Produktions- und Prozessdaten gehören zu den sensibelsten Unternehmensdaten überhaupt. In einer unternehmensübergreifend vernetzen Welt ist es jedoch nicht mehr möglich, diese Daten ausschließlich in der hauseigenen IT abzuarbeiten. Werden externe Cloud-Services genutzt, geht die Verantwortung für die Sicherheit der Unternehmensdaten nicht gänzlich an den Cloud-Betreiber über. Insbesondere für den Datenverkehr vom Intranet in die Cloud ist der Maschinen- und Anlagenhersteller beziehungsweise Betreiber selbst voll verantwortlich.
Für die sichere Kommunikation von Automatisierungskomponenten von und zur Cloud setzt die Mehrheit der Unternehmen heute auf zusätzliche Systeme, wie zum Beispiel Gateways und standardisierte Sicherheitsprotokolle. Dagegen ist die direkte Kommunikation von der Steuerung in die Cloud am Markt noch relativ selten zu finden. Dieses Konzept verfolgt nun Jetter mit seiner neuen Steuerung JC-440 MC, die Produktions- und Prozessdaten direkt und sicher in die Cloud übertragen kann. Das Unternehmen Jetter ist davon überzeugt, dass für sogenannte Cloud-kompatible Steuerungen ein Markt entstehen wird. Deren Kunden argumentieren zu Recht: Solange die Applikation für die Prozessdatenverarbeitung kein IPC oder Edge-Computing erfordert, sollte die Steuerung die Daten sicher in die Cloud transferieren können. Die zusätzlichen Hardwarekosten der Gateways ließen sich so einsparen.
Gateway versus Steuerung
Der größte Nutzen von Gateways besteht darin, dass der Anwender für die Datenübertragung nicht tief in die Steuerung einer bestehenden Maschine oder Anlage eingreifen muss. Das Gateway wird möglichst an den Feldbus der Anlage angeschlossen und nach einer Umkonfiguration des Feldbusses können die Daten für den Transfer in die Cloud konfiguriert werden. Allerdings müssen hierzu die Gateways möglichst viele der am Markt verwendeten Protokolle bedienen können. Das ist bei einer direkten Verbindung zwischen Steuerung und Cloud nicht mehr erforderlich.
Gateways sind laut Jetter eine sehr gute Lösung, bestehende Maschinen und Anlagen mit langen Laufzeiten technologisch aufzurüsten. Ein weiterer Vorteil der Gateways besteht darin, bestimmte Daten vorverarbeiten und verdichten zu können und erst dann in die Cloud zu senden. Allerdings kann genau das auch zur Achillesverse werden. Der Markt der IIoT-Lösungen entwickelt sich dynamisch und viele Hersteller können heute weder die Datenvielfalt, die Menge an Daten noch die Komplexität der Datenvorverarbeitung abschätzen. Das ist auch deshalb der Fall, weil noch nicht sicher ist, in welcher Tiefe die Maschinenbetreiber bereit sind, ihre Betriebsdaten zur Verfügung zu stellen. Der direkte Zugriff auf Daten aus der Steuerung ist da flexibler – denn prinzipiell stehen hier alle in der Steuerung anfallenden Daten zur Verfügung. Damit ist dieses Konzept zukunftsorientiert; Änderungen während der Projektphase hinsichtlich der Datentypen und -mengen stellen keine Hürde dar. Eine Vorverarbeitung von Daten wie Mittelwerte, Trendwerte und so weiter kann ebenso wie im Gateway auch in der Steuerung erfolgen.
Hinsichtlich der sicheren Datenübertragung besteht laut Jetter zwischen einer direkten Übertragung aus der Steuerung und Gateway-Lösungen Gleichstand. Das Unternehmen verwendet in der Firmware seiner Steuerung die gleichen anerkannten Sicherheitsstandards wie sie bei Gateway-Lösungen zum Einsatz kommen. Nämlich eine sichere (volle) Authentifizierung der Verbindungsteilnehmer mit Zertifikaten und die sichere Übertragung der Daten über eine Ende-zu-Ende-Verschlüsselung. Damit ist die sichere Verbindung Teil der grundsätzlichen Systemfunktion und im Kernel der Steuerung verankert. Diese Entwicklung sei Jetter nicht schwergefallen, da die Firma schon seit knapp 20 Jahren mit Ethernet und TCP/IP-basierten Protokollen arbeitet. Für die Authentifizierung kommen Standards wie X.509 zum Einsatz, die Kommunikation nutzt unter anderem TLS, MQTT und Websockets.
Sicherheit durch volle Authentifizierung
In der elektronischen Kommunikation finden X.509-Zertifikate weltweit Anwendung, zum Beispiel beim Abruf von Webseiten mit dem HTTPS-Protokoll. Die Übertragung erfolgt dabei verschlüsselt mittels TLS (Transport Layer Security, auch bekannt als SSL = Secure Socket Layer). Ein Vorteil des Zertifikats: Jeder Zertifikat-Inhaber erhält nur so viele Rechte wie er benötigt. Die Zertifikate laufen außerdem nach einer definierten Zeit ab, was die Sicherheit nochmals erhöht.
Das MQTT-Protokoll (Message Queue Telemetry Transport) ist ein offenes Nachrichten-Protokoll für die Machine-to-Machine-Kommunikation und besonders für Sensor- und Aktordaten geeignet. Jetter nutzt das MQTT-Protokoll in Verbindung mit TCP/IP und TLS-Verschlüsselung. Websocket ist ein auf TCP basierendes Netzwerkprotokoll und stellt eine Möglichkeit dar, von einer Webseite in Dashboard-Darstellung Life-Daten aus einem Netzwerk oder einer Steuerung zu transferieren. Dies ist oft mit Schwierigkeiten behaftet, da über Firewalls ein Eindringen in ein Netzwerk verhindert wird.
Offen für HTTP ist allein der Port 80 oder für HTTPS der Port 443. Die Daten werden also an dem Port ausgetauscht, an dem normalerweise Webseiten übermittelt werden. Nach dem Verbindungsaufbau bleibt die TCP-Verbindung bestehen und ermöglicht Datenübertragungen in beide Richtungen.
Sicherheit durch Verschlüsselung
Die Daten der Steuerung werden mittels TLS-Protokoll über einen sicheren Kanal zwischen zwei Endpunkten verschlüsselt übertragen. Das TLS-Protokoll dient als Sicherheitslayer, auf dem wiederum weitere Protokolle aufsetzen können, wie zum Beispiel das oben genannte MQTT-Protokoll für die Machine-to-Machine-Kommunikation. Der individuell auswählbare Schlüssel wird erst bei der Verbindung ausgetauscht.
Die Programmierung der sicheren Datenverbindung zur Cloud erfolgt mit der IEC 61131-3 ST basierten Programmiersprache STX. Lediglich fünf Befehle sind erforderlich. Diese versetzen die Steuerung in die Lage, Produktions- und Prozessdaten zu sammeln, im Sinne einer Vorverarbeitung zu analysieren beziehungsweise zu verdichten und direkt ohne zusätzliches Gateway in die Cloud zu senden.