Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Proprietäre Lösungen abgeschaltet

Ein sicherer Draht zu 90 Maschinen

Die Hersteller von über 90 Maschinen wollten sich bei der Komet Group mit unterschiedlichen Fernwartungs-Lösungen in das Produktions-Netzwerk einwählen. Dem Vorteil einer hohen Maschinenverfügbarkeit standen unwägbare Sicherheits-Risiken und der steigende Verwaltungsaufwand entgegen. Abhilfe schuf erst ein einheitliches abgesichertes Fernwartungssystem, auf das alle Maschinenhersteller zugreifen.

Draufsicht einer Produktionshalle von Komet. Fernwartung möglich?

Bild: Komet Group GmbH

Die Komet Group ist weltweit tätiger Anbieter von Präzisionswerkzeugen für Bohren, Reiben, Fräsen, Gewinden und Prozessüberwachung. Die Gruppe betreibt 50 internationale Niederlassungen auf allen fünf Kontinenten, darunter 22 Tochtergesellschaften, 40 Service- und Vertriebscenter sowie zehn Produktionsstandorten weltweit. „Durch die Fernwartung vonseiten der Hersteller konnten wiederholt ungeplante Maschinenstillstände vermieden werden. Das ist für uns von großem Vorteil. Durch die unterschiedlichen Maschinenhersteller wurden viele verschiedene Fernwartungstechnologien eingesetzt. Das ist in der Administration sehr aufwendig und auch das Sicherheitsniveau ist nicht immer ausreichend“, beschreibt Stephan Rupp die Ausgangssituation beim Thema Fernwartung. Er ist IT-Systemmanager bei der Komet Group und war der Projektleiter für die Einführung einer einheitlichen Teleserviceplattform.

Sichere Fernwartung ein Muss

In den immer stärker vernetzten Produktionsumgebungen gehören Fernwartungszugriffe heute zum Alltag. Gleichzeitig steigen die Risiken durch immer komplexere Cyberangriffe, die ganze Produktionsnetzwerke lahmlegen können. „Wir hatten eine Checkliste mit Anforderungen an die Fernwartungslösung erstellt. Für externe Zugriffe auf unser Produktionsnetzwerk haben wir hohe Sicherheitsstandards definiert. Der Zugriff soll auf ein einzelnes Wartungsobjekt beschränkt werden und die Verbindung muss immer von innen nach außen aufgebaut werden. Dabei soll der Maschinenführer die Fernwartung ständig unter Kontrolle haben und die Verbindung jederzeit abbrechen können“, schildert der IT-Systemmanager. Die Fernwartungs-Lösung sollte der Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Cyber-Sicherheit entsprechen, wonach jeder externe Zugriff über eine verschlüsselte Verbindung erfolgen und im Detail dokumentierbar sein muss. Die Handhabung der Fernwartung sollte darüber hinaus möglichst einfach und ein deutschsprachiger Support des Herstellers an mindestens acht Stunden an fünf Tagen in der Woche erreichbar sein. Das Management der Lösung sollte über eine Web-Konsole oder einen Web-Client administrierbar sein und auf dem Support-PC dafür keine gesonderte Anwendung installiert werden müssen. „Wir hatten Kontakt zu einigen Anbietern und mussten feststellen, dass etliche Konzepte und Lösungsansätze nicht stimmig und schlüssig waren und der Verbindungsaufbau zu umständlich. Gespräche mit Referenzkunden ergaben, dass die Lösungen im Handling oft viel zu kompliziert waren. Wir haben schließlich drei Lösungen in die engere Wahl genommen, wobei uns das Konzept von Genua mit einer Rendezvous-Lösung am meisten überzeugt hat“, berichtet Stephan Rupp.

Keine einseitigen Zugriffe von außen

Die Genua GmbH ist ein IT-Sicherheitsspezialist für die Absicherung sensibler Schnittstellen im Behörden- und Industriebereich bis hin zur Vernetzung hochkritischer Infrastrukturen. Alle Produkte werden in Deutschland entwickelt und produziert. Bei der Fernwartungs-Lösung werden keine einseitigen Zugriffe in die Netze des Maschinenbetreibers zugelassen. Alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) neben der Firewall des Maschinenbetreibers installiert ist. Zu einem verabredeten Zeitpunkt bauen sowohl der externe Wartungs-Service als auch der Maschinenbetreiber Verbindungen auf. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Durch die Rendezvous-Lösung behält der Betreiber die vollständige Kontrolle über Wartungszugriffe auf Anlagen in seinem Netz. Für den Gebrauch der Lösung muss auf dem Support-PC keine gesonderte Software installiert werden. Die Lösung ist konform zur BSI-Veröffentlichung zur sicheren Fernwartung. Laut BSI sollte der Fernwartungszugriff möglichst nicht pauschal pro (Sub-) Netz erfolgen, sondern pro IP und Port geregelt werden können. „Dies minimiert die Reichweite von Fernwartungszugängen und beschränkt somit auch die Folgen einer Kompromittierung. Ein möglicher Ansatz ist beispielsweise der Aufbau von 1:1-Verbindungen mittels SSH statt der Kopplung ganzer Netze durch IPsec“, heißt es beim BSI. Die Fernwartungs-Lösung bei Komet erlaubt einem Dienstleister einen Zugang nur zu dem von ihm betreuten Wartungsobjekt. Risiken für das Produktionsnetz werden damit deutlich reduziert.

Netzwerksegmente in der Produktion für mehr Sicherheit

Als zusätzliche Absicherung seiner Anlagen hat der Präzisionswerkzeughersteller die Produktion in abgestufte Sicherheitszonen segmentiert. „Es gibt noch Maschinen mit einem ungepatchtem Uralt-Betriebssystem, worauf auch kein Virenschutz installiert werden darf. Hier greift deshalb ein sehr restriktives Sicherheits-Regelwerk“, erläutert Sven Heinze vom IT-Servicesupport der Komet Group. Andere Anlagen sind dagegen besser geschützt und werden vom Hersteller laufend aktuell gehalten. Für die unterschiedlichen Sicherheitsanforderungen wurden von Komet angepasste Netzwerksegmente mit eigenen Sicherheitsstufen und differenzierten Firewall-Regeln eingerichtet und durch Virtual Local Area Networks (VLAN) umgesetzt. Die einzelnen Anlagen sind dadurch konsequent voneinander abgeschottet und vor außerplanmäßiger Einwirkung geschützt.


Das könnte Sie auch interessieren:

Security Automation, Management digitaler Identitäten, Aufbau neuer Plattformen, Schutz vor Bedrohungen durch IoT-fähige Geräte und Einsatz von DevOps — laut einer Studie des IT-Dienstleisters Capgemini sind dies die Trends des IT-Jahres 2020.‣ weiterlesen

Yaskawa Europe betreibt 23 Standorte mit 110 Servicetechnikern in den Bereichen Antriebstechnik und Robotik. Um die Einsätze der Fachkräfte bestmöglich zu disponieren, hat der Mechatronik- und Robotikspezialist die europaweiten After Sales-Abläufe mit Servicemanagement-Software von MobileX vereinheitlicht.‣ weiterlesen

Seit 2018 verantwortet Michael Ruchty für den Veranstalter Euroexpo die Logimat in Stuttgart. Im Gespräch mit der IT&Production spricht Michael Ruchty über Messen als Informationsquelle und darüber, was die Logimat in diesem Jahr zu bieten hat.‣ weiterlesen

Der Anlagen- und Maschinenbau hat das Internet of Things ins Zentrum seiner branchenweiten digitalen Transformation gerückt. Firmen auf Partnersuche sollten jedoch beachten, dass sich die Herausforderungen von KMU und großen Unternehmen deutlich unterscheiden - und dies bei der Lösungswahl berücksichtigen.‣ weiterlesen

Das Projekt ‘Pricing digitaler Produkte‘, an dem u.a. das FIR an der RWTH Aachen beietiligt ist, befasst sich mit der Preisbildung für das Digitalgeschäft der produzierenden Industrie.‣ weiterlesen

Klassische Scada- und HMI-Systeme stoßen an ihre Grenzen, wenn Maschinen und Anlagen zunehmend über Tablets, Smartphones oder direkt von einem Browser aus überwacht und gesteuert werden sollen. Hier setzen HTML-basierte Lösungen an, besonders, wenn sich die mitgelieferten Designtools ohne Spezialwissen bedienen lassen.‣ weiterlesen

Der Automatisierungstreff in Böblingen widmet sich vom 24. bis zum 26. März mit seinem Workshopangebot und dem Marktplatz Industrie 4.0 der digitalen Transformation.‣ weiterlesen

Mit einer Beteiligung in Höhe von etwa 28 Prozent steigt die Hörmann Gruppe, u.a. Spezialist für Tore und Zutrittskontrollsysteme, beim IT-Consulter Orbis ein.‣ weiterlesen

Beim neuen Automatisierungssystem ctrlX Automation will Bosch Rexroth klassische Grenzen zwischen Steuerungstopologien, Antriebstechnik und IT aufheben: Steuerungsseitig kommt ein einziges CPU-Modul zum Einsatz, das erst in den verschiedenen Komponenten seine spezifische Funktionalität erhält - über das Software-Ökosystem. Dieses ist offen ausgelegt und stellt Features als Apps bereit. Was Anwender davon haben? Steffen Winkler von Bosch Rexroth hat es unserer Schwesterzeitschrift SPS-MAGAZIN erzählt.‣ weiterlesen

Microlauncher sind eine Alternative zu herkömmlichen Trägerraketen. Die mittelgroßen Transportsysteme können Nutzlasten bis 350kg befördern und sollen künftig kleine Satelliten in den Weltraum bringen. Forscher am Dresdner Fraunhofer-Institut für Werkstoff- und Strahltechnik IWS haben gemeinsam mit Raumfahrtexperten der TU Dresden ein additiv gefertigtes Raketentriebwerk mit Aerospike-Düse für Microlauncher entwickelt. Der skalierte Prototyp aus Metall soll 30 Prozent weniger Treibstoff als konventionelle Triebwerke verbrauchen.‣ weiterlesen

Anzeige
Anzeige
Anzeige