Freigabe nach Telefonanruf
Der Netzwerkzugriff externer Dienstleister setzt eine Authentifizierung des Servicemitarbeiters mittels Token-Einmalpasswort voraus. Ein direkter Zugriff von Endgeräten der Dienstleiter auf Anlagen ist danach trotzdem nicht erlaubt. Das zweistufige Firewall-System gewährt Externen ausschließlich den Zugriff auf jeweils ihre virtuellen Fernwartungsrechner. Diese sind per Default ausgeschalten. Technisch erzwungen, muss sich somit der externe Dienstleister telefonisch beim Anlagenbetreiber melden, um den Start seines Fernwartungsrechners anzufordern. Mittels Software-App erfassen Schichtleiter die Fernwartungsanforderungen externer Dienstleister. Dazu gehören Namen der Firma und des Mitarbeiters, dessen Rückrufnummer, die Auftragsnummer, die Anlage mit Beschreibung der Servicetätigkeit, die Softwareanwendung sowie die voraussichtliche Dauer des Serviceeinsatzes. Dafür werden kaum mehr als 90 Sekunden benötigt. Alle einmal erfassten Eingaben werden wiederkehrend zur Auswahl angeboten. Zudem bietet die App einen permanenten Überblick über alle inaktiven und aktiven Fernwartungsrechner.
Dokumentierte Arbeiten
Die genannten Informationen werden zusammen mit Start- und Abschaltzeit des virtuellen Fernwartungsrechners elektronisch dokumentiert. Ihre Erfassung ist Voraussetzung dafür, dass der zugeordnete Fernwartungsrechner aus der App heraus gestartet werden kann. Nach dem Start eines Fernwartungsrechners befindet sich auf dessen stets leerer Desktop-Oberfläche lediglich ein Herunterfahren-Button. Der Rechtsklick ist deaktiviert. Es können keine Sondertasten, wie Windows-, Alt-, Steuerung- und F-Tasten, verwendet werden. Über den Start-Button sind keine weiteren Anwendungen sicht- oder startbar. Im Zuge der Erfassung des Fernzugriffswunsches wird die Anlage bzw. das Zielsystem abgefragt, worauf der Zugriff erfolgen soll. Der Schichtleiter schiebt per Maus ausschließlich die zugehörige Anwendungsverknüpfung auf den Desktop des externen Service-Partners.
Kontrolle Ende-zu-Ende
Aktuelle Sessions auf den Fernwartungsrechnern lassen sich auf administrativen Systemen spiegeln (Beobachten-Funktion), sodass ein Vier-Augen-Prinzip beim Fernzugriff möglich ist. Die zugewiesene Software wird grundsätzlich durch eine zusätzliche Applikationsfirewall abgesichert. Für jede installierte Serviceanwendung ist hinterlegt, welche Programme und Plug-Ins gestartet werden dürfen, welche Zielsysteme auf welchen Ports angesprochen werden dürfen und welche Parameter der Anwendung erlaubt sind. Nach Abschluss des Fernzugriffs sind die Fernwartungsrechner heruntergefahren und ausgeschaltet. Die zugewiesenen Anwendungsberechtigungen werden automatisiert wieder zurückgenommen. Unabhängig davon hat der Schichtleiter in seiner App zu jeder Zeit die Option zur Zwangstrennung eines Fernwartungsrechners.
Digitale Hoheit
Mit dem Fernwartungssystem steht Anwendern eine nützlich Komponente eines weit gefassten IT-Schutzkonzeptes für industrielle Anlagen zur Verfügung. Es schützt auf Netzwerkebene, auf Endgeräte- und Softwareebene sowie einer durch Produktionsmitarbeiter handhabbaren Organisationsebene. Das Prinzip ‚Minimal need to have‘ wird konsequent auf die virtuellen Fernwartungsrechner und die darauf zu verwendende Software ausgeweitet. Der Anlagenbesitzer ist so in der Lage, seine digitale Hoheit auch über die Endgeräte des Anlagenzugriffs auszuüben.
