Netzwerksicherheit und vor allem die Absicherung von sensiblen Daten in Produktionsumgebungen gegenüber möglichen Cyberangriffen zählen heute zu zunehmend wichtigeren Aufgaben für Industrieunternehmen. Bei der Esslinger Unternehmensgruppe Festo bestand eine zusätzliche Herausforderung in der Werksinstandhaltung darin, dass sich unterschiedliche Netzwerkkomponenten und Anlagenrouter, die nicht „patchbar“ sind, als eine unsichere Black Box für das Unternehmen darstellen. Damit Maschinen und Fertigungsanlagen inklusive deren Applikationen sicher miteinander kommunizieren können und auch der Internet- und Intranet-Zugriff zum Beispiel auf die speicherprogrammierbare Steuerung (SPS) der Maschinen gewährleistet werden kann, hat der Automatisierungstechnikhersteller mit Industrial Remote Access eine eigene sichere Lösung realisiert.
„Vor Projektstart waren Office- und Produktionsnetze voneinander getrennt, sodass der Zugang aus der Produktionsumgebung ins Office-Netzwerk nicht ohne weiteres möglich war. Mit dem Aufbau der neuen Technologiefabrik wurde zudem die Segmentierung der Produktionsnetze angegangen“, erklärt Matthias Hieber, Projektleiter der Festo-Instandhaltung und Verantwortlicher für die Anlagenanbindung. „Im Rahmen eines Sicherheitsaudits der bisher eingesetzten Fernwartungslösungen stellte sich zudem heraus, dass die Trennung beider Netzwerke den hohen Sicherheitsanforderungen alleine nicht gerecht wurde.“ Daher plante das Projekt-Team zeitgleich eine weitere Feinsegmentierung, um auch einzelne Fertigungsanlagen oder Legacy-Komponenten komplett abzuschotten.
Früheres Verfahren war unsicher und erforderte Einloggen beim Hersteller
„Bis zur Einführung der neuen Sicherheitsplattform konnten sich die Maschinen eigenständig mit dem Internet verbinden. Hersteller rüsteten ihre Anlagen mit Mobilfunk-Modems aus, über die sie zum Beispiel anhand von Grenzwerten Alarmmeldungen per SMS oder E-Mail versandten. Aber auch für jede Anpassung wählten sich die Maschinenhersteller direkt in das Festo-Netzwerk ein. Unsere Instandhalter konnten nicht remote auf interne Anlagenkomponenten zugreifen und mussten sich teilweise für SPS-Programmänderungen und Statusabfragen zunächst beim Hersteller einloggen. Von dort ging die Verbindung zurück auf die jeweilige Maschine im Werk“, beschreibt Hieber. Dieses Verfahren war sehr unsicher und veranlasste das Projekt-Team dazu, Hersteller zur Neuordnung der IP-Adressen ihrer Maschinen gemäß der Unternehmensvorgaben von Festo aufzufordern. Diese Lösung war aber in den meisten Fällen nicht umsetzbar. Außerdem konnte das Ändern von IP-Adressen zum Gewährleistungsverlust der Anlagen führen.
Beseitigung von IP-Adresskonflikten
Durch den Einsatz der Managementplattform Sinema Remote Connect von Siemens konnte der Anbieter die IP-Adresskonflikte beseitigen, da sämtliche Anlagenzugriffe über die Plattform nun mit einer zentralen IP-Adresse für den Zugang von außen geregelt werden. Die neue Server-Applikation nimmt sämtliche Tunnelverbindungen (VPN) an und vermittelt so zwischen den Client-PCs der externen Servicetechniker und den Maschinen. Die Kommunikation ist protokollunabhängig, herstellerneutral und IP-basiert.
Mit Sinema RC Client ist zudem eine Adressbuchfunktion verfügbar, über die sich Maschinen und Anlagen in der Technologiefabrik von Festo eindeutig identifizieren und für den gesicherten Wartungszugriff auswählen lassen. Die Maschinen werden vom Anlagenbauer mit unveränderten IP-Adressen installiert und über die Security Appliance Scalance S615 mit dem Netzwerk verbunden. Die Router übernehmen zudem die Übersetzung der IP-Adressen, damit sich interne und externe Netzwerke über eine Firewall miteinander verbinden lassen. So sind die Maschinen in der Fertigung nicht direkt von außen erreichbar.
Netzwerksicherheit in Technologiefabrik durch verschlüsselte Verbindungen
Im Scharnhausener Werk wurde zunächst eine Produktionslinie zur Ventilfertigung mit der Plattform-Lösung ausgestattet. Die einzelnen Stationen sind mit den Ports der Scalance-S-Security-Appliance verbunden, die über einen verschlüsselten VPN-Tunnel mit der Siemens-Plattform kommunziert. Im Servicefall kann der VPN-Tunnel über einen Schlüsselschalter aktiviert werden oder der Remote User wird auf der Managementplattform temporär aktiviert. Ähnlich einem USB-Stick – aber ohne die Gefahr, Viren einzuschleusen – speichert ein Key-Plug sämtliche Konfigurationsdaten der Appliances. Durch die Kombination der Maschinensteuerungen Simatic S7-1500 und der HMI-Panels aus dem Simatic-Portfolio mit dem Engineering-Framework TIA-Portal werden bei Festo nach extern nur Bildschirm- und Tastaturdaten eines hauseigenen Instandhalters übertragen. Denn der Zugriff auf die Anlagenzelle erfolgt für externe User nur über einen virtuellen Jump Host-Rechner. Diese Session wird zur Revisionssicherheit auf Video aufgezeichnet und die Projekte werden auf einem Backup-Server zentral beim Esslinger Unternehmen gesichert. Ein externes Notebook ist durch dieses zweistufige Fernwartungskonzept vom Unternehmensnetzwerk entkoppelt.
Mit dem Ergebnis ist Lucia Tandjung, Projektleiterin der Festo Global-IT, zufrieden: „Die neue Managementplattform hat unsere Erwartungen erfüllt. Wir haben so eine verlässliche Grundlage für den weiteren Ausbau der Produktionsnetzwerke geschaffen. Bei anderen Alternativen hätten wir die Applikationen selbst entwickeln müssen. Zudem ist die Bediensoftware benutzerfreundlich konzipiert, sodass auch wenig erfahrene Anwender sie mühelos parametrieren können.“
Die Managementplattform war zunächst nur für das Werk in Scharnhausen geplant. Nun prüft die IT-Leitung, ob sich das Konzept auch für andere Standorte übernehmen lässt. „Was die neue Lösung für die Werksinstandhaltung interessant macht, ist der geringe Zeitaufwand für die Anbindung einer neuen Anlage, der sich von zwei Wochen auf einen halben Tag verkürzt hat“, freut sich Hieber.
Zum Anwender:
Festo ist ein Global Player im Bereich der pneumatischen und elektrischen Automatisierungstechnik. Das Unternehmen mit Sitz in Esslingen am Neckar liefert etwa 33 000 Katalogprodukte und einbaufertige Automatisierungssysteme an seine Kunden weltweit. Jährlich werden etwa 15 000 maßgeschneiderte Lösungen entwickelt und produziert. Neben der Automatisierungstechnik steht die Digitalisierung im Mittelpunkt des Unternehmens.
