Startseite » Allgemein »

Updates aus der Ferne ohne Risiko

Allgemein
Updates aus der Ferne ohne Risiko

Updates aus der Ferne ohne Risiko
Mit dem so genannten „Session Sharing” können sich während eines komplizierten Störungsfalls gleichzeitig der Mitarbeiter an der Maschine und ein Spezialist auf die Anlage schalten Bilder: Trumpf
Computer-Viren sind längst nicht mehr nur ein Problem für Anwender im Büro. Durch die Fernwartung von Maschinen kann Malware auch in die Produktionsumgebung gelangen und ganze Fertigungen lahm legen. Die Anlagenbetreiber fordern zunehmend sichere Einwahlverfahren.

Für Maschinen- und Anlagenhersteller gibt es keine wirtschaftliche Alternative zur Fernwartung. Allerdings haben nur wenige frühzeitig in geeignete Sicherheitsmaßnahmen investiert. In der Praxis stellt sich das Problem so dar: Die Servicetechniker vieler Anlagenhersteller greifen oft von unsicheren Service-PC direkt auf die Anlagen in der Produktion zu, nachdem sie vorher auf der Maschine bei einem anderen Kunden eingewählt waren. Gefährliche Computer-Viren können so schnell weiter getragen werden. Zusätzlich besteht die Gefahr, dass sensible Daten des Kunden in falsche Hände geraten. Die Folge ist, dass insbesondere Großunternehmen bereits umfangreiche und detaillierte Sicherheitsanforderungen formuliert haben und unsichere Einwahlverfahren unterbinden. Der Hintergrund: Die Vernetzung industrieller Produktionsanlagen steigt stetig, und damit nimmt auch das Gefährdungspotenzial zu. Betreiber, allen voran die Automobilindustrie, sind leidgeprüft, denn die Anlagen wurden mehrfach von eingeschleusten Viren oder Trojanern lahmgelegt.

Für Anlagenhersteller hat das Folgen, denn für den sicheren Fernzugriff ergeben sich jetzt unzählige Varianten. Angefangen von der Art der Einwahl (Modem, ISDN, Internet, GSM und UMTS), über verschiedene VPN-Standards für die Datenverbindung (VPN = Virtual Private Network) bis hin zu einer Vielzahl vorgeschriebener Virenscanner und Firewalls. Alle Servicestellen müssen die jeweils aktuellen Einwahl-Tools und Sicherheitsanforderungen des Kunden pflegen.
Bei der Trumpf Laser- und Systemtechnik GmbH sieht die Praxis so aus, dass heute zum Beispiel das nationale Servicecenter im amerikanischen Farmington die Maschine des Kunden betreut und morgen ein Spezialist vom Service-Kompetenzcenter im schwäbischen Ditzingen gefordert ist. Der Verwaltungsaufwand dafür ist zu hoch und nicht mehr praktikabel.
Trumpf forciert deshalb das so genannte Telepresence-Portal. Auf der diesjährigen Hannover Messe überreichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell das Sicherheits-Zertifikat für die Lösung bei Trumpf. Damit wurde erstmals einer Fernwartungslösung bescheinigt, den strengen Sicherheitsanforderungen des BSI gerecht zu werden. Das neue Konzept wurde gemeinsam mit dem IT-Security-Spezialisten DS Data Systems GmbH aus Braunschweig entwickelt. Die Zertifizierung erfolgte, nachdem die Lösung ein gutes Jahr bei Trumpf im Einsatz war. Rainer Thieringer, Leiter der Abteilung Softwareentwicklung bei Trumpf Laser, zeigt sich zuversichtlich: „Wir verfügen über eine Fernwartungslösung, die alle kritischen Sicherheitsanforderungen der verschiedenen Branchen berücksichtigt und zudem den Serviceaufwand reduziert.“
In der Praxis mussten sich die Service-Mitarbeiter von Trumpf allerdings von gewohnten Abläufen trennen. Das machen sie nach anfänglicher Zurückhaltung heute gern, denn die Fernwartung ist einfacher und zuverlässiger geworden. Über die neue Plattform wählt der Mitarbeiter nach der Autorisierung nur noch den Kunden und die Anlage aus. Alle individuellen Vorgaben der Anwender sind zentral gespeichert. Die Einwahl dauert nur noch 1 bis 2 min – egal über welchen Weg. Alle Passwörter und Anforderungen werden automatisch aus der zentralen Datenbank gezogen. Die Verbindungstechnik bietet zudem höhere Übertragungsraten im Vergleich zu Modems. Das ist zum Beispiel beim Überspielen von umfangreichen Software-Updates entscheidend.
Trumpf will damit mehr Vertrauen für den Service beim Kunden erreichen. Zudem muss der Serviceeinsatz wirtschaftlich sein. Die neue, zentrale Plattform wurde entsprechend konzipiert. Weil viele Abläufe automatisiert sind, lässt sich die Administration mit weniger Aufwand realisieren. So dauert die Einrichtung eines neuen Kunden nur noch wenige min. Der weltweite Service ist jetzt besser umzusetzen, denn die zentrale Service-Plattform lässt sich über verschiedene Zugangstechnologien nutzen wie Internet oder UMTS. So kann der Service unabhängig von den Vorgaben des Kunden erfolgen, der möglicherweise nur ISDN zulässt.
Durch die sichere Fernwartung ist der Techniker in engem Kontakt mit dem Anwender vor Ort. Mit Hilfe von speziellen Tools wie PC-Anywhere sind der Techniker aus der Ferne und der Anwender vor Ort zur gleichen Zeit auf der Anlage. Das bringt wichtige Lern- und Arbeitserfolge. Dank des so genannten Session-Sharing kann sich während eines komplizierten Störungsfalls gleichzeitig ein Spezialist mit auf die Anlage schalten. Die strengen Sicherheitsstandards sind dabei gewahrt.
Auch in anderen Branchen geht die Sicherheit vor. Die Unternehmensgruppe Koenig & Bauer, einer der größten Druckmaschinenhersteller der Welt, hat sich entschieden, künftig die Portallösung von DS Data Systems für die Fernwartung ihrer weltweit eingesetzten Druckmaschinen zu nutzen. Andreas Birkenfeld, Bereichsleiter Konstruktion Systemtechnik bei Koenig & Bauer ist in Aufbruchstimmung: „Für uns erfüllt dieser Ansatz die zunehmenden Sicherheitsanforderungen in vernetzten Anlagen.“
Ein namhaftes Unternehmen aus der Aluminium-Verarbeitung plant, Dienstleistern künftig die Nutzung des Serviceportals vorzugeben, wenn sie sich für Servicezwecke per Fernwartung in die Produktion einwählen. Zu den Hauptgründen zählen die wachsende Bedrohung durch Viren und Malware und der steigende Aufwand für die IT-Security.
Ganz andere Beweggründe veranlassen einen Hersteller von Schneid- und Schweißanlagen, neue Wege in der Fernwartung zu gehen. Der Berufsgenossenschaft fehlt beim Remote-Service der Nachweis über die zwingende Kontrolle durch einen Mitarbeiter vor Ort. Denn im Bewegungsbereich der Maschine müssen auch während der Wartung Mitarbeiter vor Gefahren geschützt sein. Der Lösungsansatz ist eine sichere Zwei-Wege-Authentifikation durch den Servicetechniker in der Ferne und gleichzeitig durch einen Mitarbeiter vor Ort.
Trumpf geht jetzt noch einen Schritt weiter und testet die so genannte Call-Out-Erweiterung. „Viele unserer Kunden lassen einen Servicezugriff aus der Ferne nur zu, wenn vorher eine direkte Autorisierung durch einen eigenen Mitarbeiter erfolgt ist“, berichtet Klaus Bauer aus der Systementwicklung bei Trumpf. Damit von außen nicht direkt in das Produktionsnetz eingegriffen wird, geht mit dem „Call-Out“ die Initiative vom Kunden aus. Der Servicebedarf wird vom Kunden zunächst telefonisch angekündigt und danach an der Maschine die „Servicecall-Taste“ gedrückt. Erst jetzt wird von der Anlage über die firmeneigene Firewall per VPN-Tunnel eine abgesicherte Daten-Verbindung zu Trumpf aufgebaut. Ist diese aktiv, kann der Servicetechniker von Trumpf über das Portal tätig werden.
„Wir erwarten für diese Fernwartungs- Lösung eine hohe Akzeptanz des Kunden“, fasst Klaus Bauer die Vorteile des Konzepts zusammen. „Wir haben die zertifizierte Sicherheit des Portals und zusätzlich die Kontrolle des Mitarbeiters, der alle Zugriffs-Aktivitäten überwacht.“ Der Kunde kann nachvollziehen, dass die Betriebssicherheit gewährleistet ist und dass mit der erteilten Vertrauensstellung sorgsam umgegangen wird. Auch wenn bisher nur die IT-Abteilungen der großen Unternehmen detaillierte Service-Policies vorgeben, bereitet sich Trumpf darauf vor, das neue Fernwartungs-Konzept künftig als Standard einzuführen.
Martin Ortgies Fachjournalist in Königslutter
Erstes Sicherheits-Zertifikat für Fernwartungslösung

SMS alarmiert Servicetechniker
Neben den hohen Sicherheitsanforderungen setzt die Fernwartungslösung bei Trumpf auch auf Wirtschaftlichkeit. Dabei haben die Schwaben eine Reihe von Aspekten umgesetzt. Hierzu zählen
  • Umstellung von einem dezentralen auf ein zentrales System,
  • gesicherter Fernzugang,
  • zentrale Verwaltung der kundenspezifischen Daten,
  • Skalierbarkeit des Systems über Standortgrenzen hinweg,
  • Zugriff ausschließlich für autorisierte Personen,
  • kundengerechte Einwahlverfahren sowie
  • zertifizierte Sicherheit nach BSI IT-Grundschutz.
„Die Portallösung ist für Produktionsunternehmen mit steigenden Service-Anforderungen zugeschnitten“, so Helge Baganz, Projektleiter bei DS Data Systems aus Braunschweig, mit denen Trumpf die neue Lösung entwickelt hat. Bei Bedarf kann der Servicetechniker direkt aus dem Portal per SMS über das Handy alarmiert werden. Die integrierte Dokumentation protokolliert zudem alle Zugriffe, beispielsweise für ein automatisches Reporting.

Neue technologien
Die Fernwartung von Maschinen gibt es nicht erst seit gestern. Ein neuer Aspekt hingegen ist der sichere Zugriff auf die Anlagen. Nur durch sichere Einwahlverfahren lässt sich in Zukunft die Produktionsumgebung des Betreibers vor Viren und Würmern schützen. Eine entsprechende Portallösung bieten derzeit die wenigsten Anlagenbauer, der Nachholbedarf ist groß.
Unsere Webinar-Empfehlung
Industrieanzeiger
Titelbild Industrieanzeiger 4
Ausgabe
4.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de