MASC und ITL haben die Gemeinsamkeit, dass sie Sensoren verwenden, um die Qualität des Trans-ports zu erhöhen, indem sie Informationen über die Frachtbedingungen preisgeben. Sie unterscheiden sich aber in der Wahl der Infrastruktur und der Kommunikation voneinander.
7.2.1 Infrastruktur
MASC benötigt eine Infrastruktur beim Containerstellplatz und umgeht damit die Notwendigkeit ei-ner Satellitenverbindung. Der Nachteil ist, dass MASC-Einheiten nur online sein können, wenn eine Infrastruktur vorhanden ist. Besonders interessant ist die Betrachtung der beiden Verfahren, wenn erst wenige Container mit entsprechenden Einheiten ausgestattet sind. Bei MASC wären bei einer flächen-deckenden Infrastruktur die Kosten pro Container extrem hoch. Es wäre vermutlich auf einige An-fangsstrecken begrenzt und würde sich langsam mit einer höheren Containerdurchsetzung entwickeln.
Bei der ITL sind die Kosten pro Container konstant. Es ist allerdings notwendig, dass die Container nach Möglichkeit am Ende des Schiffes oder oben in den Stapeln platziert werden, um eine Satelliten-verbindung aufbauen zu können.
2ZigBee ist ein stromsparendes Sendeverfahren nach IEEE 802.15.4. [37]
7.2 Vergleich zwischen MASC und ITL
Je mehr überwachte Container es gibt, desto günstiger wird im MASC-Fall die nötige Infrastruktur pro Container (bei konstanter Ausbaustufe). Bei vorhandener Infrastruktur ist es egal, wo der MASC-Con-tainer in einem ConMASC-Con-tainerstapel steht. Aber auch bei ITL weichen die Anforderungen an die Positio-nierung der TREC-ausgerüsteten Container auf, wenn viele von Ihnen vorhanden sind. Wenn nämlich in jedem Stapel mindestens ein Container eine Satellitenverbindung aufbauen kann, dann kann durch Meshing die Erreichbarkeit auf alle erweitert werden.
7.2.2 Meshing
Da die Lebenszeit der TRECs auf maximal acht Wochen begrenzt sein muss, können energieaufwän-dige Satellitenverbindungen überhaupt erst aufgebaut werden und die Container sind nicht auf Push-Verfahren angewiesen. Wegen dieser Grundvoraussetzung kann Meshing aus technischer Sicht zwi-schen den TRECs genutzt werden. Die wichtigste Bedingung beim Meshing ist aber, dass die anderen Geräte vertrauenswürdig sein müssen. Dies ist unter der Annahme der Fall, dass nur IBM die Ge-räte produziert. Wenn es jedoch Angreifern gelingt, gefälschte TRECs einzuschleusen oder IBM ihr Monopol bezüglich der TREC-Herstellung verliert, wäre das Meshing angreifbar.
Bei MASC sind diese beiden Eigenschaften nicht gegeben, weswegen MASC auf Meshing verzichtet.
Dies ist aber wegen der Infrastruktur auch nicht erforderlich.
7.2.3 Kundenbindung
Mærsk hat das Interesse, mit dem ITL die potenziellen Shipper als Spediteur an sich zu binden. IBM will ebenfalls exklusiver Ausrüster der TRECs sein. Betriebswirtschaftliches Ziel ist das Erreichen einer Marktführerrolle. Nicht von dieser Kundenbindung profitierende staatliche Behörden haben kein Interesse daran, ein System mit bedingter Kundenbindung als Standard vorzuschreiben. ITL adressiert lediglich Kunden von teurer Ware, die eine verbesserte Frachtüberwachung wünschen.
MASC versucht keine marktpolitischen Verschiebungen der aktuellen Logistikbranche zu erzielen, sondern den Status quo zu erhalten. Jede Partei soll durch Mitkonkurrenten ersetzbar sein, sogar der Bau der MASC-Einheiten könnte auf mehrere Zulieferer verteilt werden. So besteht auch innerhalb des Systems eine Konkurrenzsituation zwischen den RSOs oder zwischen den Spediteuren, die al-le das System verwenden können. Auf diese Weise kann eine effiziente Selbstkontrolal-le des Systems erfolgen.
7.2.4 Terrorabwehr
Das ITL-System ist nicht zur Terrorabwehr entwickelt worden und lässt sich nicht gut erweitern. Die leicht zu entfernenden Einheiten widersprechen der Anforderung einer adäquaten Containerüberwa-chung. Ein Terrorist könnte die Einheit abnehmen und in einen Stahlbehälter einschließen. Die Einheit könnte wegen der Abschirmung keine Alarmierung mehr aussenden. Dieser Angriff wäre sehr leicht möglich, wenn der Ausführende Zugang zum Container erhält. Des Weiteren müsste jeder Container
mit einem TREC ausgerüstet werden. Die Kosten wären dabei sehr viel höher als bei den günstigeren MASC-Einheiten.
Bei flächendeckender Einführung der Basisstationen sänken die Infrastrukturkosten pro Container stark. Die Kosten für die Einheiten würden die Infrastrukturkosten dominieren und der Kostenvergleich beschränkte sich auf Preise der Einheiten.
7.2.5 Kosten
Ohne die jeweiligen Systeme kostenmäßig genau abschätzen zu können, erlauben die beiden Geschäfts-modelle Rückschlüsse auf die Systeme, da sich verschiedene Kosten pro Containereinheit amortisier-ten. Da die ITL wertvolle Fracht ausrüsten will und nur hier ihren Einsatzbereich sieht, kann sie wesent-lich teurer sein als die MASC-Einheit, die auch für günstige Fracht Rentabilität erzielen will. MASC möchte die sehr günstigen Transportkosten absolut wenig erhöhen und auch bei günstiger Fracht mit den entsprechend geringeren Versicherungseinsparungen mithalten können.
Für einen kostenabschätzenden Vergleich können die Systeme komponentenweise verglichen werden.
Die Sensorik von MASC und ITL wird ähnlich teuer sein. Die Prozessoren der ITL müssen etwas leistungsfähiger sein, da wesentlich mehr Datenverarbeitung durchgeführt wird. Dies gilt ebenfalls für den Arbeitsspeicher. Da die Speicherdauer der Ereignisse des ITL nicht bekannt ist, kann nur die Ver-mutung angestellt werden, dass die Ereignisse nach dem bestätigten Versenden nicht mehr vorgehalten werden. Deswegen könnte eine MASC-Einheit mehr Langzeitspeicher anfordern.
Im Bereich der Kommunikation unterscheiden sich beide Systeme deutlich. Da die MASC-Einheit die Kosten für die Großdistanzkommunikation auf die MASC-Infrastruktur auslagert, teilen sich alle MASC-Container diese Kosten. Bei der ITL müssen diese Kosten von jedem Container selbst getragen werden. Alleine die Existenz der drei Funkmodule erhöht die Kosten für den TREC deutlich.
Kostenabschätzung Die Kosten der Einheiten sind natürlich stückzahlabhängig. Bei Grundlage der Preise, die zurzeit für standardisierte Sensornetzwerkknoten aufzuwenden sind, und deren Hoch-rechnung für die zwei Modelle läge ein TREC am oberen Ende des dreistelligen Eurobereichs, während die MASC-Einheite500 bis 600 kostete. Bezüglich des TRECs wurde diese Kostenabschätzung von einem IBM-Mitarbeiter bestätigt. Dass die MASC-Einheit durch den Einsatz wesentlich genügsame-rer Hardware und den Verzicht auf Satellitenverbindung, GPS-Empfänger und Mobilfunkeinheit (bei vergleichbarer Stückzahl) günstiger als der TREC sein kann, liegt nahe.
8 Schluss
Das Design der MASC-Anwendung ist auf drei Zielkriterien abgestimmt:
1. Ein Sicherheitskonzept einer verteilten Anwendung ist nur effektiv wirksam, wenn es in der grundlegenden Architektur verankert ist (vgl. Abschnitt 2.2.5).
2. Eineeffektive und effizienteSicherheitsarchitektur muss auf die speziellen Anforderungen der Anwendung abgestimmt sein (vgl. Abschnitt 2.2).
3. Der Zielkonflikt zwischen Sicherheit und effektiver Implementierbarkeit muss stets einen ange-messenen Sicherheitslevelgewährleisten.
Jede Abwägung dieser Arbeit versucht die optimale Erfüllung dieser drei zentralen Anforderungen zu erreichen. Eine absolute Sicherheit ist bei einem angestrebten Massenprodukt wie diesem leider nicht zu erzielen. Diese ist nicht bezahlbar und praktisch nicht existent. Es ist daher wichtig, eine angemessene Sicherheit zu gewährleisten.
Um in realen Anwendungen den Spagat zwischen einem sicheren Systementwurf und einer sowohl be-züglich Entwicklungskosten als auch Energieverbrauch kostengünstigen Umsetzung zu schaffen, müs-sen die Sicherheitsanforderungen sinnvoll abgestimmt werden. Eine betriebswirtschaftliche Definition ist die Folgende.
Definition 8.1(Angemessene Sicherheit).
Angemessene Sicherheit⇔Aufwand>Nutzen
Ein System ist angemessen sicher, wenn der zu investierende Aufwand für die Angreifer größer ist als der zu erwartende Nutzen, den sie durch diesen Angriff erzielen.
Die Schwierigkeit bei dieser allgemein gefassten Definition ist die Bewertung des Aufwandes und vor allem des Nutzens. Diese Formel darf daher nicht als mathematische Gleichung aufgefasst werden, in die lediglich ein Einsetzen der Variablen erfolgen muss. Sie soll vielmehr formalisieren, welche Abhängigkeiten sich bei der Abstimmung der Sicherheitsmechanismen ergeben. Die in dieser Arbeit angeführten Bedrohungen zeigen die Vielseitigkeit der Angriffsszenarien mit völlig anderen Anforde-rungen und auch unterschiedlichem Nutzen für den Angreifer.
8.1 Angreifer-Nutzen in der MASC-Anwendung
Abschnitt 3.4 führt eine Sicherheitsbetrachtung der MASC-Infrastruktur mit ihren Bedrohungen durch.
Exemplarisch werden drei Angreifertypen mit einem hohen Nutzen am Brechen des Systems zusam-mengefasst, wie sie an verschiedenen Stellen in dieser Arbeit diskutiert wurden.
Frachtführerwerden als mögliche Angreifer angeführt. Ihr Ziel ist es, eine falsche Containerbeförde-rung zu verschleiern oder in den Zuständigkeitsbereich eines anderen Frachtführers zu verschieben. Der finanzielle Nutzen, dass für eventuell entstandene Frachtschäden nicht aufgekommen werden muss, ist abhängig von der Fracht und kann sehr groß werden.
Terroristen, die versuchen, sich Zugang zum Container zu verschaffen, könnten ein Interesse daran haben, dass die MASC-Einheit nicht mehr verfügbar ist und somit ihre Anwesenheit nicht preisgibt. Ein Angriff auf die Basisstation im Catwalk oder ein Störsignal in Containerreichweite kann dies erzielen.
Die Zollbehörden könnten nicht zuordnen, ob sich der auftretende Offlinestatus auf einen technischen Defekt oder einen Angriff zurückführen lässt. Im Nachhinein würde sich zwar der Speicher der MASC-Einheit auslesen lassen, aber diese Bedrohungserkennung erfolgt unter Umständen zu spät. Der Nutzen von terroristischen Anschlägen lässt sich rational nicht ermessen. Die Vergangenheit lehrte aber, dass die verfügbaren finanziellen Mittel von Terroristen sehr hoch sein können. Auf jeden Fall handelt es sich bei Terroristen ebenfalls um sehr potente Angreifer.
Auch bei der Industriespionage ist der Nutzen potenzieller Angreifer groß. Zwar sind Informatio-nen über den logistischen Warenstrom nicht ganz so geheim wie neueste wissenschaftliche Errun-genschaften, doch gibt es auch hier ein Bedrohungspotenzial. Wenn noch geheime Produkte vor der Markteinführung transportiert werden, dann könnte ein Konkurrent interessiert sein, die Ware zu steh-len. Wenn aber mehrere tausend Container das Werk verlassen, ist der Angriff auf einzelne Container so aussichtslos wie die sprichwörtliche Suche der Nadel im Heuhaufen. Dies ändert sich aber, wenn der Angreifer die Frachtbeschreibung leicht auslesen kann. Darüber hinaus ist die Information über einen aufgetretenen Frachtschaden ebenfalls ein Firmengeheimnis, welches zukünftige marktstrategi-sche Entmarktstrategi-scheidungen beeinflussen kann.