Die Bedeutung von Elektronik und Software wird für die Innovations- und Zukunftsfähigkeit von Maschinen und Anlagen weiter steigen. Gleichzeitig wird die Software nach Schätzungen des Verbands deutscher Werkzeugmaschinenhersteller (VDW) künftig für 90% der Maschinenstillstände verantwortlich sein. Laut einer Studie der TU München zur zukünftigen Entwicklung von Remote Services wird der Einsatz den Anbietern und Nachfragern einen Produktivitätszuwachs verschaffen. Erhebliche Sicherheitsbedenken Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist in einem aktuellen Positionspapier auf die steigenden Risiken durch den zunehmenden Einsatz von Informationstechnik in der Prozessüberwachung und -steuerung. Jährlich würden tausende neuer sicherheitstechnisch relevanter Schwachstellen gemeldet – mit steigender Tendenz. Dabei wird besonders auf den Einsatz gängiger Netzwerktechnik und standardisierter Kommunikationsprotokolle wie Ethernet und TCP/IP verwiesen. Henning Kopp, lizenzierter BSI-Auditor vom IT-Security-Spezialisten DS Data Systems, benennt den erhöhten Bedarf an Informationssicherheit in Produktionssystemen: \“Mit der zunehmenden Vernetzung industrieller Anlagen werden auch die Risiken importiert, wie sie bereits aus der Office-Welt bekannt sind. Kommt es durch organisatorische oder technische Mängel in der IT zu Maschinenstillständen, ist der Schaden meistens erheblich größer als im Büroumfeld. Deshalb müssen auch die Schutzmaßnahmen angemessen sein.\“ Unsichere Standard-Lösungen Viele Großunternehmen haben unsicheren Fernwartungslösungen bereits einen Riegel vorgeschoben und umfangreiche und detaillierte Sicherheitsanforderungen formuliert. Viele angeblich sichere Fernwartungs-Tools nutzen für den Zugang zum industriellen Netzwerk aber immer noch die Ports 80 (http) oder 443 (https). Oft erhalten Servicetechniker über die einzelne Maschine einen ungehinderten Zugang zum gesamten Netzwerk und können, ohne es zu merken, von ihrem Service-PC Schadcode von einem Kunden zum nächsten tragen. Der Zugriff auf die Maschine muss deshalb eingeschränkt sein (beispielsweise über eine hardware-basierte Firewall), die Verbindung von außen muss sicher sein (VPN-Tunnel) und die Authentisierung von Maschinenpersonal und Servicetechnikern muss über unsichere Passwörter hinausgehen. Sicheres Service-Portal Die Trumpf-Gruppe, ein Unternehmen, das in der Fertigungstechnik tätig ist, setzt bereits seit 2004 eine Fernwartungs-Lösung ein, die alle kritischen Sicherheitsanforderungen unterschiedlichster Branchen berücksichtigt und zusätzlich den eigenen Serviceaufwand reduziert. Das gemeinsam mit DS Data Systems entwickelte Konzept basiert auf einem zentralen Service-Portal. Die Lösung wurde nach den strengen Sicherheitsanforderungen des BSI geprüft und zertifiziert. Auch die sicherheitskritischen Authentisierungs- und Autorisierungsmechanismen entsprechen den BSI-Standards. Wirtschaftliche Serviceprozesse DS Data Systems bietet Unternehmen, die nicht selbst in die Fernwartungstechnik und die Ausbildung von IT-Spezialisten investieren wollen, eine Betreiberlösung eines solchen Portals. Das zentrale Service-Portal des Security-Unternehmens befindet sich in einem besonders gesicherten Rechenzentrum \’irgendwo in Deutschland\‘. Diese Lösung ist für die meisten Unternehmen wirtschaftlicher, aber auch sicherer, da sich die Kosten für den Sicherheitsaufwand auf mehrere Schultern verteilen. Jedes Unternehmen hat andere Anforderungen \“Eine sichere Servicelösung bei größtmöglicher Effizienz erreichen wir erst durch die Anpassung an die individuellen Geschäftsprozesse und Serviceanforderungen des Kunden\“, betont Philipp Stroucken, bei DS Data Systems Spezialist für die Fernwartungs-Lösung. So wurden aus der Praxis heraus zahlreiche Funktionserweiterungen in das Portal integriert. Viele Anlagen-Betreiber lassen aus Sicherheitsgründen einen Servicezugriff aus der Ferne nur zu, wenn vorher eine direkte Autorisierung durch einen eigenen Mitarbeiter erfolgt ist. Damit von außen nicht direkt in das Produktionsnetz eingegriffen werden kann, muss die Initiative deshalb vom Betreiber ausgehen. Bei Servicebedarf wird zunächst (je nach individuellen Anforderungen teilautomatisiert) eine abgesicherte Daten-Verbindung per VPN-Tunnel von der Maschine zum Secure Service-Portal aufgebaut. Erst jetzt kann der seinerseits mit dem Secure Service-Portal verbundene Service-Techniker gemäß der Wartungsanforderung auf das Zielsystem zugreifen. Zentrale Dokumentation und Störungserfassung
Thematik: Allgemein
DS DATA SYSTEMS GmbH
