03.08.2015

Cloud-basierte Fernwartung

So funktioniert Fernwartung mit VPN

Fernwartung, oder die Bereitstellung des Fernzugriffs auf Maschinen und Anlagen, ist heute ein wichtiger Servicebestandteil, den Maschinen- und Anlagenbauer ihren Kunden bieten sollten. Für diese Anforderung gibt es vielfältige Lösungen, allerdings sind diese nicht immer auf dem aktuellen Stand der Technik.

Autor: Mehmet Akcit, Produktmanager Industrielle Kommunikation, Wachendorff Prozesstechnik


Bild 3: Ein firmeneigener VPN-Server setzt viel IT-Wissen und IT-Arbeit im Unternehmen voraus.
Bild: Wachendorff Prozesstechnik GmbH & Co. KG

Früher gab es begrenzte Möglichkeiten für den weltweiten Zugriff auf Maschinen und die Modemkommunikation über das öffentliche Telefonnetz war die vorherrschende Lösung. Dabei ist der Datendurchsatz jedoch sehr begrenzt. Außerdem wird es immer schwieriger einen PSTN- oder ISDN-Anschluss vor Ort, z.B. in den Produktions- bzw. Fertigungshallen, zu bekommen.

Virtuelle private Netze

An vielen Standorten ist mittlerweile der DSL-Anschluss oder das Mobilfunknetz verfügbar. Somit kommt auch das Internet für den Fernzugriff in Frage. Natürlich darf auch hier die vielzitierte Sicherheit nicht zu kurz kommen. Eine sehr praktikable Lösung bieten sogenannte virtuelle private Netzwerke, kurz VPN. Sie schützen zuverlässig vor unerlaubten Zugriffen auf die sensiblen Daten, die über das Internet transportiert werden. Es gibt unterschiedliche Arten von VPN-Verbindungsstandards und viele Anwender setzen auf individuelle Lösungen. Für den Maschinenbauer bedeutet dies, dass er unter Umständen mehrere VPN-Programme gleichzeitig auf seinen PCs installieren muss, was zu einer erhöhten Komplexität der Anlagenintegration führt. Mit VPN-Verbindungen über das Internet lassen sich neue und weiterentwickelte Möglichkeiten der Anlagendiagnose vor Ort erschließen. VPN bietet eine Kombination aus Verschlüsselungs- und Tunnel-Funktionen. Die Daten gehen in gekapselten IP-Paketen auf die Reise durch das Internet. Wenn der eine Teilnehmer (Absender) Daten verschicken möchte, werden die Originaldaten verschlüsselt und in ein komplett neues IP-Paket verpackt. Der Empfänger entpackt die Daten, entschlüsselt diese und sendet das Originalpaket durch das Empfängernetzwerk. Auf diese Weise bleibt der Ursprung der Nachricht unverfälscht erhalten.

Network-Layer-VPN

Network-Layer-VPN bieten permanenten externen Zugriff auf Netzwerke über das Internet, quasi so, als ob sie intern im LAN verbunden wären. Dies ist mitunter die beste Lösung für geografisch weit verteilte Benutzer. Hierbei obliegen die Festlegungen und auch die Durchführung den Sicherheitsrichtlinien der IT-Abteilungen der beteiligten Unternehmen. Diese legen auf beiden Seiten des Internetzugangs die Sicherheitsanforderungen fest. In der Branche bedeutet dies, dass der Maschinenbauer auch die Sicherheitsfunktionen bei seinem Kunden kontrollieren und die Einstellungen vorgeben müsste. Das ist natürlich nicht so einfach umsetzbar, da sich die IT des Kunden nicht so ohne Weiteres auf externe (An-)Forderungen einlässt und am liebsten an etablierten Sicherheitseinstellungen festhält. Es ergibt sich das Problem, dass zwei Stellen gleichzeitig an einer Sicherheitsbrücke arbeiten müssen. Zugriffsrechte müssen dadurch zwangsweise eingeschränkt und oft aufwendig verwaltet werden. Da der Maschinenbauer sich hierbei auch immer wieder neu an die individuellen Vorschriften und Regelungen eines jeden Kunden halten muss, ist der Installations- und Pflegeaufwand des Maschinenbauers beträchtlich. Schnell stehen dann Kosten und Nutzen nicht mehr in einem vernünftigen Verhältnis. Ein typisches Beispiel für ein Network-Layer-VPN ist das IPsec-Protokoll.

Application-Layer-VPN

Application-Layer wie SSL-VPN verwenden eine andere Methode für den gesicherten Datentransport über das Internet. Sie verwenden den gleichen Weg wie Web-Verbindungen, wodurch sich die erforderlichen Konfigurationseinstellungen reduzieren lassen. Prinzipiell lässt sich sagen: Immer dort, wo eine Web-Browser-Anwendung verfügbar ist, gibt es bereits einen Weg (aus Sicht des Anwenders) an die Außenwelt, sprich Internet. SSL-Verbindungen bieten einen kontrollierten Zugriff auf definierte, einzelne Anwendungen - statt des kontrollierten Zugriffes auf ein gesamtes Firmennetzwerk. Sie lassen sich somit wesentlich leichter als Netzwerkverbindungen einrichten und kontrollieren. Ergo: Der Installations- und Pflegeaufwand Web-Browser-basierter Anwendungen ist wesentlich geringer als bei Netzwerk-Verbindungen. Bleibt die Frage, wie man eine Web-basierte VPN-Kommunikation zwischen dem Nutzer (Maschinenbauer) und der Maschine realisiert. Dazu gibt es zwei gängige Lösungsansätze:

1.) Am Standort des Nutzers installiert man eine Komponente (VPN-Server), die als VPN-Endpunkt für den von der Maschinenseite her initiierten VPN-Tunnel dient. Dies erfordert die Installation eines Software-VPN-Servers auf einem PC bzw. als Hardware-Lösung und dessen Konfiguration. Der größte Aufwand ist hierbei die Installation und die Rechtevergabe bei jeder neuen Anbindung einer weiteren Maschine. Mitarbeiter der IT-Abteilung müssen hierbei jeweils die Rechte vergeben und für den Zertifikatsaustausch sorgen. Des Weiteren gibt es hierbei in der Zentrale eine eingehende Verbindung aus dem Internet.

2.) Eine andere Möglichkeit ist das Auslagern des internen VPN-Servers in einen externen Server. Damit entfällt der Installations- und Pflegeaufwand für den Maschinenbauer gänzlich. Diesen Aufwand, auch insbesondere die Aufrechterhaltung des Servers bei Störungen, übernehmen Spezialisten des Dienstanbieters. Gleichzeitig bietet die Web-Architektur eine bessere Skalierbarkeit als eine Hardware-Lösung, entbindet vom Software-Pflegeaufwand und verteilt den Datentransfer auf verschiedene Server, um die jeweils bestmögliche Bandbreite zu gewährleisten. Bei dieser Art der Anwendung benutzt man den externen Server als sogenannten Rendezvous-Server, bei dem sich die Anlage von der einen und der Nutzer mit seinem PC von der anderen Seite treffen. Hierbei nutzt man ausgehende Verbindungen aus dem Firmennetz.

Empfehlungen der Redaktion

Sicherheit

Beide Ansätze, Network-Layer-VPN und Application-Layer-VPN, sichern den Netzwerkverkehr effektiv. Sie haben viele Gemeinsamkeiten, wie z.B. die zuverlässige Verschlüsselung, Authentifizierung und die Datenintegrität. Die Web-Hosting-Applikation verfügt darüber hinaus noch über Sicherheitsmechanismen, die den Zugriff auf andere Konten und somit die Privatsphäre eines jeden Maschinenbauers schützt. Als wichtiger Punkt, der hierbei immer in Betracht gezogen werden sollte, sind die Firewall-Einstellungen des Firmennetzes. Arbeitet man mit einem VPN-Server als zentralem Bezugspunkt in einem Firmennetz, so muss eine eingehende Verbindung aus dem Internet in der Firewall geöffnet werden. Jede geöffnete Verbindung birgt die Gefahr von Eindringlingen wie Trojanern und Viren. Bei der Web-gehosteten Alternative arbeitet man nur mit ausgehenden Verbindungen und kann so die Sicherheitsbarriere in der Firewall so sicher wie möglich einstellen. Maschinenbauer wünschen sich prinzipiell die Möglichkeit, überall und jederzeit einen Fernzugriff für den Service, Support und Wartung aufbauen zu können. Dabei ist in der Regel kein dauerhafter 24h-Zugang nötig. Meist wird der Zugang nur sporadisch und nur für kurze Zeit erforderlich, um z.B. Störung und Stillstand einer Anlage schnell beseitigen zu können. Auch kann es sein, dass der Kunde den Zugriff auf die Anlage nur dann haben möchte, wenn er ihn freigibt. Das Trennen der Maschine vom Fernzugriff ist nicht unbedingt ein wesentlicher Bestandteil der Sicherheit, aber es gibt dem Kunden das Gefühl der physikalischen Kontrolle. Auch kann dies eine Frage der laufenden Kosten sein, insbesondere bei Mobilfunkverbindungen. Man muss somit nicht immer die Monats-Flatrate buchen, sondern kann bei sporadischem Zugriff auf kleinere und kostengünstigere Preismodelle umsteigen. Hierbei muss der Aspekt der unterbrechbaren Verbindung in Betracht gezogen werden. Wichtig ist hierbei jedoch, dass die Endgeräte in der Lage sein müssen, die Verbindung zum Internet jederzeit selbständig wieder aufbauen zu können.

Fazit:

Ein Web-hosting-System als Cloud-basierte Lösung eignet sich insbesondere für die Anwender, die nicht über das Know-how im Aufbau von VPN-Systemen verfügen, oder die hohe Installations- und Pflegekosten genauso scheuen, wie das umständliche Programmieren von Oberflächen zum schnellen Zugriff auf die Anlage. Auch bekommt man hier Garantien für Server-Verfügbarkeit und Bandbreiten über die VPN-Verbindung, um Ihrem Endkunden so schnellstmöglichen Service bieten zu können. Das System bietet dem Anwender folgende Vorteile:

  • • Reduzierung von Integrationszeiten
  • • Reduzierung von Latenzzeiten
  • • Weltweiter Zugriff auf die Anlagen
  • • Schnelle Einbindung neuer Anlagen
  • • Nutzung ausgehender Verbindungen
  • • Nutzung standardisierter Ports
  • • Erhaltung der Sicherheitsrichtlinien in Ihrem Unternehmen

Etablierte Systeme mit tausenden Teilnehmern, wie z.B. Talk2M von eWON, existieren schon seit Jahren und zeugen damit von Zuverlässigkeit und entsprechendem Vertrauen.

Anzeige