Anzeige
Beitrag drucken

Industrial Internet of Things

Fernwartung zentral verwaltet

Entfernte Standorte kommunizieren fast immer mit einem zentralen Netz, häufig über die TCP/IP-Protokollfamilie. Mittlerweile sollte diese Verbindung nicht nur zuverlässig, sondern auch sicher sein. Mit einer neuen Lösung will NCP Anwendern bei der Umsetzung ihrer Installation viel Flexibilität einräumen, und eine dennoch sehr sichere Verschlüsselung mitliefern.

 Industrial Internet of Things - NCP: Fernwartung zentral verwaltet (Bild: NCP Engineering GmbH)

Bild: NCP Engineering GmbH

Im industriellen Bereich kommt es häufig vor, dass bestimmte, immer gleiche Anwendungen ihre Aufgabe an multiplen Stellen verrichten. Beispielsweise könnte die Systemumgebung zur Pumpenansteuerung an jedem Standort weitgehend identisch aus Server mit Steuerungssoftware, einem DCS für die Aktoren und der Pumpe selbst bestehen. Anwender sparen durch die geklonte Konfiguration Zeit, vermeiden Fehler und halten das Ersatzteillager klein. Diese typische Systeminsel funktioniert zwar im Regelbetrieb autark, trotzdem muss der Servicetechniker dann und wann darauf zugreifen und natürlich bei Problemen eine Verbindung herstellen können. Allerdings ist der entfernte Zugriff bei identischer IP-Konfiguration problematisch. Nutzen alle Inseln die gleiche Netzmaske, IP-Adresse und Gateway, kommt es zu Routingfehlern, wenn mehr als eine Insel mit dem zentralen LAN verbunden ist. Das Problem kann durch organisatorische Maßnahmen gemildert werden, indem etwa die Servicetechniker untereinander klären, wer wann eine aktive Verbindung nutzen darf. Das ist aber nur in kleinen Umgebungen mit wenigen Mitarbeitern praktikabel und schon gar nicht bei einem Notfall, der mehrere Inseln betrifft. Die Alternative, jeweils individuelle Parameter zu vergeben, bedeutet dagegen mehr Aufwand bei der Konfiguration und bei der Verwaltung der Parameter. So sind schnelle Ortswechsel mobiler Einheiten, beispielsweise bei einem Inselsystem mit mehreren Kameras und einem Gateway zur Überwachung von Baustellen, nicht mehr so unkompliziert durchführbar. Mit dem NCP Secure Enterprise Management Server (SEM) und entsprechenden IIoT-Gateways soll sich dieses Problem einfach lösen lassen. Die Software sorgt für einen abgesicherten Tunnel, ein Virtual Private Network (VPN), zwischen den Inseln und der Zentrale. Durch die Verschlüsselung sind Verbindungen über potentiell riskante Netze wie DSL und Mobilfunk, außerhalb des Firmen-LANs oder MANs, aus Sicherheitssicht weitgehend unbedenklich.

Asynchron eingeleitet

Dabei kann die Insel auch ein Dial-Up-Medium nutzen, ohne in regelmäßigen Intervallen von sich aus eine Verbindung mit der Zentrale zu starten. Dann sendet der Servicetechniker über das Tool ein Signal, etwa eine SMS, zum Gateway des Inselsystems und veranlasst es zum Aufbau einer Verbindung. Das spart Kosten durch minimierte Online-Zeiten. Es sorgt darüber hinaus für noch mehr Sicherheit, weil das Inselsystem während der überwiegenden Betriebszeit überhaupt nicht durch ein Netzwerk erreichbar ist. So ein asynchroner Verbindungsaufbau ist sonst nur mit hohem Verwaltungsaufwand umsetzbar. Als integrierter Bestandteil der VPN-Lösung bedeutet die asynchrone Verbindung für den Servicetechniker praktisch keine Mehrarbeit und verzögert die Verbindung lediglich um einige Sekunden.

Industrietaugliches NAT

Der Server hat in seinem Gateway Network Address Translation (NAT) eingebaut. Das NAT kennt man von lokalen Netzen mit Internetzugang. Weil die Provider normalerweise keine echten IP-Adressen für die Geräte im Heimnetz zur Verfügung stellen, hat nur der Router eine richtige, weil individuelle, IP. Alle Geräte bekommen ihre Adressen aus einem für privaten Einsatz freigegebenen Adressbereich. Im Internet sind zu jeder Zeit Millionen Geräte etwa mit der Adresse 192.168.1.10 aktiv, ohne sich ins Gehege zu kommen. Die NCP-Lösung arbeitet ähnlich. Sie isoliert die verwendeten IP-Adressen der Inselsysteme vor dem Rest des Netzwerks. So lassen sich viele Inselnetze mit den gleichen IP-Parametern konfliktfrei verwalten. Die Verwaltung der Parameter übernimmt der Enterprise Management Server. Dort kann man für einzelne Systeme individuelle IP-Adressen oder auch nur einen (DNS-)Namen konfigurieren. Der SEM vergibt dann automatisch eine eindeutige aber temporäre IP-Adresse oder lässt die manuelle Konfiguration einer Adresse zu. Das zentrale IIoT-Gateway sorgt dann beim Zugriff dafür, dass über diese Adressen trotzdem die immer gleichen Systeminseln erreicht werden (Destination-NAT). Servicetechniker wählen einfach nur das gewünschte Gateway und starten die Verbindung. Auch mehrere Kunden sind innerhalb eines Management Servers verwaltbar, die Netze bleiben getrennt.

Eindeutig zugeordnet

Um die Inselsysteme eindeutig zu authentifizieren nutzt das System eindeutige Merkmale der Gateways, auf denen eine IIoT-Clientsoftware läuft. Wenn das Gateway Mechanismen wie Smartcards oder Zertifikate unterstützt, werden diese herangezogen. Einfacher und universell möglich sind aber ID-Nummern der Hardware. Das kann eine Prozessor-ID sein oder eine Seriennummer des Motherboards. Es reicht, wenn das Linux-basierte Betriebssystem des Gateways das Merkmal über eine Systemfunktion und ein Shellscript auslesen kann.

Fazit

Verbindungen abzusichern wird im industriellen Umfeld immer wichtiger. In vielen Unternehmen fehlt dafür aber auf der OT-Seite sowohl die Infrastruktur wie eine Public-Key Infrastruktur, als auch das Fachwissen der Mitarbeiter, die die Systeme konfigurieren und betreiben sollen. Mit einer weitgehend automatisierten Lösung wie dem NCP Enterprise Management Server lassen sich hoch sichere Verbindungen aufbauen, die noch dazu flexibel mit geklonten Systeminseln umgehen können und Verbindungen asynchron initiieren können.


Das könnte Sie auch interessieren:

Der Arbeitsmarkt in Deutschland könnte von Digitalisierung und Automatisierung profitieren: Forscher des ZEW — Leibniz-Zentrum für Europäische Wirtschaftsforschung sowie des Forschungsinstitutes zur Zukunft der Arbeit prognostizieren bis 2021 ein moderates Beschäftigungswachstum. Damit einher geht aber auch eine wachsende Einkommensungleichheit.‣ weiterlesen

Der Full-Service-Lohnhersteller für die Pharma- und Kosmetikindustrie Wagener setzt ständig neue Kundenanforderungen und -aufträge um. Eine flexible Nachschubsteuerung ist da ein Muss. Seit 2018 gibt das ERP-System der GUS Group den Takt an - und der ist schnell.‣ weiterlesen

Der IT-Dienstleister Cognizant erfährt bei seinem weltweiten Engagement aus erster Hand, wie die digitale Transformation die Fertigungsindustrie verändert. Prasad Satyavolu, Chief Digital Officer für Manufacturing & Logistics bei Cognizant, hat einige Entwicklungen beobachtet, mit den sich die Branche künftig stärker auseinandersetzen dürfte.‣ weiterlesen

Die Otto Dunkel GmbH, ein Anbieter von Steckverbindungssystemen, setzte bei der Modernisierung seiner Perimeter-Security am Unternehmenssitz in Mühldorf am Inn auf die Networkers AG. Die neue Sicherheitsarchitektur vereint nun Next Generation und Web Application Firewalls mit Remote Access und Zwei-Faktor-Authentisierung.‣ weiterlesen

Das FIR an der RWTH Aachen startet gemeinsam mit einem Konsortium aus Industrieunternehmen eine Benchmarking-Studie zum Thema ‘Subscription-Business‘. Industrieunternehmen aller Größen sind eingeladen, sich an der Studie zu beteiligen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige