IT-Abteilungen und -Dienstleister übernehmen immer öfter die Absicherung des Fernzugriffs auf Anlagen. Wer die Verantwortung für die Server trägt, wählen Firmen individuell.
Mit der zunehmenden Digitalisierung von Unternehmensprozessen wächst auch die Nachfrage nach Lösungen, mit denen sich Anlagen aus der Ferne beobachten und warten lassen. Denn so können Unternehmen frühzeitig auf Veränderungen oder mögliche Ausfälle reagieren, und sparen zudem Kosten für Servicepersonal. Die Maschinenproduktivität muss dabei stets erhalten bleiben: Fernzugriffe sollten nicht sporadisch, sondern geplant und zuverlässig ausgeführt werden können.
Hierzu eignet sich ein Konzept, in dem die Automatisierungszelle nur bei Bedarf und Verfügbarkeit in einen Fernwartungsmodus versetzt wird. Ist die Anlage nicht in dieser Betriebsart, kann und darf kein Zugriff aus der Ferne erfolgen. Die Zelle sollte daher so ausgestattet werden, dass sie im Wartungsmodus die Verbindung initiiert – idealerweise zu einem vertrauenswürdigen und verfügbaren Partner. Soll dies für eine Vielzahl von Zellen im Netzwerk erfolgen, bietet sich ein zentrales Konzept an, das von allen Zellen auf dieselbe Art und Weise genutzt werden kann.
Dadurch ist es auch möglich, die entgegenzunehmenden Verbindungen zentral zu verwalten. Der Servicetechniker, der die Zelle zur Wartung erreichen möchte, soll innerhalb kurzer Zeit verschiedene Zellen nacheinander oder gleichzeitig erreichen können – und das ohne großen Aufwand und ohne IT-Fachkenntnisse. Der Techniker benötigt dementsprechend ein einfaches Werkzeug, über das er die Fernwartungs-Endpunkte, also die Automatisierungszelle im Netzwerk, erreichen kann. Da sich die Zellen zentral an einer Plattform melden, sollte der Servicetechniker diese zentrale Stelle ebenfalls bei Bedarf erreichen können.
Für die Umsetzung dieses Konzepts, das auch als „Rendezvous-Server“ bezeichnet wird, muss die zentrale Managementplattform entsprechend der Security-Richtlinien der Unternehmen umgesetzt werden können. Dies schließt häufig Cloud-gehostete Lösungen auf fremden Servern aus.
Siemens bietet hierfür neben den benötigten Geräten auch weltweit Beratungsdienstleitungen und Services rund um das Kundennetzwerk und IT-Security an. Stand der Technik bei Fernzugriffslösungen sind Systeme auf Basis zentraler Server, die Tunnelverbindungen von Maschinen und Servicepersonal entgegennehmen und je nach Berechtigung zusammenschalten. Dadurch kann eine der Kernanforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an industrielle Fernzugriffsnetzwerke erfüllt werden: Verbindungen gehen lokal von den Anlagen aus, sodass die Kontrolle über Verbindungen nach außen auch lokal möglich ist.
Gestattet der Endkunde ein Hosting, das heißt die Bereitstellung seiner Services, nicht außerhalb seines Firmennetzwerks, kann der Servicetechniker mit einem Server-basierten System – etwa der Managementplattform Sinema Remote Connect für Remote Networks – auf die benötigten Verbindungen zugreifen.
Zum einen kann die IT des Betreibers dem Techniker einen Zugang über Remote Desktop auf einen Rechner gewähren, der in der Verantwortung der Betreiber-IT steht. Auf diesem sogenannten Sprungrechner („Jump-Host“) stellt der Betreiber dem Servicetechniker alle für den Wartungsfall benötigten Tools zur Verfügung, wie beispielsweise das Totally-Integrated-Automation- (TIA-) Portal und dessen Projekte. Damit erhält er Zugriff auf die gesamte digitalisierte Automatisierung der Anlage. Gleichzeitig unterbindet die IT so den Einsatz von gegebenenfalls unsicheren Servicelaptops, die infizierte Daten in das Firmennetzwerk schleusen könnten.
Serververantwortung wahlweise bei Betreiber-IT oder im Unternehmensnetzwerk
Im Servicefall könnte das etwa so aussehen: Der Zugriff auf die zu wartende Anlage erfolgt über einen vorgelagerten Rechner im Firmen-Intranet, auf den sich die Erstausrüster oder Servicetechniker über eine Remote-Desktop-Anwendung einwählen. Ab dann befinden sie sich im sicheren Bereich des Unternehmensnetzwerks und können über die Client-Applikation auf dem vorgelagerten Rechner via Intranet auf den ebenfalls beim Betreiber im IT-Netzwerk gehosteten Sinema-Remote-Connect-Server zugreifen.
Ein weiteres Szenario ist, dass die Verantwortung des zentralen Fernwartungsservers nicht in der IT, sondern im Firmennetz des Kunden liegt. Das ist beispielsweise bei Kunden üblich, die aufgrund von Anforderungen an kurze Reaktionszeiten auf Veränderungen, also User, Berechtigungen oder Anlagen die Verwaltung des Servers selbst in der Hand haben wollen – ohne dabei von IT-Prozessen abhängig zu sein. Hier werden die Tools ebenfalls über einen Sprungrechner zur Verfügung gestellt, der Server wird aber im Fabriknetzwerk betrieben. Die Verwaltung der Remote-Desktop-Verbindungen von außen, sowie der dazugehörigen, vorgelagerten Rechner liegt weiterhin bei der IT des Betreibers. Interne Servicetechniker, die über das Intranet Zugriff auf den Server haben, sind so von der IT unabhängig.
Mit seinem „Managed Services“-Angebot bietet der Konzern ein Gesamtsystem basierend auf Server-Hardware, das in Form einer Private Cloud beim Kunden vor Ort eingesetzt werden. Bestandteil des Angebots ist neben der Hardware, Virtualisierungsumgebung und den bereits vorinstallierten virtuellen Maschinen für Sinema Remote Connect ein Windows-Betriebssystem, auf dem beispielsweise neben dem Client ein TIA-Portal installiert sein kann. Das System kann nach den jeweiligen Bedürfnissen des Kunden konfiguriert werden. Dafür benötigt er die Siemens-eigenen Scalance Router im Feld sowie die Möglichkeit, dass seine Servicetechniker via des Clients Remote-Zugriff auf die virtuelle Maschine haben. Damit erhält der Kunde eine sichere Lösung, mit der er seine Daten in der Private Cloud, also im Betrieb, hält und sich nicht um Wartung und Betrieb der Software und jeweiligen Treiber kümmern muss.
Jens Geider, Produktmanager Sinema Remote Connect, Siemens Process Industries and Drives, Nürnberg
Sichere Router für den Fernzugriff
Mit den Routern der Produktfamilie Scalance M bietet Siemens sichere und robuste Lösungen für den Fernzugriff auf Maschinen und Anlagen. Die Geräte im Industriedesign der Simatic S7-1500-Steuerungen sind temperaturtechnisch sowie bezüglich der Anforderungen an Spannungsversorgung und digitale Ein- und Ausgänge an die Simatic-Automatisierungswelt angepasst. Über ein weites Zubehörportfolio an Antennen und Kabel oder entsprechende Schaltschrankdurchführungen und Blitzschutzelemente können auch die Mobilfunkgeräte einfach im Schaltschrank montiert und die gemäß IP 65 geschützten Antennen flexibel an der für einen sicheren Mobilfunkempfang besten Stelle installiert werden. Auch in entlegenen Gebieten kann der Verbindungsaufbau von einem Mobilfunkrouter der Linie Scalance M-800 aktiv angestoßen werden. Durch die integrierte SMS-Funktion ist es möglich, über die Sinema-Remote-Connect-Plattform den Versand einer „Wake-up“-SMS an das Mobilfunkgerät anzustoßen.
Unsere Whitepaper-Empfehlung
Benutzeridentifizierung und Zugangskontrolle verbessern Sicherheit und Transparenz im Flottenmanagement
Teilen: