Sollen Maschinen für Datenanalysen in der Cloud vernetzt werden, sind die Sicherheitsbedenken groß. Der Verpackungsmaschinenhersteller Gerhard Schubert setzt daher auf eine sichere Fernwartungslösung von Genua.

Martin Ortgies

freier Journalist in Hannover

„Wir haben in unserer Steuerung die Berechnung der Gesamtanlageneffektivität mit OEE-Kennzahlen (Overall Equipment Effectiveness) integriert. Dabei zeigt sich, dass viele Anlagen nicht optimal eingesetzt werden. Hier sehen wir Servicepotenzial“, erklärt Ralf Schubert, Geschäftsführer des Verpackungsmaschinenherstellers Gerhard Schubert. Deshalb hat der Hersteller aus Crailsheim das Prozess-Management seiner Anlagensteuerung namens Grips ausgebaut und mit der Grips.world ein eigenes Kundenportal in der Cloud entwickelt. Als nächsten Schritt will der Maschinenbauer den Cloud-Service ausweiten, um etwa die Performance der Maschinen zu optimieren. Für einen solchen Service ist eine laufende Zustandsüberwachung in Echtzeit notwendig. Hier müssen viele Daten über die laufenden Prozesse ausgewertet werden. Dazu wird innerhalb des Kundenportals ein digitaler Zwilling der Maschine eingerichtet.

Auch Predictive Maintenance ist laut Geschäftsführer Schubert ein wichtiges Servicethema. Der Maschinenbauer hat bereits 18 Use Cases für den Verschleiß von Maschinenkomponenten definiert. Um zu erkennen, wann besonders beanspruchte Teile ausfallen, müssen allerdings viele Daten über einen längeren Zeitraum ausgewertet werden. „Diese Daten kann uns die Maschine laufend übermitteln. Das akzeptieren unsere Kunden aber nur, wenn sie der Sicherheit vertrauen können“, ermahnt er.

Höhere Sicherheitsanforderungen an die industrielle Fernwartung

Die Betreiber von Maschinen und Anlagen sind bei Störungen darauf angewiesen, dass die Hersteller sofort reagieren. Das ist ohne eine Fernwartungslösung heute nicht mehr effizient realisierbar. Zudem sind weitere Serviceleistungen wie Predictive Maintenance ohne eine Onlineverbindung nicht möglich. Dreh- und Angelpunkt ist dabei die Sicherheit dieser Verbindungen. „Cyberangriffe auf die Fertigung können sehr schnell sehr teuer werden“, weiß Schubert. Als Beispiel führt er die Attacken des Schadprogramms Wannacry auf Windows-Betriebssysteme im Mai 2017 an: „Die Maschinenhersteller waren sich sicher, dass ihre Anlagen gut geschützt sind. Wenn Linien dann nach einem solchen Angriff trotzdem stillstehen, kann das für ein Unternehmen schnell existenzbedrohend werden. Das darf nicht passieren.“

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es Vorgaben, die Anforderungen für industrielle Fernwartung gemäß dem Stand der Technik definieren. Der Verpackungsmaschinenhersteller hat diese Sicherheitsanforderungen als Voraussetzung für die Vernetzung der eigenen Maschinen genommen und auf ein neues Sicherheitskonzept gesetzt. „Wir waren mit den verfügbaren Sicherheitslösungen nicht zufrieden und haben deshalb einen vertrauenswürdigen Securityspezialisten als Partner gesucht“, so Schubert. So entstand das Industrial Gateway „Genua-Schubert-Gate“ (GS.Gate). Dieses ist eine gemeinsame Entwicklung des Münchener IT-Sicherheitsexperten Genua und von Schubert System Elektronik, einem Tochterunternehmen der Schubert-Gruppe, das sich auf die industrielle Computertechnik spezialisiert hat.

Gateway von Genua bietet spezielles Security by Design

Das Besondere an dem Gateway ist dessen Security by Design: Das Gateway bietet in einer industrietauglichen Hardware zwei getrennte Bereiche in Form eines Edge-Computers und eines Sicherheitsgateways. Auf der untersten Ebene des Produkts läuft ein Microkernel-Betriebssystem, das die getrennten Bereiche erzeugt. Die separierten Bereiche verfügen über jeweils eigene Betriebssysteme sowie fest zugewiesene Hardware-Ressourcen. Im Edge-PC können Maschinenhersteller oder -betreiber mittels der Container-Technologie Docker ihre individuelle Anwendung installieren. Die Anwendung ruft Zustands- und Leistungsdaten von der Maschine über gängige Schnittstellen wie LAN, IO-Link, Gbit-Ethernet oder Industrial Ethernet ab und verarbeitet die Daten. Dabei werden aus der gesamten Datenmenge die Informationen herausgefiltert, die für die Auswertungen gebraucht werden. Nur diese Daten müssen zur Auswertung beispielsweise in die Cloud übertragen werden. Für die ausreichende Rechenleistung sorgt ein Intel Xeon E5 Prozessor.

Im Sicherheitsgateway befinden sich eine Firewall sowie die Remote-Access-Komponente für sichere Fernwartungszugriffe. Über die Firewall werden die gewonnenen Informationen sicher verschlüsselt zu den eigenen Servern oder zur Cloud weitergeleitet. Dabei schützt die Firewall den Edge-PC und die Maschine vor Cyberattacken.

Fernwartung der Maschinen sicher über Gateway möglich

Nach außen in Richtung Netzwerk ist nur das speziell gehärtete Sicherheitsgateway sichtbar. Die Sicherheitskomponenten werden durch regelmäßige Updates auf dem aktuellen Stand gehalten und sind somit gegen aktuelle Bedrohungen gewappnet. Hinter diesem Schutzschirm kann der Anwendungsbereich des Edge-PCs ohne ständige Eingriffe durch Updates und Patches betrieben werden. Einmal eingerichtete und funktionierende Prozesse müssen nicht angefasst und geändert werden, heißt es.

Die Fernwartungs-Funktionen wurden ebenfalls über das Sicherheitsgateway realisiert. Dabei ist eine Einwahl von außen nicht möglich. Der Maschinenbediener muss die Verbindung zunächst über einen Hardware-Schalter freischalten. Eine Status-LED zeigt an, ob der Fernwartungsmodus aktiviert ist.

Industrial Gateway kann herstellerunabhängig an Maschinen angebunden werden

Der Verpackungsmaschinenhersteller ist der erste Anwender des Industrial Gateway. Zunächst wurden drei Testmaschinen mit dem GS.Gate ausgerüstet. Das Gateway wurde jeweils per Hutschiene im Schaltschrank montiert. Übertragen wurden je nach Erfordernis in Zeitabständen zwischen 20 ms und einer Minute bis zu 30 Datensätze zum Zustand der Maschine sowie Informationen wie Fehlermeldungen oder die Seriennummern von Komponenten. „Das GS.Gate hat sich im Industriealltag bewährt. Jetzt setzen wir die laufende Zustandsüberwachung in Echtzeit um und das auf einem neuen Sicherheitsniveau“, resümiert Schubert. Künftig werden alle Schubert-Maschinen mit dem Industrial Gateway ausgestattet, das sich herstellerunabhängig an Maschinen anbinden lässt.

17. September 2019