Remote Access / Industrial IoT

Wie sicher ist die Verbindung zu Ihren Maschinen?

Stefan Safran, Leiter Business Unit Automation

Sie wollen mehr Infos? Ich freue mich auf Ihre Kontaktaufnahme!
Telefon: +423 377 13 33 | E-Mail

Bei Produktionsdaten wie Produkt-, Muster- oder Betriebsdaten handelt es sich in der Regel um Daten, die mehr oder weniger gut geschützt in Firmennetzwerken liegen. Zugriffe von aussen, wie es beispielsweise für die Fernwartung oder IIoT Applikationen notwendig ist, sind daher den meisten Produktionsbetrieben aus Gesichtspunkten der Sicherheit ein Dorn im Auge.

Auf der anderen Seite haben die Betriebsverantwortlichen grosses Interesse, Maschinenherstellern für verschiedene Zwecke wie Service, Onlineschulungen oder Prozessoptimierungen den Zugriff auf Ihre Produktionsmaschinen zu geben. Denn genau diese Dienstleistungen haben einen hohen Einfluss auf die Produktivität von Maschinen und Anlagen.

Wie lassen sich die Anforderungen nun kombinieren?

Netzwerkarchitektur in Produktionsunternehmen

 

Ein Produktionsunternehmen hat im Regelfall mehrere Netzwerke. Das Informationstechnologie (IT)-Netz umfasst alle Computer, Wi-Fi, MES- und ERP-Systeme. Das Netzwerk für Betriebstechnik (OT) umfasst alle Maschinen sowie das SCADA-System zur Überwachung und Datenerfassung dieser Maschinen.

Während die Priorität der IT-Schutzziele auf der Vertraulichkeit liegt, fokussieren sich die OT-Schutzziele auf die Verfügbarkeit der Informationen und Systeme.

Die Maschinen selbst bestehen aus industriellen Komponenten wie SPS, HMI, Robotern und intelligenten Sensoren, die in einem lokalen 'Maschinennetzwerk' verbunden sind. Im Kontext des Maschinenzugriffs ist nun die Frage, wie diese bestmöglich mit dem öffentlichen Internet verbunden werden.

Denn: Sofern die Netzwerke der Informationstechnologie (IT), der Betriebstechnologie (OT) und der Maschinen nicht angemessen voneinander abgeschottet und abgesichert sind, besteht die Gefahr, dass Angreifer, die in eines dieser Netzwerke eindringen, mühelos Zugang zu den anderen Netzwerken erlangen können. Diese Verbindungsmöglichkeit birgt ein erhebliches Sicherheitsrisiko, da sämtliche Systeme miteinander verknüpft sind.

Ein ordnungsgemäss getrenntes OT- und IT-Netzwerk ist eine Voraussetzung für eine sichere Netzwerktechnik. Doch wie kann das Maschinennetz bestmöglich eingebunden werden?

Der Klassiker im Service Bereich: die softwarebasierte Lösung

Softwarebasierte Fernwartungslösungen erlauben - nach entsprechender Freigabe - den Zugriff auf fremde PCs, um so zum Beispiel Online Support durch das Klonen des Bildschirmes zu ermöglichen. Diese Form der Fernwartungslösung besticht im Regelfall durch eine einfache Installation und recht günstige, teilweise sogar kostenlose Lizenzmodelle.

Das Grundkonzept softwarebasierter Fernwartungslösungen baut darauf, dass sowohl auf dem Fernwartungs-PC als auch auf dem jeweiligen Zielsystem (z.B. IPC mit Windows) die Fernwartungssoftware installiert bzw. gestartet wird.

Struktur einer softwarebasierten Fernwartungslösung: Der Zugriff erfolgt über die Firewall des Produktionsunternehmens und ist nur bis aufs HMI möglich, nicht aber auf die Maschinensteuerung.

Teamviewer, eine der bekannteren Lösungen im Markt, bietet ergänzend zur Remote Desktop Funktion einen VPN Verbindungsmodus, bei dem sich zwischen zwei TeamViewer-Computern ein virtuelles privates Netzwerk (VPN) einrichten lässt. Damit kann auf Ressourcen des entfernten Computers zugegriffen werden bzw. der entfernte Computer kann auf die Ressourcen des lokalen Computers zugreifen.
Der grösste Nachteil von softwarebasierter Fernwartung ist in der Grundkonzeption verankert, der Kopplung an das Zielsystem:

  • Durch einen Defekt am Zielrechner oder Startprobleme der Software fehlt die Basis für einen Zugriff.
  • Kompatibilitätsprobleme: Hard- und Software von Maschinen und Anlagen sind auf einen Betrieb von 10 Jahren und mehr ausgelegt. Updates an diesen Systemen sind oft aus organisatorischen Gründen oder auch aus technischer Sicht nicht mehr möglich. So ist die Wahrscheinlichkeit relativ hoch, dass Sie bereits 2025 in Ihrem Softwarearchiv graben müssen, da die dann aktuelle Version mit der des installierten Clients nicht mehr kompatibel ist.
  • Zugriffsprobleme: mit zunehmender Qualität der Absicherung des Kundenfirmennetzwerkes wird der Verbindungsaufbau schwieriger. Ist die Absicherung dieses Netzwerkes schwach, ist zwar der Zugriff per softwarebasierter Fernwartungslösung problemlos, die Wahrscheinlichkeit, dass sich in der Zwischenzeit ein Virus eingenistet hat, aber umso höher.

Diese Themen sind grundsätzlich alle lösbar, kosten aber Zeit. Zeit, in der ein Maschinenausfall in der Produktion richtig teuer wird. Damit leiden Kundenzufriedenheit und die eigene Reputation.

Daher sollte geprüft werden, ob der Fernwartungsservice auf Basis einer Softwarelösung dem Service- und Supportversprechen dem Kunden gegenüber gerecht wird.

Fernwartung mit hardwarebasierten Lösungen

Gleich vorweg: Hardware-basierte Zugriffslösungen zeigen sich aufwändiger und teurer, sind im Vergleich zu software-basierten Lösungen in puncto Betriebssicherheit und Anwendungsmöglichkeiten aber unschlagbar.

Hardware-basierte Lösungen erlauben eine über einen sogenannten VPN Router hardwaremässig aufgebaute Verbindung direkt ins Firmennetz des Kunden hinein und sind damit vom Zielsystem völlig unabhängig.

Struktur einer hardwarebasierten Fernwartungslösung: Zugriff bis auf die Steuerungsebene möglich

Der Vorteil einer hardwarebasierten Lösung lässt sich an vier zentralen Punkten festmachen:

  • Verbindungsqualität: der (einmalig aufgesetzte) VPN-Router der Maschine wird in beliebiger Art und Weise (übers Firmennetzwerk, GSM-Modem) ins Internet gehängt. Ab diesem Zeitpunkt ist der Router für Ihr Service-Center immer erreichbar.
  • Betriebssicherheit: Der industrielle Aufbau steht für einen zuverlässigen Betrieb, der intelligent verschlüsselte Tunnel und die Aufbereitung der Datenpakete sichert den Zugriff auch unabhängig von Firewalls etc.
  • Zugriffsqualität: Der Zugang über den VPN Router ermöglicht es dem Servicetechniker oder Ingenieur, so auf die Maschinensteuerung zuzugreifen, als ob er direkt an der Maschine arbeiten würde. D.h. er kann auf der Steuerung debuggen und Updates einspielen.
  • Freigabeprozess: Der Kunde kann entscheiden, wann der VPN-Tunnel aufgebaut werden soll.

Hardwarebasierte Lösung - Next Level mit Mehrwert: IXON Edge Gateway mit Cloudanbindung

 

Falls Sie nach einer innovativen Alternative suchen, um Ihre aktuelle Maschinenverbindung abzulösen, empfiehlt sich ein Blick auf den IXrouter von IXON. Der IXrouter bietet als Edge-Gateway einen industriellen VPN-Router mit integrierter Firewall, der auf der Grundlage des Sicherheitsstandards IEC 62443 auditiert ist.

Der IXrouter stellt eine sichere ausgehende Verbindung her, die vom Kunden lokal deaktiviert werden kann. Diese Vorgehensweise schützt vor Man-in-the-Middle-Angriffen und beseitigt die Notwendigkeit einer festen IP-Adresse oder des Öffnens von Firewall-Ports.

Mit dem IXON Portal (über Browser, Android und IOS APP verfügbar) und der IXON Cloud bietet der IXrouter sowohl Fernzugriffsmöglichkeit als auch die Möglichkeit für Datenaufzeichnung von der SPS in die Cloud über sämtliche moderne Protokolle und bietet somit die Grundlage für IIoT Applikationen.


Die Möglichkeit zur Erstellung individueller Übersichtsportale für diverse Kunden und Gruppen von Maschinen erlaubt eine strukturierte Verwaltung von Zugriffsmöglichkeiten für Servicetechniker.

Next Level Maschinenzugriff mit Mehrwert: In Kombination mit dem IXON Portal und der IXON Cloud ist der IXrouter die perfekte Lösung für Remote Access und IIoT.

Sie wollen mehr über die sichere Einbindung Ihrer Maschine in ein Firmennetzwerk erfahren oder den IXrouter kostenlos testen?

 

Als Spezialist für Steuerungstechnik und Maschinen-IT bringen wir Ihnen gerne unser Know-how bezüglich der sicheren Einbindung Ihrer Maschine bei. Mit unseren (zum Teil kostenlosen) Einstiegspaketen rund um den IXrouter bieten wir ihnen einen unkomplizierten Einstieg in die Welt der sicheren Maschinenverbindung und Industrial IoT Applikationen!

Interessiert?

Ich freue mich sehr, Ihnen entweder in einem Webmeeting oder bei einem persönlichen Gespräch vor Ort Ihre Fragen zu besprechen und Ihnen mehr über die (teils kostenlosen) Einstiegspakete zu erzählen.

Schreiben Sie mir einfach eine E-Mail - ich  melde mich bei Ihnen!


Stefan Safran

Leiter Business Unit
T: +423 377 13 56
E-Mail

Privatsphäre-Einstellungen
Wir verwenden Cookies, um Ihnen ein optimales Nutzererlebnis zu bieten. Einige Cookies sind für den Betrieb der Seite notwendig, andere dienen Statistikzwecken, Komforteinstellungen, oder zur Anzeige personalisierter Inhalte.

Sie können selbst entscheiden, welche Cookies Sie zulassen wollen. Bitte beachten Sie, dass aufgrund Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite verfügbar sind. Weitere Informationen finden Sie in unserer Datenschutzerklärung und Cookie Policy.
Mehr Cookie-Infos einblenden ▼

Notwendig
Diese Cookies sind zwingend erforderlich um die Webseite zu betreiben und Sicherheitsfunktionen zu ermöglichen. Damit können Sie auch komfortabel in Ihrem Profil für weitere Besuche unserer Webseite eingeloggt bleiben.

Komfort
Diese Cookies erleichtern Ihnen die Bedienung der Webseite, z.B. indem Einstellungen für spätere Verwendung gemerkt werden.

Marketing
Wir erfassen anonymisierte Daten für Statistiken und Analysen, die uns helfen unsere Webseite und deren Inhalte stetig zu optimieren.