Viele Fernzugriffslösungen in der Automatisierung werden in erster Linie durch den Einsatz eines Virtual Private Network (VPN) abgesichert. Besonders anspruchsvoll ist der IPsec- oder SSL-gesicherte Fernzugriff unterschiedlicher Nutzergruppen auf einzelne Automatisierungsbaugruppen im Ethernet-LAN einer Anlage. Die Planung und Realisierung eines solchen Fernzugriffs-VPNs ist eine sehr komplexe Aufgabe, die ein umfangreiches Spezialwissen und Erfahrung erfordert. Zunächst einmal hat man es mit drei völlig unterschiedlichen Funktionseinheiten zu tun, die konfiguriert, administriert und ständig nach neusten Sicherheitserkenntnissen weiterentwickelt werden müssen.
Die Funktionseinheiten
Der VPN-Server ist im Allgemeinen ein leistungsfähiger PC, der im Rechenzentrum eines Anlagenherstellers oder bei einem Serviceanbieter betrieben wird. Dieser hochverfügbare Rechner ist mit dem Internet verbunden und über einen DNS-Namen oder eine statische IP-Adresse weltweit erreichbar. Das VPN-Gateway besitzt mindestens zwei IP-Schnittstellen. Eine ist per DSL, GPRS oder UMTS mit dem Internet verbunden. Die zweite ist in das Automatisierungs-LAN der Anlage eingebunden. Zwischen beiden Schnittstellen muss ein sicherer Zugriffsschutz gewährleistet sein. Teleservice-PCs sind gewöhnliche Arbeitsplatzrechner und Notebooks, die mit unterschiedlichen Betriebssystemen laufen. Sie sind in der Regel über ein Unternehmens-LAN mit dem Internet verbunden. Auf diesen Rechnern sind zahlreiche weitere Anwendungen - wie zum Beispiel eine SPS-Programmiersoftware - installiert. Sinn und Zweck eines Teleservice-VPNs ist in den meisten Anwendungsfällen der völlig transparente PC-Fernzugriff auf die einzelnen Automatisierungsbaugruppen.
Fernkonfigurations-Service
Durch entsprechende Cloud-Services lässt sich die gesamte Planung und Realisierung eines Automatisierungs-VPNs deutlich vereinfachen. Die VPN-Gateway-Baugruppen können bereits durch den Anbieter entsprechend vorkonfiguriert werden, sodass der Automatisierer bei der Inbetriebnahme vor Ort nur noch die Gateway-Verbindungen zum Internet und zum Feldgerät herstellen muss. Nach dem Anlegen der Versorgungsspannung, oder nach der Internet-Zugangskonfiguration, erzeugt das VPN-Gateway über die Fernzugriffsschnittstelle zunächst eine Verbindung zum Internet. Danach meldet es sich bei dem jeweils hinterlegten VPN-Server an. Der dort ablaufende Cloud-Service erkennt die Anmeldung des Gateways und stellt anhand der vorliegenden Daten fest, dass es sich um eine Erstinbetriebnahme handelt. Um die erforderliche IP-Konfiguration in die Wege zu leiten, verschickt der Cloud-Service eine automatisch erzeugte E-Mail an den zuständigen Betreuer. Bei dieser Person kann es sich um einen entsprechend geschulten Mitarbeiter beim VPN-Gateway-Lieferanten, beim Betreiber des VPN-Servers oder beim Cloud-Service-Anbieter handeln. Dieser Mitarbeiter erzeugt dann beispielsweise über sein Service-Notebook eine VPN-Verbindung zum Gateway in der Anlage und führt die gesamte IP-Konfiguration aus der Ferne durch. Zum Schluss werden für das Gateway und die Teleservice-PCs des Kunden die entsprechenden Passwörter, Benutzerschlüssel und VPN-Zertifikate generiert. Diese Daten werden dem Kunden dann auf einem sicheren Weg zur Verfügung gestellt. Danach können die Teleservice-PCs mit den entsprechenden Rechten per VPN auf die einzelnen Automatisierungsbaugruppen der Anlage zugreifen