Industrial Software Sichere Wartung per Web

Bild: Weidmüller
11.05.2016

Damit die Industrie 4.0 ihre volle Flexibilität entfalten kann, muss sich Fernwartung als Service gut in I4.0-Systeme integrieren lassen. Mit einer webbasierten Fernwartungslösung vereinfacht ein Verbindungsspezialist den Service, um Anlagenverfügbarkeit und Produktivität zu steigern.

Ob es um Produktbeschaffenheit, Kosten, komplexe Lieferketten oder unterschiedlichste Stückzahlen geht; heute gilt es für produzierende Unternehmen, sich immer schneller auf veränderte Kundenwünsche einzustellen. Für die notwendige Flexibilität sorgen hierbei ein steigender Automatisierungsgrad sowie die zunehmend wichtig werdende Software. Das Resultat sind auf der anderen Seite komplexere Anlagen, die verstanden, beherrscht und gewartet werden müssen. Mit der höheren Produktionsflexibilität steigen schließlich auch die Produktivitätsanforderungen eines Maschinenparks. Unter solchen Rahmenbedingungen sind ungeplante Stillstände besonders zeit- und kostenträchtig. In der Regel greift das Wartungspersonal bei komplexen Anlagen im Störfall auf Spezialisten des Herstellers zurück. Doch ein Besuch vor Ort ist eben auch die kosten- und zeitintensivste Variante.

Billiger als Spezialisten vor Ort

Mittlerweile gibt es jedoch effiziente Alternativen zum Ortstermin: Mit der Fernwartungslösung U-link des Verbindungsspezialisten Weidmüller können Anlagenhersteller Kunden maßgeschneiderte Services bieten, die auf den gesamten Lebenszyklus einer Anlage abzielen. Dazu gehört ein schneller Support bei der Fehlerbehebung, bei Fragen zur Bedienung, Prozessoptimierung und Instandhaltung von Anlagen.

Die Systemlösung, die Weidmüller anbietet, besteht aus Netzwerkkomponenten wie Industrial Security Router und Ethernet Switch, dem Remote I/O-System U-remote inklusive integriertem Webserver für detaillierte Systemdiagnosen, zusätzlichen kommunikationsfähigen Automatisierungskomponenten und nicht zuletzt der webbasierten Fernwartungslösung U-link. Einige dieser Produkte lassen sich auch kundenindividuell konfigurieren und auf spezielle Bedürfnisse anpassen, beispielsweise das U-remote-System.

Sicherheit benutzerfreundlich gestalten

Zu den Vorteilen des U-link-Portals zählen ein abgesicherter Remote-Zugang, eine flexible Systemstruktur, ein effizientes Management, eine schnelle Ferndiagnose gleichwie ein beschleunigter Anlagenservice. Für den sicheren Remote-Zugang dient ein Webportal mit integriertem VPN-Rendezvous-Server in Deutschland, ein Router mit integrierter SPI-Firewall (stateful inspection), die Authentifizierung durch x.509-basierte Zertifikate (OpenVPN mit SSL-Verschlüsselung) und die manuelle Zugriffsfreigabe an der Anlage.

Neben all den neuen technischen Möglichkeiten, die industrielle Router und Cloud-Systeme bieten, darf die IT-Sicherheit industrieller Automatisierungssysteme (IACS) nicht vernachlässigt werden. In der Normenreihe IEC 62443 werden sieben grundlegende technische Systemanforderungen genannt, die eine Grundlage für die zu erreichenden Security-Level (SL) für Automatisierungssysteme darstellt.

Die nach IEC 62443 grundlegenden technischen Systemanforderungen sind:

  • Identifizierung und Authentifizierung

  • Nutzungskontrolle

  • Systemintegrität

  • Vertraulichkeit der Daten

  • Eingeschränkter Datenfluss

  • Rechtzeitige Reaktion auf Ereignisse

  • Verfügbarkeit der Ressourcen

Alle sieben grundlegenden Systemanforderungen verfügen jeweils noch über vier untergeordnete Security-Level. SL1 stellt dabei den geringsten SL4 den höchsten Sicherheitsanspruch dar. Über die Security-Level kann eine Systemlösung flexibel und nach den individuellen Bedürfnissen der Endnutzer klassifiziert werden.

Dabei ist es jedoch unabdingbar, dass alle grundlegenden technischen Systemanforderungen berücksichtigt werden. So sollen Industrielle Router und Cloud-Lösungen zum Beispiel nicht nur alle Nutzer identifizieren und authentifizieren, sondern auch die dauerhafte Integrität der übertragenden Daten durch kryptologische Algorithmen, Schlüsselgrößen und darüber hinaus Mechanismen der Schlüsselerstellung gewährleisten.

Neben den technischen Systemanforderungen stellt die Architektur in einem industriellen Automatisierungssystem ebenfalls eine Herausforderung dar. Aus diesem Grund sollte schon bei der Planung und Integration von Fernwartungslösungen stets beachtet werden, dass Automatisierungssysteme von Nicht-Automatisierungssystemen und kritische von unkritischen Systemen logisch zu trennen sind.

Herausforderung Systemarchitektur

Nach Empfehlung des Bundesamt für Sicherheit in der Informationstechnik sollten Fernwartungskomponenten möglichst in einer vorgelagerten Zone (DMZ) angebracht sein statt direkt im Produktionsnetz. Fernwartungszugänge dürfen nicht dazu führen, vorhandene Sicherheitsmechanismen zu umgehen. Des Weiteren sollte ein Fernwartungszugriff möglichst nicht pauschal auf das Produktionsnetz erfolgen, sondern klar und strukturiert pro IP und Port, wie zum Beispiel 1194 oder 443, geregelt werden. Dies grenzt nicht nur den erreichbaren IP-Adressraum in der Anlage ein, sondern schottet die übrigen IP-Adressbereiche ab.

Einen möglichen Lösungsansatz bietet die direkte Punkt-zu–Punkt-Verbindung mit dem Weidmüller Industrial Router und dem Webportal U-link. U-link soll eine sichere und schnelle Kommunikation zwischen User und Anlage garantieren. Diese gesicherte und verschlüsselte Kommunikation ermöglicht eine durchgängige Diagnosefunktion aller kommunikationsfähigen Geräte. Ein effizientes Management unterstützt die intuitive Bedienoberfläche mit klarer Benutzerführung, die eine User-, Gruppen- und Rechteverwaltung nach individuellem Bedarf ermöglicht.

Fernzugriff zu jeder Zeit

Ferndiagnosen von Anlagen erfolgen mit dem U-link-Portal nicht nur schnell, sondern ganzjährig rund um die Uhr, außerdem besteht direkter Zugriff auf alle TCP/IP-basierten Geräte. Die Fernwartungslösung von Weidmüller gestattet einen beschleunigten Anlagenservice, sodass Nutzer einen direkten Fernzugriff auf alle Systemfunktionen vor Ort haben und sie die Konfigurationen sowie Programme anpassen und Firmware-Updates einspielen können. Zu beachten ist, dass ein Fernzugriff – sofern möglich – ausschließlich aus der Anlage heraus initiiert werden sollte. Um etwaige Gefahrensituationen an lokalen Anlagen zu verhindern, muss ein Anlagenbetreiber den Fernzugriff aktivieren beziehungsweise freigeben. Dadurch dass die Anlage auch ferngesteuert wird, darf kein Gefährdungspotenzial für Anlage und Mensch entstehen.

Die webbasierte Fernwartungslösung U-link bietet dem Anwender viele Vorteile gegenüber klassischen 1:1 VPN-Verbindungen. Durch die intuitive Handhabung kann ein Anwender seine Anlagen über das Webportal in wenigen Schritten erreichen. U-link und auch die übrigen kommunikationsfähigen Systemkomponenten von Weidmüller erfüllen somit die höchsten technischen Ansprüche.

Bildergalerie

  • Die webbasierte Fernwartungslösung U-Link erhöht die Anlagensicherheit durch einen beschleunigten Service.

    Die webbasierte Fernwartungslösung U-Link erhöht die Anlagensicherheit durch einen beschleunigten Service.

    Bild: Weidmüller

  • Die Industrial Ethernet Router gewährleisten die volle Systemintegrität der Ferwartungslösung.

    Die Industrial Ethernet Router gewährleisten die volle Systemintegrität der Ferwartungslösung.

    Bild: Weidmüller

Firmen zu diesem Artikel
Verwandte Artikel