Newsletter Abonnieren
Newsletter
,

Proprietäre Lösungen abgeschaltet

Ein sicherer Draht zu 90 Maschinen

Die Hersteller von über 90 Maschinen wollten sich bei der Komet Group mit unterschiedlichen Fernwartungs-Lösungen in das Produktions-Netzwerk einwählen. Dem Vorteil einer hohen Maschinenverfügbarkeit standen unwägbare Sicherheits-Risiken und der steigende Verwaltungsaufwand entgegen. Abhilfe schuf erst ein einheitliches abgesichertes Fernwartungssystem, auf das alle Maschinenhersteller zugreifen.

Draufsicht einer Produktionshalle von Komet. Fernwartung möglich?
Bild: Komet Group GmbH

Die Komet Group ist weltweit tätiger Anbieter von Präzisionswerkzeugen für Bohren, Reiben, Fräsen, Gewinden und Prozessüberwachung. Die Gruppe betreibt 50 internationale Niederlassungen auf allen fünf Kontinenten, darunter 22 Tochtergesellschaften, 40 Service- und Vertriebscenter sowie zehn Produktionsstandorten weltweit. „Durch die Fernwartung vonseiten der Hersteller konnten wiederholt ungeplante Maschinenstillstände vermieden werden. Das ist für uns von großem Vorteil. Durch die unterschiedlichen Maschinenhersteller wurden viele verschiedene Fernwartungstechnologien eingesetzt. Das ist in der Administration sehr aufwendig und auch das Sicherheitsniveau ist nicht immer ausreichend“, beschreibt Stephan Rupp die Ausgangssituation beim Thema Fernwartung. Er ist IT-Systemmanager bei der Komet Group und war der Projektleiter für die Einführung einer einheitlichen Teleserviceplattform.

Sichere Fernwartung ein Muss

In den immer stärker vernetzten Produktionsumgebungen gehören Fernwartungszugriffe heute zum Alltag. Gleichzeitig steigen die Risiken durch immer komplexere Cyberangriffe, die ganze Produktionsnetzwerke lahmlegen können. „Wir hatten eine Checkliste mit Anforderungen an die Fernwartungslösung erstellt. Für externe Zugriffe auf unser Produktionsnetzwerk haben wir hohe Sicherheitsstandards definiert. Der Zugriff soll auf ein einzelnes Wartungsobjekt beschränkt werden und die Verbindung muss immer von innen nach außen aufgebaut werden. Dabei soll der Maschinenführer die Fernwartung ständig unter Kontrolle haben und die Verbindung jederzeit abbrechen können“, schildert der IT-Systemmanager. Die Fernwartungs-Lösung sollte der Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Cyber-Sicherheit entsprechen, wonach jeder externe Zugriff über eine verschlüsselte Verbindung erfolgen und im Detail dokumentierbar sein muss. Die Handhabung der Fernwartung sollte darüber hinaus möglichst einfach und ein deutschsprachiger Support des Herstellers an mindestens acht Stunden an fünf Tagen in der Woche erreichbar sein. Das Management der Lösung sollte über eine Web-Konsole oder einen Web-Client administrierbar sein und auf dem Support-PC dafür keine gesonderte Anwendung installiert werden müssen. „Wir hatten Kontakt zu einigen Anbietern und mussten feststellen, dass etliche Konzepte und Lösungsansätze nicht stimmig und schlüssig waren und der Verbindungsaufbau zu umständlich. Gespräche mit Referenzkunden ergaben, dass die Lösungen im Handling oft viel zu kompliziert waren. Wir haben schließlich drei Lösungen in die engere Wahl genommen, wobei uns das Konzept von Genua mit einer Rendezvous-Lösung am meisten überzeugt hat“, berichtet Stephan Rupp.

Keine einseitigen Zugriffe von außen

Die Genua GmbH ist ein IT-Sicherheitsspezialist für die Absicherung sensibler Schnittstellen im Behörden- und Industriebereich bis hin zur Vernetzung hochkritischer Infrastrukturen. Alle Produkte werden in Deutschland entwickelt und produziert. Bei der Fernwartungs-Lösung werden keine einseitigen Zugriffe in die Netze des Maschinenbetreibers zugelassen. Alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) neben der Firewall des Maschinenbetreibers installiert ist. Zu einem verabredeten Zeitpunkt bauen sowohl der externe Wartungs-Service als auch der Maschinenbetreiber Verbindungen auf. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Durch die Rendezvous-Lösung behält der Betreiber die vollständige Kontrolle über Wartungszugriffe auf Anlagen in seinem Netz. Für den Gebrauch der Lösung muss auf dem Support-PC keine gesonderte Software installiert werden. Die Lösung ist konform zur BSI-Veröffentlichung zur sicheren Fernwartung. Laut BSI sollte der Fernwartungszugriff möglichst nicht pauschal pro (Sub-) Netz erfolgen, sondern pro IP und Port geregelt werden können. „Dies minimiert die Reichweite von Fernwartungszugängen und beschränkt somit auch die Folgen einer Kompromittierung. Ein möglicher Ansatz ist beispielsweise der Aufbau von 1:1-Verbindungen mittels SSH statt der Kopplung ganzer Netze durch IPsec“, heißt es beim BSI. Die Fernwartungs-Lösung bei Komet erlaubt einem Dienstleister einen Zugang nur zu dem von ihm betreuten Wartungsobjekt. Risiken für das Produktionsnetz werden damit deutlich reduziert.

Netzwerksegmente in der Produktion für mehr Sicherheit

Als zusätzliche Absicherung seiner Anlagen hat der Präzisionswerkzeughersteller die Produktion in abgestufte Sicherheitszonen segmentiert. „Es gibt noch Maschinen mit einem ungepatchtem Uralt-Betriebssystem, worauf auch kein Virenschutz installiert werden darf. Hier greift deshalb ein sehr restriktives Sicherheits-Regelwerk“, erläutert Sven Heinze vom IT-Servicesupport der Komet Group. Andere Anlagen sind dagegen besser geschützt und werden vom Hersteller laufend aktuell gehalten. Für die unterschiedlichen Sicherheitsanforderungen wurden von Komet angepasste Netzwerksegmente mit eigenen Sicherheitsstufen und differenzierten Firewall-Regeln eingerichtet und durch Virtual Local Area Networks (VLAN) umgesetzt. Die einzelnen Anlagen sind dadurch konsequent voneinander abgeschottet und vor außerplanmäßiger Einwirkung geschützt.

Autoren: Martin Ortgies ist Technikjournalist aus Hannover.
News

News

das könnte sie auch interessieren