Mit der Einführung von Industrial Ethernet in viele industrielle Produktionsanlagen steigt die Vernetzung auf eine neue Stufe und damit auch das Gefährdungspotential. Betreiber moderner Produktionsanlagen, allen voran die Automobilindustrie, sind leidgeprüft, denn die Anlagen wurden mehrfach von eingeschleusten Viren oder Trojanern lahmgelegt. Das Problem: Die Servicetechniker vieler Anlagenhersteller greifen von oft unsicheren Service-PCs direkt auf die Anlagen in der Produktion zu, nachdem sie vorher auf der Maschine bei einem anderen Kunden eingewählt waren. Viren können so schnell weitergetragen werden. Zusätzlich besteht die Gefahr, dass sensible Daten des Kunden in falsche Hände geraten. Das Resultat: Insbesondere Großunternehmen haben bereits umfangreiche und detaillierte Sicherheitsanforderungen formuliert und unterbinden unsichere Einwahlverfahren. Für Anlagenhersteller hat das fatale Folgen, denn für den sicheren Fernzugriff ergeben sich jetzt unzählige Varianten – von der Art der Einwahl (Modem/ ISDN/Internet/GSM/ UMTS)160 über verschiedene VPN-Standards für die Datenverbindung (VPN = Virtual Private Network) bis zu einer Vielzahl vorgeschriebener Virenscanner und Firewalls. Alle Servicestellen müssen die jeweils aktuellen Einwahl-Tools und Sicherheitsanforderungen des Kunden pflegen. Beispiel Trumpf: Das TelePresence Portal Die Trumpf-Gruppe, eine der weltweit führenden Unternehmen in der Fertigungstechnik, führt bereits seit mehr als zehn Jahren über Fernzugriffe Wartungs- und Serviceleistungen für seine weltweit installierten Anlagen aus. Nach Absprache mit dem Kunden installieren Servicetechniker aus der Ferne Updates oder beseitigen akute Störungen. Trumpf setzt bei der Lasertechnik bereits eine komplett neue Fernwartungs-Lösung ein – mit guten Erfahrungen. Rainer Thieringer, Leiter der Abteilung Softwareentwicklung bei Trumpf Laser: \“Trumpf verfügt über eine Fernwartungslösung, die alle kritischen Sicherheitsanforderungen unterschiedlichster Branchen berücksichtigt und zusätzlich den eigenen Serviceaufwand reduziert\“ (Details siehe Kasten \“Sichere Lösung für Fernwartung\“). Auf der Hannover Messe 2006 überreichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach über einem Jahr Wirkbetrieb bei Trumpf Laser offiziell das Sicherheits-Zertifikat für das TelePresence Portal von Trumpf. Damit wurde erstmals einer Fernwartungslösung bescheinigt, den strengen Sicherheitsanforderungen des BSI gerecht zu werden. Dieses neue Konzept wurde gemeinsam mit dem IT-Security-Spezialisten DS Data Systems aus Braunschweig entwickelt. In der Praxis mussten sich die Service-Mitarbeiter von Trumpf allerdings von gewohnten Abläufen trennen. Das machen sie nach anfänglicher Zurückhaltung heute sogar gern, denn die Fernwartung ist einfacher und zuverlässiger geworden. Nach der Autorisierung wählt der Mitarbeiter bei der Einwahl über die neue Plattform nur noch den Kunden und die Anlage aus. Alle individuellen Vorgaben der Kunden sind zentral gespeichert. Die Einwahl beim Kunden dauert nur noch ein bis zwei Minuten, egal über welchen Weg, und alle Passwörter und Anforderungen werden automatisch aus der zentralen Datenbank gezogen. Auch ein wichtiger Aspekt: Verbindungstechniken mit großen Übertragungsraten bieten gegenüber analogen Modems den Vorteil, größere Datenmengen schneller übertragen zu können, etwa für umfangreiche Softwareupdates. Der Serviceeinsatz muss wirtschaftlich sein Die Vorgabe bei Trumpf lautet: Wir wollen für den Service mehr Vertrauen beim Kunden erreichen, und der Serviceeinsatz muss wirtschaftlich sein. Entsprechend wurde die zentrale Plattform konzipiert. Weil viele Abläufe automatisiert sind, kann die Administration dieser Plattform mit weniger Aufwand realisiert werden. So dauert die Einrichtung eines neuen Kunden nur noch wenige Minuten. Der weltweite Service ist jetzt global noch besser umsetzbar. Die Nutzung der zentralen Service-Plattform ist über unterschiedliche Zugangstechnologien möglich, z.B. über Internet oder UMTS. So kann der Service gesichert und unabhängig von den Vorgaben des Kunden erfolgen, der vielleicht nur ISDN zulässt. Durch die sichere und schnelle Fernwartung ist der Techniker in sehr engem Kontakt mit dem Anwender vor Ort. Mit Fernwartungstools wie PCAnywhere sind der Techniker aus der Ferne und der Anwender vor Ort gleichzeitig auf der Anlage. Das bringt wichtige Lern- und Arbeitserfolge. Mit der Möglichkeit des \“Session Sharing\“ kann sich während eines komplizierten Störungsfalls gleichzeitig ein Spezialist mit auf die Anlage schalten – immer unter Wahrung der strengen Sicherheitsstandards. Sicherheit geht vor – auch in anderen Branchen Die Unternehmensgruppe Koenig & Bauer, einer der größten Druckmaschinenhersteller der Welt, hat sich entschieden, künftig die Portallösung von DS Data Systems für die Fernwartung ihrer weltweit eingesetzten Druckmaschinen einzusetzen. Andreas Birkenfeld, Bereichsleiter Konstruktion Systemtechnik von Koenig & Bauer: \“Wir sehen in der Portallösung eine geeignete Sicherheitsarchitektur für die Fernwartung, die auch die zunehmenden Sicherheitsanforderungen aus der IT-Vernetzung der Anlagen erfüllt.\“ Ein namhaftes Unternehmen aus der Aluminium-Verarbeitung plant, Dienstleistern künftig die Nutzung des Serviceportals vorzugeben, wenn sie sich für Servicezwecke per Fernwartung in die Produktion einwählen. Als Hauptgründe zählen die größer werdenden Bedrohungen durch Viren und Malware und der steigende Aufwand für IT-Security. Ganz andere Beweggründe veranlassen einen Hersteller von Schneid- und Schweißanlagen neue Wege in der Fernwartung zu gehen. Der Berufsgenossenschaft fehlt beim Remote-Service dieser Anlagen der Nachweis über die zwingende Kontrolle durch einen Mitarbeiter vor Ort. Denn: Im Bewegungsbereich der Anlage müssen auch während der Wartung Mitarbeiter vor Gefahren geschützt sein. Der Lösungsansatz: Eine sichere Zwei-Wege-Authentifikation durch den Servicetechniker in der Ferne und gleichzeitig durch einen Mitarbeiter vor Ort. Neue Erweiterung: \“Call-Out\“ Trumpf geht jetzt noch einen Schritt weiter und testet die Call-Out-Erweiterung. \“Viele unserer Kunden lassen einen Servicezugriff aus der Ferne nur zu, wenn vorher eine direkte Autorisierung durch einen eigenen Mitarbeiter erfolgt ist\“, berichtet Klaus Bauer aus der Systementwicklung von Trumpf (Bereich Mensch-Maschine-Interaktion). Damit von außen nicht direkt in das Produktionsnetz eingegriffen wird, geht mit dem Call-Out die Initiative vom Kunden aus. Der Servicebedarf wird vom Kunden zunächst telefonisch angekündigt und an der Maschine eine Servicecall-Taste betätigt. Erst jetzt wird von der Maschine über die firmeneigene Firewall per VPN-Tunnel eine abgesicherte Daten-Verbindung zu Trumpf aufgebaut. Ist die Verbindung aktiv, kann der Servicetechniker von Trumpf über das TelePresence Portal tätig werden. \“Wir erwarten für diese Fernwartungs-Lösung eine besonders hohe Akzeptanz des Kunden, weil wir die zertifizierte Sicherheit des Portals haben und zusätzlich die Kontrolle des Mitarbeiters, der alle Zugriffs-Aktivitäten überwacht\“, fasst Klaus Bauer die Vorteile des Konzepts zusammen. Der Kunde kann nachvollziehen, dass die Betriebssicherheit gewährleistet ist (keine Produktionsbeeinträchtigung, keine unautorisierten Zugriffe und kein – unbeabsichtigtes – Einschleusen von Viren und Trojanern) und dass mit der erteilten Vertrauensstellung sorgsam umgegangen wird (Vertrauen in die Tätigkeit des Einwählenden, Vertrauen in die Technologie, Vertrauen in die Netzwerksicherheits-Kompetenz und Vertrauen in den Umgang mit den Zugangsdaten). Auch wenn bisher nur die IT-Abteilungen der ganz großen Unternehmen detaillierte Service-Policies vorgeben, bereitet sich Trumpf darauf vor, das neue Fernwartungs-Konzept künftig als Standard einzuführen. Kasten 1 Anfang IT-Sicherheit in der Produktion Das Ziel ist mehr Effizienz in der Fertigung – die Automatisierungstechnik und IT-Technologien wie \“Industrial Ethernet\“ liefern dafür die Werkzeuge. Henning Kopp, lizenzierter IT-Security-Auditor von DS Data Systems in Braunschweig: \“Für die IT-Sicherheit in der Produktion wird eindeutig zu wenig getan. Steigende Risiken und Ausfälle der vernetzten Anlagen sind die problematischen Folgen.\“ Seine Anforderungen an die IT-Sicherheit in der Produktion: – organisatorische Schwachstellen erkennen und beheben – Sicherheitsrisiken aufgrund unsicherer Technik beseitigen – wachsende Kundenanforderungen an IT-Sicherheit gerecht werden – die neuen internationalen IT-Sicherheitsstandards erfüllen. Kopp: \“Ziel ist der Aufbau eines Sicherheitskonzepts mit Einführung eines Informations-Sicherheits-Management-Systems. Der Nutzen: Weniger Ausfälle aufgrund von Sicherheitsvorfällen und kürzere Wiederanlaufzyklen.\“ Kasten 1 Ende Kasten 2 Anfang Sichere Fernwartungslösung Die Fernwartungslösung bei Trumpf setzt auf eine wirtschaftliche Servicelösung bei größtmöglicher Sicherheit: – Umstellung von einem dezentralen auf ein zentrales System – gesicherter Fernzugang – zentrale Verwaltung der kundenspezifischen Daten – skalierbar über Standortgrenzen hinweg – Zugriff nur für autorisierte Personen (PKI mit Smartcard-basierter Benutzer-Authentifizierung) – kundengerechte Einwahlverfahren (analog, ISDN, VPN, mobil) – zertifizierte Sicherheit nach BSI IT-Grundschutz. Helge Baganz, Projektleiter bei DS Data Systems: \“Die Portallösung orientiert sich sehr eng an den Bedürfnissen von Produktionsunternehmen mit steigenden Service-Anforderungen.\“ Bei Bedarf kann der Servicetechniker z.B. direkt aus dem Portal per SMS alarmiert werden. Oder die integrierte Dokumentation protokolliert alle Zugriffe z.B. für ein automatisiertes Reporting vereinbarter Service-Level-Agreements.
Thematik: Allgemein
Ausgabe: SPS-MAGAZIN SPSS 2006
DS DATA SYSTEMS GmbH
