Fraunhofer IESE - Evolutionsstufen bis zur automatisierten Zertifizierung 4.0

Zertifizierung 4.0

Fast alle Technologiebereiche werden derzeit auf das Level »4.0« gehievt – doch für das Thema Zertifizierung scheint dies noch nicht zu gelten, obwohl dieser wichtige Aspekt für viele Produkte eine Voraussetzung für das Inverkehrbringen ist. Das Thema betrifft somit Anbieter von Produkten, die TIC-Industrie (Testing, Inspection, Certification) und die Kunden/Nutzer.

Entwicklungsstufen hin zu einer Zertifizierung 4.0

Man kann die digitale Transformation der Zertifizierung in mehrere Evolutionsschritte oder Reifegrade gliedern; aus meiner Sicht ergeben sich fünf Stufen, von denen die letzten drei noch wesentliche Herausforderungen bergen:

  1. Digitalisierung von Dokumenten
    Produkteigenschaften, Prüfdokumente und Zertifikate digital und(!) für andere Softwaresysteme lesbar zur Verfügung zu stellen, ist ein wichtiger erster Schritt.
    Mit digitalen Signaturen oder über Blockchain abgesichert lassen sich zudem Authentizität und Urheberschaften sicher dokumentieren bzw. feststellen.
  2. Digitalisierung von Prozessen
    Erst eine Digitalisierung von Geschäftsprozessen ermöglicht deren Automatisierung. Was im Falle von Zertifizierungsprozessen zum Beispiel das Zusammenstellen relevanter Dokumente und Nachweise bedeuten kann.
  3. Flexibilisierung von Prüfprozessen
    Ein Online-Monitoring von Produkten bzw. Predictive Diagnostics ermöglichen neben einer bedarfsgerechten Prüfung oder Re-zertifizierung auch ganz neue Geschäftsmodelle, welche zum Beispiel unterschiedlichen Einsatzszenarien von Kunden Rechnung tragen.
  4. Zertifizierung von Algorithmen/Software
    Es ist zu erwarten, dass Softwarealgorithmen mehr und mehr Entscheidungen von Menschen übernehmen oder diese in ihrer Entscheidungsfindung unterstützen. Für die Bewertung der Konformität und Zuverlässigkeit einer Software sollte diese entsprechend geprüft und gekennzeichnet sein. Gleiches gilt für das Thema Cyber-Security. Aufgrund von Software-Updates oder Änderungen in der Systemumgebung muss ein solches Zertifikat zudem dynamisch entzogen und wiederholt ausgestellt werden. Dies kann eine Aufgabe von Softwareplattformen eines digitalen Ökosystems sein.
  5. Automatisierte Zertifizierung zur Laufzeit
    Zukünftige vernetzte kollaborative Systeme werden sehr komplex sein und Komponenten unterschiedlichster Hersteller beinhalten. Das sichere und zuverlässige Zusammenarbeiten kann in diesem Falle nicht mehr a priori festgestellt werden, sondern muss dynamisch zur Laufzeit erfolgen, was einem bedingten dynamischen Sicherheitszertifikat (im Sinne von Safety und Security) entspricht.
Fraunhofer IESE - Stufen in einer Zertifizierung 4.0
Evolutionsstufen in einer Zertifizierung 4.0

Herausforderungen

Bereits die ersten beiden Stufen stellen für viele Unternehmen eine Herausforderung und einen hohen Aufwand dar: Schnittstellen zu digitalisierten Dokumenten müssen geschaffen werden und Prozesse müssen erfasst und formalisiert werden. Die dafür notwendigen Technologien sind jedoch bekannt und bewährt. Im Prinzip handelt es sich hierbei noch um »Zertifizierung 3.0«. Dabei kommt es jedoch darauf an, dass nicht einfach »digitale Versionen« eines Papierdokuments erzeugt werden, sondern dass Systeme auch kontextspezifisch darauf zugreifen können – also beispielsweise gezielt einen Wert aus einer Tabelle abfragen können.

Für die Flexibilisierung von Prüfprozessen müssen bestehende Organisationen geändert werden. Zum Teil müssen darüber hinaus auch noch die regulatorischen und gesetzlichen Voraussetzungen geschaffen werden, was ungleich schwieriger ist. Hier beginnt jedoch »Zertifizierung 4.0«: Die Flexibilisierung und kundenspezifische Adaption, die durch die Digitalisierung von Prozessen und Produkten ermöglicht wird, nützt auch hier der TIC-Industrie, den Anbietern und den Kunden. Völlig neue Geschäftsmodelle werden möglich.

Für die Zertifizierung von Algorithmen (zum Beispiel Entscheidungsunterstützungssysteme) oder auch die kontinuierliche Bewertung der Sicherheit fehlen uns vielfach noch die Technologien (ganz zu schweigen von Standards). Wenn KI-basierte Algorithmen menschliche Entscheidungen übernehmen oder bei solchen Unterstützung leisten, dann ergeben sich viele unbeantwortete Fragen im Hinblick auf Transparenz, Nachvollziehbarkeit, Fairness, Gleichbehandlung, Haftbarkeit, Zuverlässigkeit und Datenschutz. Allerdings zeigen aktuelle Vorfälle (gerade nach Software-Updates in technischen Systemen), dass diese geänderte Systemkonfiguration nicht so umfassend geprüft wird wie das Originalprodukt und dass sich dadurch vielfach Fehler einschleichen – mit zum Teil gravierenden Effekten.

Schließlich ist die automatisierte Zertifizierung, ggf. noch während des Betriebs, ein laufendes Forschungsthema (s. z.B. www.deis-project.eu ) ­­­- jedoch ein sehr relevantes und bisher vernachlässigtes. Man muss sich nur einmal die für die nächsten Jahre anvisierten Szenarien hochautomatisierten Fahrens und kollaborativer verteilter Systeme anschauen. Gerade das Fehlen rechtlicher und regulatorischer Rahmenbedingungen wird hier zum Hemmschuh bei der digitalen Transformation und kann im globalen Wettbewerb schnell zum Nachteil werden. Zu den noch ungelösten Fragestellungen gehören hier nicht nur die klassischen technischen Systeme, sondern auch der dynamische Verbund von z.B. Cloud-basierten Backend-Systemen und physischen Geräten. Ein vielversprechender Lösungsansatz ist die Modellierung der Anforderungen und Zusammenhänge der sogenannten nicht-funktionalen Anforderungen und Systemzusammenhänge, sowie eine Integration dieser Modelle in die Funktionsentwicklung. Nur so lassen sich »intelligente Systeme« schaffen, die kontextbezogen und situativ spezifisch agieren und reagieren.

Fazit

Wie bei allen komplexen Fragestellungen der digitalen Transformation gilt auch hier: mit einer klaren Vision als Ziel muss man bereits heute anfangen und sich schrittweise vorarbeiten, um in fünf Jahren noch wettbewerbsfähig zu sein. Beim Thema Zertifizierung sind hier neben der TIC-Industrie auch der Gesetzgeber und Normierungsgremien gefragt.