Homeoffice und Fernzugriff – was viele Hersteller IT-seitig bereits umsetzen, weckt auf Werks- und Konstruktionsebene noch oft Begehrlichkeiten. Doch auch hier können Aufgaben extern erledigt werden. Für solche Projekte kooperieren Siemens und Zscaler Inc., um einen duchgängigen Zero Trust-Sicherheitsansatz für OT/IT zu ermöglichen.
Administratoren können in der Cloudplattform Zugriffsregeln definieren. (Bild: Siemens AG)
Es war eine Frage der Zeit, bis das aus der Bürowelt kommende mobile Arbeiten – aus dem Homeoffice oder der Ferne allgemein – auch auf die Welt der Operational Technology (OT) abstrahlen würde. Zumal sich beide Spähren ohnehin mehr und mehr verzahnen. Die Pandemie hat den Wunsch vieler Prozess- und Anlagenbetreiber nach Zugriffsmöglichkeiten von außen, über die Fernwartung hinaus, weiter verstärkt. Diese Marktanforderung bewogen die beiden Unternehmen Siemens und Zscaler Inc, einen durchgängigen Zero-Trust-Sicherheitsansatz für OT/IT zu erarbeiten.
Heterogene, oft über Jahre gewachsene industrielle Kommunikationsnetzwerke stellen in mehrfacher Hinsicht andere Anforderungen als reine IT-Lösungen. Daten in der Produktion müssen vielfach deterministisch in Echtzeit kommuniziert werden. Zudem sind oft Safety-Funktionen, Verfügbarkeit und Knowhow-Schutz sicherzustellen. Hinzu kommt, dass ältere Komponenten mitunter gänzlich offen und unverschlüsselt kommunizieren. Um Cyberangriffe abwehren zu können, wurden auf die Industrie abgestimmte Schutzkonzepte entwickelt, wie das Defense-in-Depth-Konzept, die tiefengestaffelte Verteidigung nach IEC62443. Die Netzwerksicherheit fußt dabei auf einer individuellen Risikobewertung und segmentierten Netzwerken mit separat über eigene Firewalls geschützten Produktionszellen. Der Austausch mit dem Büronetzwerk oder Internet läuft in einem solchen perimeterbasierten Netzwerk über eine sogenannte demilitarisierte Zone (DMZ) oder spezielle Rendezvous Server und Jump Hosts. In Büronetzwerken mit ihren vielen meist neueren Devices und ständigen Veränderungen hat sich dagegen häufig ein Schutzkonzept etabliert, bei dem keinem Teilnehmer per se vertraut wird (never trust, always verify). Dieser Zero-Trust-Ansatz setzt voraus, dass alle Netzwerkteilnehmer – Benutzer wie Geräte – erst ihre Identität und Integrität nachweisen, bevor die Kommunikation mit der Zielressource aufgebaut wird. Weil viele Automatisierungskomponenten und Netzwerkinfrastrukturen damit überfordert wären, lässt sich dieses zentral verwaltete Konzept nicht ohne Anpassungen vollständig auf industrielle Netzwerke übertragen.
Haben Sie genug von komplizierten Prozessen, einer hohen Fehlerquote, langsamen Markteinführungszeiten und hohen Anpassungskosten? Durch die Implementierung einer einzigen in Microsoft Dynamics 365/AX eingebetteten PLM-Lösung können Sie den Zeitaufwand für manuelle Datenarbeit und ineffektive Arbeitsabläufe vermeiden!‣ weiterlesen
Klassischer perimeter-basierter Ansatz mit Fernzugriff über Rendezvous Server und Jump Host auf segmentiertes OT-Netzwerk mit separaten, über eigene Firewalls abgesicherten, vertrauenswürdigen Zellen. (Bild: Siemens AG)
Um OT und IT dennoch zu integrieren, haben Siemens und Zscaler ihre Systemkompetenzen so gebündelt, dass ein Zero-Trust-Sicherheitsansatz für OT/IT-Umgebungen möglich wird. Als rubuste Hardware an oder in den Fertigungszellen dient die lokale Verarbeitungsplattform Scalance LPE (Local Processing Engine) von Siemens. Deren Kernaufgabe ist das Sammeln von Daten und deren Vorverarbeitung nahe am Prozess. Dazu wird das Gerät via Ethernet in ein Zellennetzwerk eingebunden. Das Edge-Device mit einem Betriebssystem auf Linux-Basis führt den App Connector des cloud-basierten Remote Access-Service Zscaler Private Access (ZPA) aus, der sich als Docker-Container installieren lässt. Über den App Connector können die Edge-Devices von Siemens in der Zero-Trust-Exchange-Cloud-Plattform aufgenommen und konfiguriert werden. Anschließend fungiert sie als Zero-Trust-Gateway für ihre Zelle, die in sich als vertrauenswürdig betrachtet wird. Die Plattform überwacht die für den Zugriff notwendigen Regelsätze und stellt die Schnittstellen für Identity Provider bereit. Sie lässt nur identifizierte und autorisierte Teilnehmer auf die für diese freigegebenen Ressourcen zugreifen. So können unternehmensweit administrierte Anwender aus der Ferne und abgesichert auf lokale Produktions- oder Entwicklungssysteme zugreifen. Spezifische Berechtigungskonzepte unterstützen die Anforderungen von Echtzeit- oder Safety-Anwendungen wie der Verfügbarkeit und des Knowhow-Schutzes. Dabei soll das zentrale Management in der Plattform ermöglichen, zusätzliche Verbindungen für das Zusammenspiel von OT und IT einzurichten und gleichzeitig die Firewall-Regelsätze restriktiver zu konfigurieren.
Scalance LPE ist eine klein und robust ausgelegte lokale Verarbeitungsplattform etwa für Edge-Anwendungen. (Bild: Siemens AG)
Nachdem Siemens das Konzept in den eigenen Netzwerken mit hunderttausend Zscaler-Teilnehmern getestet hat, will man nun weitere geeignete Anwendungen im Produktions- und Entwicklungsumfeld definieren und Lösungen dafür umzusetzen. Im Fokus stehen zunächst Unternehmen, die IT-seitig bereits auf die Zscaler-Plattform und in der Produktion auf Netzwerktechnik von Siemens setzen. Diese können den neuen Ansatz ohne großen Aufwand und grundlegende Veränderungen an der Netzwerkinfrastruktur implementieren.
Vorhaben zum Nachweis der Energieoptimierung und die Verpflichtung, CSR-Berichte zu erstellen, beschäftigen die Industrie. Auch wenn diese zunächst mit Umstrukturierungen und finanziellen Aufwänden verbunden sind, so investieren Industrieunternehmen damit langfristig in ihre Zukunftssicherheit.‣ weiterlesen
Bestehende Defense-in-Depth-Konzepte bleiben beim Griff zum neuen Angebot weiterhin bestehen und werden lediglich um Zero-Trust-Funktionalitäten erweitert. Auch klassische VPN-basierte Fernzugriffe sowie die dazugehörige Management-Plattform sollen weiterentwickelt werden. Je nach Branche, Anwendungsfall und Unternehmensrichtlinie bieten beide Konzepte Vorteile. Doch langfristig gesehen könnten Zero-Trust-Konzepte nicht nur Betriebskosten senken, sondern auch zu einer höheren Cybersicherheit im Produktionsumfeld beitragen.
Die Industrial Digital Twin Association hat mit PTC ein neues Mitglied. Gestartet mit 23 Organisationen, umfasst die Initiative nun 94 Mitglieder.‣ weiterlesen
Industrielle Montagelinien sind vielfältig: Einige arbeiten mit häufig wechselnden Produktaufbauten, während sich andere durch komplexe Prozesse und hohen Abstimmungsbedarf zwischen Werker und weiteren Experten auszeichnen. Das Fraunhofer IGD will Anwender mit einer Kombination aus Augmented Reality (AR) und künstlicher Intelligenz (KI) unterstützen.‣ weiterlesen
Rund 1 Million Industrieroboter werden allein im Automotive-Bereich eingesetzt. Laut der International Federation of Robotics ein Rekordwert. Das größte Wachstum beobachtet der Robotik-Verband derzeit in China.‣ weiterlesen
Firewalls gehören in Unternehmen zu den wichtigsten Sicherheitskomponenten, um das Netzwerk vor Angriffen zu schützen. Mehr noch, im integrierten und vernetzen Zusammenspiel mit weiteren Security-Lösungen, beispielsweise für die Endpoint-, Mobile- oder Cloud-Security und mit den immer wichtigeren Security-Services durch menschliche Experten, fügt sich die Firewall in ein ganzheitliches Security-Ökosystem ein, das alle IT-Bereiche im Unternehmen bestmöglich vor Angriffen und vor Schäden bewahren kann.‣ weiterlesen
Die Anforderungen an die Cybersecurity von überwachungsbedürften Anlagen werden deutlich konkretisiert. Betreiber müssen mögliche Gefährdungen ihrer Anlagen durch Cyberangriffe ermitteln und wirksame Gegenmaßnahmen entwickeln. Die zugelassenen Überwachungsstellen (ZÜS) werden zukünftig überprüfen, ob Cyberbedrohungen im Zusammenhang mit dem sicheren Betrieb der Anlagen ausreichend behandelt wurden.‣ weiterlesen
Mit dem Start der Anmeldung öffnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die digitalen Pforten für den 19. Deutschen IT-Sicherheitskongress. Am 10. und 11. Mai 2023 findet der Kongress unter dem Motto 'Digital sicher in eine nachhaltige Zukunft' digital statt.‣ weiterlesen
Die längst verstaubt geglaubte Masche des 'Ich lasse mal einen USB-Stick mit Schadsoftware auf Parkplätzen zum Mitnehmen herumliegen' wurde doch tatsächlich noch einmal aus der Cybercrime-Kiste geholt.‣ weiterlesen
Sonicwall hat den Sonicwall Cyber Threat Report 2023 veröffentlicht. Dieser zweimal jährlich erscheinende Bericht gibt Einblicke in eine zunehmend diversifizierte Cyberbedrohungslandschaft und die sich verändernden Strategien der Bedrohungsakteure.‣ weiterlesen
Smart Factories bieten eine breite Angriffsfläche für Cyberattacken. Deshalb sichert die Freie Universität Bozen ihre 'Smart Mini Factory', eine Lernfabrik für Industrie-4.0-Technologien, mit der Endian Secure Digital Platform. Neben umfassender IT-Sicherheit ermöglicht die Plattform die Nutzung von Edge Computing und das Management von Rollen und Rechten.‣ weiterlesen
Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Mitarbeiterproduktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet. Für unsere Leser gibt die Microsoft-Partnerübersicht in Ausgabe Juli/August der IT&Production Tipps für die Suche nach einer geeigneten Branchen- oder Speziallösung im Bereich des produzierenden Gewerbes.
Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP-Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet. In der Maiausgabe der Fachzeitschrift IT&Production erhalten unsere Leser einen aktuellen Überblick zum SAP-Ecosystem im Bereich des produzierenden Gewerbes.
Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP/CRM Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
Immer mehr Anbieter von Maschinen, Automatisierungstechnik und Industriesoftware integrieren künstliche Intelligenz in ihre Produkte. Das ganze Potenzial spielen selbstlernende Systeme aber erst aus, wenn sie passgenau auf ihren Einsatz in Fertigung und Büro zugeschnitten wurden. Über beide Möglichkeiten, als Fertiger die Vorzüge von industrieller KI zu nutzen, geht es im regelmäßig aktualisierten Themenheft Künstliche Intelligenz.
Das Internet of Things verändert Produktwelten und die Vernetzung in der Fertigung gleichermaßen. Entstehende Ökosysteme laden zur einer neuen Form der Zusammenarbeit ein. Die Spezialausgabe IoT Wissen Kompakt informiert über die Technologie, Projektierung und Anbieter für die eigene Applikation, in- und außerhalb der Fabrik.
Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.
