IT-Management in der Smart Factory

Die Endpunkte kennen und managen

Die Vernetzung von Maschinen und Anlagen wird mehr und mehr zum Standard. Die Vernetzung mit der Unternehmens-IT und dem Internet erzeugt allerdings auch Herausforderungen – vor allem beim Thema Sicherheit.

Bild: Baramundi Software AG
Bild: Baramundi Software AG

In einer vernetzten Produktionsumgebung müssen Unternehmen vielfältige Aspekte berücksichtigen, da der Informationsaustausch zwischen Endgeräten über zahlreiche Schnittstellen und das Internet ein hohes Gefährdungspotenzial darstellt. Eine Voraussetzung für ein erfolgreiches Risikomanagement in solch vernetzten Produktionsumgebungen ist die frühzeitige Identifizierung von Schwachstellen sowie deren schnelle Entschärfung. Denn Manchmal kann ein einziges kompromittiertes Endgerät ausreichen, um das ganze Netzwerk zu infizieren. Ein Überblick über alle in der Produktionsumgebung eingesetzten Hard- und Softwarestände ist daher wichtig. Auch müssen Veränderungen erfasst und konsistent dokumentiert werden. Das ist die Voraussetzung für erfolgreiche Wartung, Erneuerung und Erweiterung im Produktionsbetrieb. Auch sollten physische Zugangskontrollen auf die in der Produktionsumgebung eingesetzte Hardware ergänzt werden. Denn so lassen sich die vielen Schnittstellen in der vernetzten Produktion an jedem Punkt des Netzwerks und im Hinblick auf jede Hardware-Komponente vor unautorisierten Zugriffen schützen. Um im Ernstfall größeren Schaden zu verhindern und ausgefallene oder korrumpierte Systeme möglichst schnell wieder herstellen zu können, ist auch ein zuverlässiges Back-Up- und Recovery System notwendig.

Wartungsaufwand reduzieren

Um diese Risiken bestmöglich abzudecken ist ein gewaltiger IT-Wartungsaufwand erforderlich. Ohne Automatisierung ist dies kaum zu bewältigen. Die Baramundi Management Suite Manufacturing Edition 2020 (bMS ME) ist auf die Herausforderungen vernetzter Industrie-4.0-Umgebungen angepasst und ermöglicht es, die typischen Endpunkte zu managen. Sie kann sowohl stationäre Endpunkte wie Industrie PCs (IPC) und Maschinensteuerungen (SPS) als auch klassische PCs, sowie im Lagerwesen eingesetzte mobile Geräte, wie z.B. Barcodescanner erkennen. Inventurinformationen lassen sich in unterschiedlichen Sichten darstellen. In Ergänzung zu den Sichten für Windows-basierte Endgeräte, kann die Lösung mit dem IC-Inventory-Modul zudem Simatic-S7-Steuerungen erkennen. Die Integration von produktionsspezifischen Gerätetypen soll kontinuierlich weiter ausgebaut werden. Für zweckbestimmte Geräte wie industrielle Handhelds, Barcode- oder NFC-Scanner, die im Schichtbetrieb von mehreren Personen genutzt werden, unterstützt die Lösung das Android Enterprise Dedicated Devices Profile. Damit stehen IT-Administratoren unterschiedliche Verwaltungsoptionen für die gemanagten Geräte zur Verfügung. Diese lassen sich dadurch für eine erhöhte Sicherheit benutzerunabhängig für die Verwendung nur einer präzise limitierten Anzahl von Applikationen oder sogar auch nur einer einzigen weniger kritischen spezifischen Anwendung verfügbar machen.

Wartungsprozesse vordefinieren

Für ein informiertes Risikomanagement mit Ableitung von Schutzmaßnahmen orientieren sich die verschiedenen Funktionsmodule der Management-Suite am standardisierten Management-LifeCycle eines IT-Gerätes im Produktionsumfeld, wie in der Norm ISA/IEC 62443 beschrieben. Auf Basis der Hard- und Software-Informationen zu den eingesetzten Systemen für Windows und Siemens Simatic S7 können mögliche Schwachstellen bei den inventarisierten Systemen frühzeitig identifiziert und das aktuelle Sicherheitslevel für eine individuelle Risikoabschätzung bewertet werden. Wartungsprozesse können vordefiniert und in begrenzten Zeitfenstern durchgeführt werden. Die Baramundi-Lösung ermöglicht auch die Sicherung und Wiederherstellung von Laufwerken sowie eine automatisierte Software- und Patch-Verteilung.

Intervallgesteuerte Scans

Über die Discovery-Funktion des Baramundi-Network-Devices(bND)-Moduls lassen sich IC(Industrial Control)-Geräte in der bMS ME auffinden. Dafür werden sie mittels eines Scan-Profils automatisiert als Einzelgeräte angelegt. Auch wenn sie bisher als Netzwerkgerät (SNMP) geführt wurden, werden sie über einen Netzwerkscan automatisch zu einem IC Device migriert. In der IT-Map erscheinen sie dann als Endpunkte mit eigenen Icons und sind über die Suchfunktion anwählbar.

Neben manuell ausgeführten Wartungs- oder Scan-Jobs gibt es auch die Möglichkeit, diese intervallgesteuert über das System durchzuführen. Die individuellen Sichten der Inventurinformationen werden über universelle Dynamische Gruppen gelistet. Verantwortliche IT-Administratoren können die Sichten über die Auswahl einzelner Bedingungen steuern und die gefundenen Daten filtern. Die erstellten Reports können zudem in Excel exportiert werden.

Mobile Endgeräte verwalten

Die Lösung ermöglicht zudem die Verwaltung von mobilen Endgeräten: Nach dem Enrollment werden sie gekennzeichnet und in Listenansichten gespeichert. App-Beschränkungen können mittels Whitelists verwaltet werden und Admins können bei Bedarf einzelne Geräte jederzeit in den Wartungsmodus versetzen, so dass ein Gerät keine oder nur noch vom Administrator freigegebene Apps starten kann. Über Tastenkombinationen und Passwörter ist es zudem möglich, lokal am Gerät in einen administrativen Modus zu wechseln.

bMS ME unterstützt Produktionsverantwortliche dabei, Übersicht über Systeme und Geräte ihrer Produktionsumgebung zu erlangen – von der Geräte-Inventarisierung und Visualisierung von Systemabhängigkeiten über Risikomanagement bis hin zu intervallgesteuerter Nutzung von Wartungsfenstern, übersichtlicher Dokumentation und Reporting sowie Absicherungsfunktionen.

Bild: Baramundi Software AG
Bild: Baramundi Software AG