Anzeige
Anzeige
Beitrag drucken

Industrial Internet of Things

Fernwartung zentral verwaltet

Entfernte Standorte kommunizieren fast immer mit einem zentralen Netz, häufig über die TCP/IP-Protokollfamilie. Mittlerweile sollte diese Verbindung nicht nur zuverlässig, sondern auch sicher sein. Mit einer neuen Lösung will NCP Anwendern bei der Umsetzung ihrer Installation viel Flexibilität einräumen, und eine dennoch sehr sichere Verschlüsselung mitliefern.

 Industrial Internet of Things - NCP: Fernwartung zentral verwaltet (Bild: NCP Engineering GmbH)

Bild: NCP Engineering GmbH

Im industriellen Bereich kommt es häufig vor, dass bestimmte, immer gleiche Anwendungen ihre Aufgabe an multiplen Stellen verrichten. Beispielsweise könnte die Systemumgebung zur Pumpenansteuerung an jedem Standort weitgehend identisch aus Server mit Steuerungssoftware, einem DCS für die Aktoren und der Pumpe selbst bestehen. Anwender sparen durch die geklonte Konfiguration Zeit, vermeiden Fehler und halten das Ersatzteillager klein. Diese typische Systeminsel funktioniert zwar im Regelbetrieb autark, trotzdem muss der Servicetechniker dann und wann darauf zugreifen und natürlich bei Problemen eine Verbindung herstellen können. Allerdings ist der entfernte Zugriff bei identischer IP-Konfiguration problematisch. Nutzen alle Inseln die gleiche Netzmaske, IP-Adresse und Gateway, kommt es zu Routingfehlern, wenn mehr als eine Insel mit dem zentralen LAN verbunden ist. Das Problem kann durch organisatorische Maßnahmen gemildert werden, indem etwa die Servicetechniker untereinander klären, wer wann eine aktive Verbindung nutzen darf. Das ist aber nur in kleinen Umgebungen mit wenigen Mitarbeitern praktikabel und schon gar nicht bei einem Notfall, der mehrere Inseln betrifft. Die Alternative, jeweils individuelle Parameter zu vergeben, bedeutet dagegen mehr Aufwand bei der Konfiguration und bei der Verwaltung der Parameter. So sind schnelle Ortswechsel mobiler Einheiten, beispielsweise bei einem Inselsystem mit mehreren Kameras und einem Gateway zur Überwachung von Baustellen, nicht mehr so unkompliziert durchführbar. Mit dem NCP Secure Enterprise Management Server (SEM) und entsprechenden IIoT-Gateways soll sich dieses Problem einfach lösen lassen. Die Software sorgt für einen abgesicherten Tunnel, ein Virtual Private Network (VPN), zwischen den Inseln und der Zentrale. Durch die Verschlüsselung sind Verbindungen über potentiell riskante Netze wie DSL und Mobilfunk, außerhalb des Firmen-LANs oder MANs, aus Sicherheitssicht weitgehend unbedenklich.

Asynchron eingeleitet

Dabei kann die Insel auch ein Dial-Up-Medium nutzen, ohne in regelmäßigen Intervallen von sich aus eine Verbindung mit der Zentrale zu starten. Dann sendet der Servicetechniker über das Tool ein Signal, etwa eine SMS, zum Gateway des Inselsystems und veranlasst es zum Aufbau einer Verbindung. Das spart Kosten durch minimierte Online-Zeiten. Es sorgt darüber hinaus für noch mehr Sicherheit, weil das Inselsystem während der überwiegenden Betriebszeit überhaupt nicht durch ein Netzwerk erreichbar ist. So ein asynchroner Verbindungsaufbau ist sonst nur mit hohem Verwaltungsaufwand umsetzbar. Als integrierter Bestandteil der VPN-Lösung bedeutet die asynchrone Verbindung für den Servicetechniker praktisch keine Mehrarbeit und verzögert die Verbindung lediglich um einige Sekunden.

Industrietaugliches NAT

Der Server hat in seinem Gateway Network Address Translation (NAT) eingebaut. Das NAT kennt man von lokalen Netzen mit Internetzugang. Weil die Provider normalerweise keine echten IP-Adressen für die Geräte im Heimnetz zur Verfügung stellen, hat nur der Router eine richtige, weil individuelle, IP. Alle Geräte bekommen ihre Adressen aus einem für privaten Einsatz freigegebenen Adressbereich. Im Internet sind zu jeder Zeit Millionen Geräte etwa mit der Adresse 192.168.1.10 aktiv, ohne sich ins Gehege zu kommen. Die NCP-Lösung arbeitet ähnlich. Sie isoliert die verwendeten IP-Adressen der Inselsysteme vor dem Rest des Netzwerks. So lassen sich viele Inselnetze mit den gleichen IP-Parametern konfliktfrei verwalten. Die Verwaltung der Parameter übernimmt der Enterprise Management Server. Dort kann man für einzelne Systeme individuelle IP-Adressen oder auch nur einen (DNS-)Namen konfigurieren. Der SEM vergibt dann automatisch eine eindeutige aber temporäre IP-Adresse oder lässt die manuelle Konfiguration einer Adresse zu. Das zentrale IIoT-Gateway sorgt dann beim Zugriff dafür, dass über diese Adressen trotzdem die immer gleichen Systeminseln erreicht werden (Destination-NAT). Servicetechniker wählen einfach nur das gewünschte Gateway und starten die Verbindung. Auch mehrere Kunden sind innerhalb eines Management Servers verwaltbar, die Netze bleiben getrennt.

Eindeutig zugeordnet

Um die Inselsysteme eindeutig zu authentifizieren nutzt das System eindeutige Merkmale der Gateways, auf denen eine IIoT-Clientsoftware läuft. Wenn das Gateway Mechanismen wie Smartcards oder Zertifikate unterstützt, werden diese herangezogen. Einfacher und universell möglich sind aber ID-Nummern der Hardware. Das kann eine Prozessor-ID sein oder eine Seriennummer des Motherboards. Es reicht, wenn das Linux-basierte Betriebssystem des Gateways das Merkmal über eine Systemfunktion und ein Shellscript auslesen kann.

Fazit

Verbindungen abzusichern wird im industriellen Umfeld immer wichtiger. In vielen Unternehmen fehlt dafür aber auf der OT-Seite sowohl die Infrastruktur wie eine Public-Key Infrastruktur, als auch das Fachwissen der Mitarbeiter, die die Systeme konfigurieren und betreiben sollen. Mit einer weitgehend automatisierten Lösung wie dem NCP Enterprise Management Server lassen sich hoch sichere Verbindungen aufbauen, die noch dazu flexibel mit geklonten Systeminseln umgehen können und Verbindungen asynchron initiieren können.


Das könnte Sie auch interessieren:

Für rund 1,3Mrd.US$ übernimmt Hewlett Packard Enterprise den Supercomputer-Hersteller Cray.‣ weiterlesen

Rund die Hälfte der im Rahmen einer Bitkom-Studie befragten Industrieunternehmen aus Deutschland stuft die Verfügbarkeit des neuen Mobilfunkstandards 5G als wichtig ein. 42% beschäftigen sich derzeit mit der 5G-Versorgung.‣ weiterlesen

Schaeffler hat die neue Generation seines Mehrkanal-Condition-Monitoring-Systems vorgestellt. Das ProLink CMS eignet sich für die Überwachung kompletter Produktionsanlagen unterschiedlicher Branchen, wie der Papier- und Stahlindustrie oder für Werkzeugmaschinen.‣ weiterlesen

Während sich industrielle Serienfertiger darauf einstellen, Kundenwünsche in Richtung Losgröße 1 zu bewegen, ist dies bei Manufakturen wie der Porzellan-Manufaktur Meissen seit Jahrhunderten Programm. Das Unternehmen arbeitet daran, die Durchlaufzeiten deutlich zu beschleunigen und die Lieferbereitschaft über das gesamte Portfolio hinweg zu erhöhen. Durch den Einsatz der Advanced Planning & Scheduling Software wurden dabei bereits Fortschritte erzielt.‣ weiterlesen

Die Pepperl+Fuchs-Marke Ecom hat auf der Hannover Messe 2019 neue Geräte für den Einsatz in explosionsgefährdeten Bereichen gezeigt. Dazu zählen das ATEX-Zone-1/21- und Div.-1-zertifizierte, eigensichere 4G/LTE-Android-Smartphone Smart-Ex 02, die eigensichere Thermal-Videokamera Cube 800 und die explosionsgeschützte Smart-Ex Watch für das Handgelenk.‣ weiterlesen

Am Freitagmittag, dem 7. Dezember 2018 berichtet Spiegel Online, dass KraussMaffei von einem schweren Cyberangriff durch eine Ransomware getroffen wurde. Welcher Produktionsverantwortliche denkt sich da nicht: 'Kann uns das auch passieren?' Mit dem passenden Mix verschiedener Maßnahmen können Werksleiter das Risiko wenigstens deutlich reduzieren.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige