Analoger Support in digital gewandelt

Mario BurdenskiTechnical Account Manager, Phoenix Contact Cyber Security AG, Berlin

Durch die in den vergangenen Jahrzehnten immer weiter gestiegene Bedeutung von Steuerungssystemen, stieg parallel der Bedarf, Kunden bei Fragestellungen auch aus der Ferne zu unterstützen. Der Werkzeugmaschinenhersteller Trumpf erweiterte in den 90er Jahren seinen bestehenden Telefonsupport zunächst um Teleservice über Analogmodem. Der Kunde konnte damit bei Fragestellungen an seiner Maschine den Teleservice aktivieren und ihm wurde aus der Ferne geholfen. Da diese Technologie im Hinblick auf Übertragungsraten und dafür hohe Kosten bald an ihre Grenzen stieß, war der nächste naheliegende Schritt, einen Teleservice über Internet anzubieten. Dabei kann sich der technische Kundendienst über eine gesicherte Verbindung in einen virtualisierten Service-PC aufschalten und von diesem aus standortunabhängig Probleme beheben.

Die größte Herausforderung bei der Erarbeitung einer Lösung über das Internet war der Umgang mit der Angst der Kunden vor dem Internet. „Die Kunden fürchteten einen Kontrollverlust über ihr digital gespeichertes Wissen“, erinnert sich Hans-Peter Bock, Projektleiter des Telepresence Portals bei Trumpf. Zusätzlich musste das Konzept für den Teleservice über Internet einfach verständlich sein und dem Kunden jederzeit die Kontrolle über den Zugang zu seiner Maschine gewähren.

Weiterhin war die Nachrüstbarkeit vorhandener Maschinen ein wichtiger Aspekt: Der neue Teleservice sollte ohne aufwendige Installation und Konfiguration von Software oder Zertifikaten durchführbar sein. Einerseits, um zeitaufwendige Schulungen von Servicetechnikern weltweit zu vermeiden, andererseits, um auch noch produktive Maschinen mit abgekündigten Betriebssystemen wie Windows NT anbinden zu können.

Aufgrund der dezentralen, weltweit verteilten Struktur des Servicedienstes des Ditzinger Maschinenanbieters ist die hohe Verfügbarkeit und Ausfallsicherheit von zentralen Kommunikationskomponenten essentiell, um einen reibungslosen Ablauf zu gewährleisten. Dazu sei es laut Experte Bock notwendig, dass die vorgesehenen Kommunikationskomponenten einen redundanten Betrieb mit hoher Verfügbarkeit unterstützen. Ebenfalls müssen diese Komponenten skalierbar sein, um mit der kontinuierlich wachsenden Anzahl von Teleservicefähigen Maschinen mitzuwachsen.

Um all diese Anforderungen zu erfüllen, wählte der Anbieter eine Lösung, bei der die Maschine erst auf Anforderung durch den Kunden eine gesicherte Verbindung zu einem zentralen Portal bei Trumpf aufbaut. Um die übertragenen Daten vor Ausspähen oder gar Datenänderung absichern zu können, wurde das Standardprotokoll IPsec verwendet, das eine gesicherte Kommunikation via Internet ermöglicht. Für eine spätere mögliche Nachrüstbarkeit der Maschinen, setzten die Experten eine vom Hersteller vorkonfigurierte Hardware Appliance ein. Diese muss lediglich ein- oder ausgebaut werden, um eine Maschine nachzurüsten.

Die Anforderungen der einfachen Inbetriebnahme ermöglicht der Sicherheitsrouter „mGuard“ in der PCI²-Varianteder Phoenix Contact Cyber Security, der vormaligen Phoenix-Tochter Innominate Security Technologies. Das Netzwerkgerät ist eine gehärtete Industriefirewall mit vielen weiteren Sicherheitsfunktionen wie IPSec, einem virtuellen privaten Netzwerk (VPN), Integrity Monitoring und Benutzerfirewall. Der Konfigurationsaufwand am Router wird durch den Stealth Modus minimiert. Mit diesem Modus kann das Gerät zwischen Maschine und Netzwerk integriert werden, ohne, dass Änderungen an der Netzwerkstruktur oder den Einstellungen vorgenommen werden müssen. Das System arbeitet in diesem Fall ohne IP-Adresse und kann laut Herstellerangaben eine performante und sichere IPSec-Verbindung über ein VPN starten. Zudem läuft das Gerät unabhängig vom Betriebssystem der zu schützenden Maschine.

Der Kundendienst kann die Fernwartung der Maschine anhand integrierter Schnittstellen am „mGuard“ direkt aus der Bedienoberfläche aktivieren. Netzwerkstandardprotokolle wie HTTPS oder SSH bauen eine verschlüsselte Verbindung auf. Der vorkonfigurierte Router wird von Trumpf als sogenannte Telepresence-Box in die Bedienrechner der Maschinen verbaut. Die PCI-Schnittstelle des Routers dient lediglich der Stromzufuhr, Treiber müssen nicht installiert werden. Da die Telepresence-Box die Verbindung zur Trumpf Servicezentrale aufbaut, kann auf umständliche Portweiterleitungen an der Kundenfirewall verzichtet werden. Die Freigabe der Standard IPSec-Ports ist ausreichend.

Damit der Maschinenbediener den Teleservice leicht steuern kann, hat der Ditzinger Werkzeugmaschinenanbieter die Applikation Telepresence Manager entwickelt. Diese wird als Add-On Software auf die Maschinen installiert, wobei weder Treiber installiert werden, noch das Betriebssystem verändert wird. Gleichzeitig ist die Verwendung auf älteren Windowssystemen wie NT sowie allen neueren Versionen von Windows möglich, heißt es. Der Maschinenoperator kann so über einen Knopfdruck am Telepresence Manager den Teleservice aktivieren und deaktivieren.

Als Gegenstelle zum Router kommt die zentrale Kommunikationskomponente mGuard Centerport, ein VPN-Gateway für Rechenzentren, zum Einsatz. Da die Geräte mit dem Gateway in unterschiedlichen Rechenzentren redundant und verfügbar betrieben werden können, wird die Ausfallsicherheit des Systems gewährleistet, teilt der Anbieter mit.

Projektleiter Bock zeigt sich mit dem Einsatz der „mGuard“-Technologie zufrieden: Durch den speziellen Stealth Modus können die Maschinen zur Laufzeit wartungsarm betrieben werden und die Daten werden sicher übermittelt. Mit der aktuellen Entwicklung, dem Visual Online Support (VOS), können auch Bilder, Audio- und Videoaufnahmen mittels Smartphone oder Tablet sicher mit dem Technischen Kundendienst ausgetauscht werden. Die bisher für Android und i-OS-verfügbare Applikation nutzt dazu die bestehende sichere VPN-Verbindung von der Maschine zum Telepresence Portal.

Die Produktlinie „mGuard“ wird angeboten von der Phoenix Contact Cyber Security AG. Der ehemals als Innominate Security Technologies AG bekannte Hersteller von Komponenten und Lösungen für die kontrollierte und gesicherte Kommunikation in industriellen Netzwerken firmiert seit erstem Januar 2016 unter der neuen Firmenbezeichnung als selbstständiges Unternehmen von Phoenix Contact. Der 2001 gegründete Komponentenanbieter hat seinen Sitz mit 35 Mitarbeitern in Berlin.

Die Trumpf Gruppe mit Hauptsitz in Ditzingen stellt Werkzeugmaschinen, Laser und Elektronik für industrielle Anwendungen her. Das baden-württembergische Familienunternehmen gehört zu den weltweit größten Anbietern von Werkzeugmaschinen. Im Geschäftsjahr 2014/15 erwirtschaftete der Hersteller mit mehr als 10 800 Mitarbeitern einen Umsatz von 2,72 Mrd. Euro. Die Unternehmensgruppe mit mehr als 60 Tochtergesellschaften in fast allen europäischen Ländern, in Nord- und Südamerika sowie in Asien erzielte somit ein Ergebnis von rund 357 Mio. Euro vor Steuern.

Teleservice über Internet

Der Einsatz von Teleservice über Internet beginnt nach wie vor klassisch über einen Telefonanruf des Kunden. Je nach Fragestellung schlägt der technische Kundendienst den Einsatz von Teleservice über Internet vor. Der Kunde aktiviert diesen per Knopfdruck auf der Bedienoberfläche seiner Maschine. Diese baut nun über den eingebauten Sicherheitsrouter „mGuard“ eine gesicherte Verbindung zum Trumpf Telepresence Portal auf und bekommt dort einen dedizierten virtualisierten Service-PC zugewiesen. Auf diesen PC kann sich der technische Kundendienst nun aufschalten und bekommt in der virtuellen Umgebung alle notwendigen Service-Werkzeuge zur Verfügung gestellt. Es spielt dabei keine Rolle, an welchem Standort sich der Servicemitarbeiter gerade befindet. Beendet der Kunde die Verbindung zum Telepresence Portal an der Maschine oder ist der Service-Fall abgeschlossen, wird der verwendete virtuelle Service-PC im Portal vollständig gelöscht.