anwendens der Hash-Funktion auf den korrekten Eingangswert P nachgewiesen werden kann. Dieser Nachweis erfolgt auf vorteilhafte Weise vor Übertragung der Daten des digitalen Zwillings, so dass die Kenntnis des Eingangswertes als Autorisierungsmerkmal ge ^¬ nutzt wird. Alternativ kann eine Prüfung im Nachhinein erfolgen und beispielsweise eine Alarmmeldung bewirken. Dafür liegt an geeigneter Stelle ein gespeicherter korrekter Ergebniswert vor. Insbesondere ist der korrekte Ergebniswert E Be ^¬ standteil der Daten des digitalen Zwillings. Es wird die Kon ^¬ sistenz zwischen den Referenzdaten inklusive Eingangswert P und den Daten des digitalen Zwillings inklusive Ergebniswert E geprüft. Wiederum ist ein Zugriff auf die Daten des digita ^¬ len Zwillings durch eine Fertigungseinheit nur möglich, falls auch die physische Nähe zu dem Fertigungsobjekt besteht, da Kenntnis über den Eingangswert P erlangt werden muss. Außer- dem kann je nach Ausgestaltung des Eingangswertes eine Manipulation der Daten auf dem Werkstück oder Fertigungsobjekt oder des Fertigungsobjektes selbst erkennbar sein, da dann der korrekte Eingangswert in der Regel nicht vorliegen wird. Für Fälle, in denen der korrekte Eingangswert trotz Manipula- tion der Daten oder des Werkstücks vorliegt, kann zusätzlich ein Abgleich der Daten mit den Referenzdaten erfolgen, um eine Abweichung und so eine Manipulation erkennen zu können.

Die Konsistenzprüfung kann je nach Ausgestaltung ein direktes Abgleichen zweier Datensätze, insbesondere zweier Prüfsummen, beinhalten oder eine Plausibilitätsprüfung eines Referenzwertes, der aus entschlüsselten Referenzdaten gewonnen wird, oder eine Prüfung auf Übereinstimmung zweier verwendeter Schlüssel oder eine Abfrage eines Geheimnisses.

Die Erfindung betrifft ferner ein Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des oben beschriebenen Verfahrens aufweist, wenn das Computerprogramm auf einer programmgesteuerten Einrichtung zur Ausführung ge- bracht wird.

Ein Computerprogrammprodukt, wie beispielsweise ein Computer ^¬ programmmittel, kann beispielsweise als Speichermedium, wie beispielsweise Speicherkarte, USB-Stick, CD-ROM, DVD oder auch in Form einer herunterladbaren Datei von einem Server in ein Netzwerk bereitgestellt oder geliefert werden. Dies kann z.B. in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerpro- grammprodukt oder dem Computerprogrammmittel erfolgen. Als programmgesteuerte Einrichtung kommt insbesondere eine Steu ^¬ ereinrichtung, wie z.B. ein Mikroprozessor, in Frage. Die Erfindung betrifft ferner eine Fertigungseinheit aufwei ^¬ send eine erste Schnittstelle zu einem Fertigungsobjekt, wo ^¬ bei über die erste Schnittstelle Referenzdaten des Ferti ^¬ gungsobjektes empfangbar sind, wobei eine erste Übertragung der Referenzdaten an eine physische Nähe zwischen Fertigungs- einheit und Fertigungsobjekt gekoppelt ist, sowie eine zweite Schnittstelle zu einem Kommunikationsnetzwerk einer Fertigungsanlage, wobei über die zweite Schnittstelle Daten eines digitalen Zwillings des Fertigungsobjektes empfangbar sind, wobei eine zweite Übertragung der Daten des digitalen Zwil- lings an einen Zugriff auf das Kommunikationsnetzwerk gekoppelt ist, sowie eine Prüfeinheit zum Prüfen einer Konsistenz zwischen Referenzdaten des Fertigungsobjektes und den Daten des digitalen Zwillings des Fertigungsobjektes. Die Erfindung betrifft ferner eine Anordnung aus Fertigungs ^¬ objekt, Fertigungseinheit, Speichereinheit und Prozessor mit einem ersten Kommunikationskanal zwischen Fertigungsobjekt und Fertigungseinheit beruhend auf einer physischen Nähe zwi ^¬ schen Fertigungseinheit und Fertigungsobjekt zur Übertragung von Referenzdaten des Fertigungsobjektes und mit einem zwei ^¬ ten Kommunikationskanal eines Kommunikationsnetzwerkes zwi ^¬ schen Fertigungseinheit und Speichereinheit zur Übertragung von Daten eines digitalen Zwilling des Fertigungsobjektes, wobei der Prozessor geeignet ist zur Prüfung einer Konsistenz zwischen den Referenzdaten und den Daten des digitalen Zwillings .

Gemäß einer Ausgestaltung ist der Prozessor in die Fertigungseinheit integriert oder wird durch einen Cloud-Service bereitgestellt oder ist in eine Steuerungseinheit einer Fer ^¬ tigungsanlage integriert, insbesondere gemeinsam mit der Speichereinheit . Die Erfindung wird nachfolgend anhand eines Ausführungsbei ^¬ spiels mit Hilfe der Figuren näher erläutert. Es zeigen:

Figur 1 schematische Darstellung eines Werkstückes beim

Durchlaufen eines Ausschnittes einer Fertigungs ^¬ straße gemäß dem Ausführungsbeispiel der Erfin ^¬ dung;

Figur 2 schematische Darstellung der Kommunikations- schritte gemäß einer ersten Variante des Ausfüh ^¬ rungsbeispiels;

Figur 3 schematische Darstellung der Kommunikations ^¬ schritte gemäß einer zweiten Variante des Ausfüh- rungsbeispiels ;

Figur 4 schematische Darstellung der Kommunikations ^¬ schritte gemäß einer dritten Variante des Ausfüh ^¬ rungsbeispiels;

Figur 5 schematische Darstellung der Kommunikations ^¬ schritte gemäß einer vierten Variante des Ausfüh ^¬ rungsbeispiels .

In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist

In Figur 1 ist schematisch das Durchlaufen mehrerer Fertigungsschritte durch ein Werkstück in einer automatisierten Fertigungsanlage gezeigt. Es handelt sich beispielsweise um eine Fertigungsstraße, bei welcher ein Werkstück WP je Ferti ^¬ gungseinheit Pa, Pb einen oder mehrere Produktionsschritte durchläuft. Beispielsweise handelt es sich um das Zusammen ^¬ bauen mehrerer Komponenten oder um ein Veredeln des Werk- Stücks, oder ein Beschichten, oder um ein Umlagern auf einem Werkstückträger. Das Werkstück WP wird dabei beispielsweise mit Hilfe eines Förderbandes C in den Wirkungsbereich ver ^¬ schiedener Fertigungseinheiten Pa, Pb transportiert. Bei- spielsweise wird durch eine erste Fertigungseinheit Pa die Oberfläche des Werkstückes WP bearbeitet. Es handelt sich beispielsweise um eine Schleifmaschine. Bei der darauffolgen ^¬ den Fertigungseinheit Pb handelt es sich beispielsweise um eine Maschine zum Auftragen einer Beschichtung oder zum Anbringen von Hilfsmitteln, wie Schrauben oder ähnlichem. Das Werkstück WP weist einen Speicher auf, welcher einen Referenzdatensatz Dl speichern kann. Es kann sich dabei beispielsweise um einen Barcode oder NFC-Chip handeln. Bei- spielsweise ist ein passiver Marker vorgesehen, bei welchem eine Energieversorgung von außen über eine Antenne erfolgt. Sobald dieser Chip in die Nähe eines Lesers der ersten Ferti ^¬ gungseinheit Pa gelangt, kann der erste Kommunikationskanal Chi zwischen Werkstück WP und Fertigungseinheit Pa benutzt werden. Über diesen ersten Kommunikationskanal Chi, der also auf der Nähe des Werkstücks WP zu einer ersten Schnittstelle IF1 beruht, wird ein Referenzwert übertragen, welcher das Werkstück WP identifiziert. Der Referenzwert ist Teil des Re ^¬ ferenzdatensatzes Dl.

Über eine zweite Schnittstelle IF2 kann die Fertigungseinheit Pa den zweiten Kommunikationskanal nutzen. Insbesondere wird ein IT-Kommunikationsnetzwerk genutzt, über welches der Fertigungseinheit Pa Daten des digitalen Zwillings D2 des Werk- Stückes WP übermittelt werden. Das IT-Kommunikationsnetzwerk kann ferner zum Datenverkehr der verschiedenen Fertigungseinheiten Pa, Pb einer Fertigungsanlage untereinander sowie von Fertigungseinheiten mit Steuereinheiten vorgesehen sein. Insbesondere greift die Fertigungseinheit Pa über den zweiten Kommunikationskanal Ch2 auf Daten aus einem Speicher M eines Steuerungsrechners zu. Die Konsistenzprüfung erfolgt insbe ^¬ sondere auf einem auf der Fertigungseinheit vorgesehenen Pro ^¬ zessor oder auf einer separaten Einheit, die zugleich einen Zugriff der Fertigungseinheit auf Daten über den zweiten Kom- munikationskanal Ch2 nur in Abhängigkeit vom Ergebnis der Konsistenzprüfung freigibt. Figur 2 zeigt zu einer ersten Variante des Ausführungsbei ^¬ spiels eine schematische Darstellung der über die verschiede ^¬ nen Kommunikationskanäle übertragenen Daten. Die Reihenfolge der Datenübertragungsschritte ist jeweils von oben nach unten aufzufassen. Zunächst wird beispielsweise gemäß der ersten Variante als Referenzdatensatz Dl der Referenzwert Rl sowie eine Prüfsumme Hl über die Daten des digitalen Zwillings übertragen. Es handelt sich beispielsweise bei der Prüfsumme Hl um den Hash-Wert der Daten des digitalen Zwillings. Somit sind auf dem Werkstück WP die Daten des digitalen Zwillings

D2 des Werkstücks WP, welche einen Fertigungsplan oder Konfigurationsparameter oder ähnliches enthalten, nicht in direkt zugänglicher Weise gespeichert, sondern lediglich durch eine Prüfsumme geschützt hinterlegt.

Die Fertigungseinheit Pa, welche das Werkstück WP beispiels ^¬ weise auf Grundlage der Daten des digitalen Zwillings D2 wei ^¬ terverarbeiten soll, verwendet den Referenzwert Rl, um über einen zweiten Kommunikationskanal Ch2 beispielsweise von ei- ner zentralen Steuerungseinheit oder einem Cloud-Service die Daten des digitalen Zwillings D2, die dort auf einem Speicher M hinterlegt sind, anzufordern. Die Daten des digitalen Zwillings D2 werden der Fertigungseinheit bereitgestellt und die ^¬ se bildet auf Basis der digitalen Daten D2 eine zweite Prüf- summe H2. Unter Anwendung der gleichen Funktion für die Prüfsummenberechnung wie bei der Berechnung der ersten Prüfsumme Hl sollte so ein identischer Wert bei der Prüfsummenberech- nung ermittelt werden, so dass sich H1=H2 ergibt. Dann be ^¬ steht eine Konsistenz zwischen den Referenzdaten Dl und den Daten des digitalen Zwillings D2 und es kann eine Authentizität der über das IT-Kommunikationsnetzwerk erhaltenen angenommen werden. Ergibt sich eine abweichende Prüfsumme, so kann auf eine Veränderung der Daten des digitalen Zwillings D2 oder eine Veränderung der ersten Prüfsumme Hl oder eine fehlerhafte Referenz Rl geschlossen werden. In jedem Fall ist von einer Integrität der Daten des digitalen Zwillings nicht ohne weiteres auszugehen. Je nach Wahrscheinlichkeit für Schwachstellen können nun Fehlerquellen oder Manipulationsangriffe auf die Fertigungsanla ^¬ ge gesucht werden. Insbesondere werden auf vorteilhafte Weise Angriffe erkannt, welche eine Manipulation der Daten des di- gitalen Zwillings D2 bewirken. Ebenso wird ein Austausch des Werkstücks WP oder eine Manipulation des Werkstücks WP er ^¬ kannt, sofern die eindeutige Referenz nicht mehr zum digita ^¬ len Zwilling passt oder die Prüfsumme Hl zur Sicherung der digitalen Daten des Zwillings D2 ausgetauscht oder verändert wurde.

Gemäß einer zweiten Variante übermittelt das Werkstück WP mit dem Referenzdatensatz Dl einen Referenzwert Rl sowie krypto- graphisches Schlüsselmaterial K. Diese Variante ist in Figur 3 veranschaulicht. Es wird insbesondere direkt ein Schlüssel, beispielsweise ein symmetrischer Schlüssel, übermittelt. Die Fertigungseinheit Pa erhält gemäß dieser Variante Daten des digitalen Zwillings D2 in verschlüsselter Form D2ENC. Dies geschieht über den zweiten Kommunikationskanal Ch2. Somit werden gemäß dieser Variante zu keinem Zeitpunkt Daten des digitalen Zwillings D2 in unverschlüsselter Form auf einem der Kommunikationskanäle der Fertigungsanlage übermittelt. Insbesondere wird mittels des Referenzwertes der dazugehörige verschlüsselte Datensatz D2ENC angefordert. Alternativ sind insbesondere die Datensätze von potentiellen Fertigungsobjekten, d.h. deren Digital-Twin-Daten, in verschlüsselter Form bereits auf der Fertigungseinheit Pa vorhanden und mittels des Referenzwertes wird die spätere Konsistenzprüfung durch ^¬ geführt .

Es wird nun von der Fertigungseinheit Pa bzw. einem darauf befindlichen Prozessor ein Entschlüsselungsalgorithmus ange ^¬ wandt, um aus den entschlüsselten Daten D2ENC des digitalen Zwillings unter Anwendung des kryptographischen Schlüssels K die Daten des digitalen Zwillings D2 in unverschlüsselter Form zu erhalten. Ist die Entschlüsselung erfolgreich, was beispielsweise mittels des Referenzwertes Rl geprüft werden kann, so erfolgt eine Weiterverarbeitung der entschlüsselten Daten des digitalen Zwillings D2. Andernfalls wird beispiels ^¬ weise eine Alarmmeldung von der Fertigungseinheit Pa ausgege ^¬ ben, um eine Manipulation der auf dem Speicher M gespeicherten verschlüsselten Daten D2ENC des digitalen Zwillings oder eine Manipulation des Werkstückes WP zu melden.

Figur 4 veranschaulicht eine Alternative zur Variante in Fi ^¬ gur 3, bei welcher ein Message Authentication Code MAC2 über den zweiten Kommunikationskanal Ch2 an die Fertigungseinheit Pa übertragen wird. Es handelt sich um eine mittels eines kryptographischen Schlüssels gebildete Prüfsumme über die Da ^¬ ten des digitalen Zwillings D2. Mittels des über den ersten Kommunikationskanal Chi empfangenen kryptographischen Schlüssel K wird ein zweiter Message Authentication Code MAC2 ge- bildet und dieser wird mit dem ersten Message Authentication Code MAC1 verglichen. Stimmen diese überein oder bis auf Übertragungsfehler überein, so liegt eine Konsistenz zwischen den Referenzdaten, inklusive des Schlüsselmaterials, und den Daten des digitalen Zwillings, mittels MAC geschützt, vor. Es kann daraus geschlossen werden, dass der über den ersten Kommunikationskanal Chi übertragene Referenzwert Rl sowie der kryptographische Schlüssel K von dem korrekten, zu dem digi ^¬ talen Zwilling passenden Werkstück WP übermittelt wurden und nicht manipuliert wurden. Außerdem kann so sichergestellt werden, dass die Daten des digitalen Zwillings D2, welche beispielsweise auf einem Cloud-Server in unverschlüsselter Form gespeichert sind, seit Berechnen des Message Authentica ^¬ tion Codes MAC1 nicht verändert wurden. Daher sollte die Be ^¬ rechnung in einer frühen, vertrauenswürdigen Phase erfolgen. Alternativ kann die Berechnung durch entsprechend autorisierte Entitäten zur Laufzeit erfolgen.

Bei einer vierten Variante, welche in Figur 5 veranschaulicht ist, wird über den ersten Kommunikationskanal neben dem Refe- renzwert Rl ein Eingangswert PI oder ein sogenanntes Pre-

Image übertragen. Es gilt, dass eine kryptographische Prüf- summe, beispielsweise eine Hash-Funktion, über den Eingangs ^¬ wert PI das Ergebnis El liefert. Der Eingangswert PI wird über den zweiten Kommunikationskanal Ch2 im Kommunikations ^¬ netzwerk der Fertigungsanlage übermittelt, insbesondere an eine zentrale Steuerungseinheit mit Prozessor. Diese berech ^¬ net das Ergebnis El des Anwendens einer Hash-Funktion auf den Eingangswert PI. Die Fertigungseinheit Pa muss gegenüber ei ^¬ ner Prüfeinheit in der Lage sein, den korrekten Eingangswert PI vorzuweisen. Aufgrund der Einwegeigenschaft der Hash- Funktion ist dies nur möglich, wenn der Eingangswert PI der Fertigungsanlage über den ersten Kommunikationskanal übermit- telt wurde. Über den zweiten Kommunikationskanal ist der kor ^¬ rekte Eingangswert PI hingegen nicht erhältlich. Insbesondere liegt innerhalb des Kommunikationsnetzwerkes lediglich ein Referenzergebnis E2 vor, mit welchem El übereinstimmen muss, damit die Daten des digitalen Zwillings D2 ebenfalls über den zweiten Kommunikationskanal auf die Fertigungseinheit Pa übertragen werden.

Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und ande ^¬ re Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.