Seit mehr als 60 Jahren stellt die Kiefel GmbH Maschinen und Anlagen für die Kunststoffverarbeitung her und ist in den Bereichen Thermoforming und Fügetechniken weltweit aktiv. Neben der Produktqualität zählen die Serviceleistungen zu den wichtigen Faktoren für den Unternehmenserfolg. Daher ist die digitale oder persönliche Verfügbarkeit der Servicetechniker äußerst wichtig, erläutert Markus Penninger, Global Director After Sales Service Division. Denn Instrumente zur Fernwartung können dazu beitragen, die Stillstandzeiten der Maschinen zu reduzieren. Bei Störungen ist es Servicetechnikern möglich Fehler online zu beheben, damit die Maschine sofort weiter produzieren kann. Dies war in den Anfangszeiten der Corona-Pandemie unverzichtbar, als Maschinenwartungen vor Ort kaum durchführbar waren. Für die Remote-Serviceeinsätze setzt Kiefel seit Jahren auf die Fernwartungssysteme von MB Connect Line.
Abgesichert im Netz
Produktionsumgebungen gegen Angriffe aus dem Datennetz zu schützen, ist in den letzten Jahren zunehmend in den Fokus gerückt. Zu den grundsätzlich notwendigen technischen Maßnahmen gehört es, Maschinen in Fertigung und Produktion durch eine Segmentierung der Netzwerke so weit wie möglich zu isolieren. Oder auch, mittels Asset-Management alle Komponenten in der Netzwerk-Topologie zu erfassen – inklusive aller installierten Software- und Firmware-Versionen – um ein Sicherheitskonzept erstellen zu können, in dem beispielsweise das Patch-Management definiert ist. Unter organisatorischen Aspekten ist zu verstehen, die Zugriffsberechtigungen gemäß dem Minimal-Prinzip zu regeln. Demnach dürfen Mitarbeitende nur dann auf Bediensysteme zugreifen, wenn es aus fachlichen oder disziplinarischen Gründen erforderlich ist.
Wichtige Sicherheitsfragen
Was bei der Wahl einer Lösung und in Bezug auf den Stand der Technik für die Fernwartung zu beachten ist, fasst der ‚Bundesverband IT-Sicherheit e.V. TeleTrusT‘ in einer Handreichung zusammen. Anhand dieser lässt sich ermitteln, worauf Unternehmen beim Schutz ihrer OT-Netzwerke zu achten haben. Die folgenden Bedrohungen sind dabei relevant: nicht autorisierte Zugriffe auf das Firmennetzwerk, nicht autorisierte Zugriffe auf die Zielsysteme, keine Nachvollziehbarkeit der Fernwartungszugriffe und Datenabgriff oder Einwirkung während einer Fernwartungssitzung. Darauf basierend lassen sich IT-Sicherheitsmaßnahmen ableiten – also im Sinne des IT-Sicherheitsgesetzes alle relevanten Systeme, Komponenten und Prozesse.
Service Portal aufsetzen
Eine wichtige Voraussetzung für Fernwartung ist, dass Anlagenbetreiber dem jeweiligen Hersteller vertrauen können. Ein Vertrauensverhältnis kann – wie bei Kiefel – etwa dadurch hergestellt werden, dass die gesamte Verantwortung für alle Vorgänge bei diesem verbleiben und er alleiniger Ansprechpartner ist. Die Anforderung lässt sich durch die Einrichtung eines Remote-Service-Portals – On-Premises – beim Hersteller erfüllen, denn dadurch obliegt diesem das gesamte Hosting der Remote Service Plattform und sie wird auch an dessen Standort betrieben. Hersteller, die keinen Bedarf bezüglich eines eigenen Remote-Service-Portals haben, nutzen das von MB Connect zur Verfügung gestellte Service Portal, auf dem die Funktionen bereitgestellt werden. Generell bieten beide Service Portale alle Funktionalitäten zur Verwaltung der Projekte, Benutzer und Endgeräte. Daneben sind die einzelnen Komponenten im Öko-System entscheidend, um den jeweiligen Schutzbedarf zu erfüllen. So wird zum Unterbinden eines unautorisierten Zugriffs auf das Firmennetzwerk maschinenseitig der Router mbNET eingesetzt. Dieser fungiert als Firewall zwischen dem OT- und IT-Netzwerk. Ebenso wichtig ist es, dem Anlagenbetreiber die Gewissheit zu vermitteln, dass kein unautorisierter Zugriff auf eine Maschine durchgeführt werden kann. Dazu müssen die Benutzerrechte ordnungsgemäß hinterlegt sein – diese sind grundsätzlich im Service Portal, sprich in der Cloud, sicher abgespeichert. Die Steuerung der Zugriffe auf die verschiedenen Komponenten innerhalb der Anlage erfolgt ebenfalls über den Router – er sorgt über eine streng geregelte Rechtevergabe für die richtige Zuordnung zwischen der jeweiligen Berechtigung und dem entsprechenden VPN-Endpunkt in der Anlage. Neben Software-Zertifikaten kommt als zusätzliche Schutzmaßnahme hinzu, dass ein autorisierter Nutzer den Zugang zum System nur erhält, indem er sich über eine ausgehende Verbindung in das (Remote) Service Portal einwählt und sich dann beispielsweise per Zwei-Faktor-Authentisierung legitimiert.
Verschlüsselte Verbindung
Da der Fernzugriff in der Regel über einen cloudbasierten Nutzerzugang erfolgt, sollte auch die Verbindung zwischen Nutzer und Cloud sowie zwischen Cloud und Router abgesichert werden. Grundlage hierfür ist eine integritätsgesicherte und verschlüsselte Kommunikation, also VPN-Tunnel, die in der Architektur von MB Connect Line über die Cloud verbunden werden. Hierbei kommt die AES-256-Bit-Verschlüsselung mittels Sicherheitsprotokoll TLS/SSL zum Einsatz. Sicherheitsbedenken als Argument gegen den Einsatz einer Fernwartung dürfte immer weniger Unternehmen überzeugen. Im Gegenteil: Über eine Fernwartung lässt sich nicht nur der Betrieb unter Ausnahmebedingungen wie einer Pandemie aufrecht erhalten. Im Fall eines Cyberangriffes können sich Experten über diese Leitung schnell mit den Maschinen verbinden, um Schäden zu vermeiden oder zumindest zu reduzieren – und um notwendige Patches zeitnah aufzuspielen.
www.mbconnectline.com
