Smarter Weg ins IoT

Herr Lehbrink, was war Ihre Motivation für die Gründung von QBee?

Carsten Lehbrink: Grundsätzlich wollten wir ein einfach zu implementierendes und smartes Device-Management für IoT-Projekte schaffen. Bei solchen Projekten in der Industrie, wenn es z.B. um die Datenerfassung an Industriemaschinen für Analytics- oder Predictive-Maintenance-Anwendungen geht, gibt es auf Anwenderseite meist ausreichend Kompetenz auf Hardware-Seite und auch auf Seite der Applikations-Software. Woran es aber oft fehlt, ist eine übergeordnete Administration der eingesetzten Devices. Und genau hier setzen wir mit unserer Softwarelösung an.

Um was für Devices geht es dabei?

Lehbrink: Das Spektrum der Geräte reicht vom Raspberry Pi, über universelle IoT-Gateways bis hin zu Linux-basierten Maschinen-Controllern. All diesen Devices gemein ist, dass sie in der Regel durchaus leistungsfähig sind. Wenn man so will, hat es der Anwender quasi mit einer Vielzahl an Servern zu tun. Sie werden bei vielen industriellen Anwendungsfällen in Netzwerkumgebungen eingesetzt, die alles andere als zuverlässig und sicher administriert sind – weder hinsichtlich einer Firewall, flächendeckender Updates oder einem modernen User Management. QBee kann in all diesen Punkten Abhilfe schaffen.

Was heißt das konkret?

Lehbrink: Wir wollen den Usern ein breites Tool an die Hand geben, das möglichst alle Bedürfnisse abdeckt, die mit dem Betrieb dieser Geräte zu tun haben. Das beginnt damit, das QBee automatisiert Verwundbarkeiten bzw. Exploits im Betriebssystem der Edge-Devices aufdecken und entsprechende Bibliotheken patchen kann. Es ist also nicht nötig, von Hand regelmäßig ein komplett neues Image aufzuspielen. Die Softwarelösung erlaubt es ebenfalls, neue Programmkonfigurationen aufzuspielen, z.B. für Modbus, selbst wenn die einzelnen Geräte innerhalb der Device-Flotte ganz unterschiedliche Funktionen übernehmen. Darüber hinaus kann QBee metrische Daten aus allen Geräten erheben – z.B. CPU-Belastung oder Speicherreserven.

Greift die Software auch in das jeweilige Steuerungsprogramm ein?

Lehbrink: Nein, mit den Applikationsdaten selbst hat die Software nichts zu tun. Es gibt eine konkrete Schnittstelle nach unten hin, über die QBee das Betriebssystem konfiguriert, absichert und updatet. Nach oben hin helfen wir dem User die Applikation aufzusetzen und zu konfigurieren – und das bereits während deren Entwicklung. Weiterhin ist es wie gesagt möglich, die Devices in verschiedene Gruppen aufzuteilen, ihnen unterschiedliche Aufgaben und Konfigurationen zuzuweisen oder auch einzelne für Entwicklungs- bzw. Testzwecke vom Rest der Devices zu separieren.

Wo sitzt denn die QBee-Software selbst? Handelt es sich um eine zentrale oder dezentrale Lösung?

Lehbrink: Sowohl als auch. Prinzipiell wird QBee zentral aus der Cloud orchestriert. Auf jedem Device ist aber ein sogenannter Agent installiert, der auf drei Aufgaben erfüllt ist: das Konfigurationsmanagement, die Analyse der Datenpakete sowie die Erfassung der metrischen Daten. Daneben kommt auf den Geräten ein dynamisches VPN, das vom Agent verwaltet, aktiviert oder auch abgeschaltet wird, sowie ein Watchdog, der die beiden anderen Komponenten überwacht. Dieses Softwarepaket läuft komplett im Speicher und ist sehr klein gehalten, damit es möglichst wenig Ressourcen verbraucht.

Und von dort wird direkt in Richtung Cloud kommuniziert?

Lehbrink: Richtig. Die zentrale QBee-Instanz läuft in der AWS-Cloud. Dort wird hinterlegt, wie oft sich der Agent mit dem System verbindet, um metrische Daten zu senden oder zu prüfen, ob eine neue Konfiguration vorhanden ist. In der Standardeinstellung passiert das alle fünf Minuten – längere Intervalle von mehreren Stunden sind aber auch kein Problem. Ist eine neue Konfiguration hinterlegt, konvergiert der Agent automatisch zu dieser. Selbst wenn Devices für sehr lange Zeit offline waren, updaten sie sich auf diesem Weg automatisch. Umgekehrt lassen sich über den regelmäßigen Abgleich auch Veränderungen an den einzelnen Edge Devices aufdecken. Es können auch vom System Files und Skripte auf die Geräte ausgespielt und ausgeführt werden. Der zentrale Filemanager in der Cloud bleibt immer die Single Source of Truth.

Ab welchem Zeitpunkt in einem IoT-Projekt sollte der Anwender die Softwarelösung einsetzen?

Lehbrink: Man kann jederzeit in QBee einsteigen. Den größten Mehrwert bietet unser Device Management den Usern allerdings, wenn sie von Beginn eines Projekts damit arbeiten. Denn über QBee können alle beteiligten Seiten bereits während der Entwicklung auf das jeweilige Device zugreifen – komplett unabhängig vom Standort und der jeweiligen Aufgabe – während das Gerät sicher hinter einer Firewall geschützt ist. Auf diese Weise lassen sich Projekte erheblich beschleunigen.

Können Sie ein Beispiel nennen?

Lehbrink: Wir sind Partner eines Anbieters von Kommunikationskomponenten, der seine Produkte oft in großen Stückzahlen in weit verteilte Applikationen verkauft – nicht nur in Fabrikumgebungen, sonder auch im Energie- oder Infrastrukturbereich. Der Verkaufszyklus – vom ersten Demogerät bis zum Serienlauf – ist für ihn normalerweise recht lang. Mit Hilfe unserer Device-Management-Lösung wird die Entwicklungs- und Implementierungszeit hingegen erheblich verkürzt. Das Device kann von Beginn an an der echten Position verbaut und dort aus der Ferne konfiguriert, angepasst sowie in Betrieb genommen werden. Auch das spätere Skalieren von Einzelgeräten auf ganze Flotten erfolgt schnell und unproblematisch.

Gibt es spezielle Voraussetzungen, die die Edge Devices für dieses Vorgehen mitbringen müssen?

Lehbrink: So gut wie keine. Die dezentrale Software-Instanz unserer Lösung läuft auf jedem Linux-System – Versions- und Hardware-unabhängig. Man kann Geräte dadurch unkompliziert wechseln und auch das Ersatzteil-Management vereinfacht sich deutlich. Es reicht, bei den Devices, die auf Lager liegen, unsere Software zu installieren – die konkrete Funktion wird dann erst nach dem Einbau aus der Cloud zugewiesen. Zudem ist QBee selbst ebenfalls flexibel austauschbar und lässt sich remote vollständig deaktivieren. Der Anwender kann auf diesem Weg sogar jederzeit andere Lösungen aufspielen und nutzen. Er muss sich also zu keinem Zeitpunkt auf QBee festlegen.

Lassen Sie uns nochmal auf das Thema VPN kommen. Diese Art der Anbindung nach oben hin ist nicht überall gern gesehen.

Lehbrink: Richtig. Gerade im Produktionseinsatz gibt es zu VPN sehr unterschiedliche Meinungen. Es kommt immer auf die jeweilige Netzwerkinfrastruktur und den benötigten Sicherheitsgrad an. Unser Ansatz eines dynamischen VPNs kann sich den spezifischen Anforderungen jedoch flexibel anpassen. Es ist z.B. möglich, VPN während der Applikationsentwicklung und der Inbetriebnahme zu nutzen, und für den anschließenden Produktionsbetrieb wieder abzuschalten. Sollte später ein Debugging des Devices erforderlich sein, lässt sich das VPN aus der Ferne wieder aktivieren. Dabei wird mit einem Audit Trail stets dokumentiert, wer wann auf welche Geräte zugegriffen hat – und auch wann welche Konfigurationen aufgespielt wurden. Durch die dynamische VPN-Funktion erlaubt QBee also auch ganz einfache Remote Connection.

Welche Branchen adressieren Sie mit Ihrem Device Management?

Lehbrink: Prinzipiell sprechen wir mit QBee ein breites Spektrum an Branchen an – von der Industrie über Gebäude-, Infrastruktur- und Energietechnik bis hin zu klassischen Servern im IT-Bereich. Die Produktions- und Fertigungsumgebung ist für uns aber einer der Hauptzielmärkte. Hier findet sich meist eine Vielzahl von Devices, die aber meist nicht identisch konfiguriert sind. Ganz im Gegenteil: Normalerweise sind viele kleine Unterschiede bei den Features und Konfigurationen an der Tagesordnung. Mit den Eigenschaften von QBee können wir auf jedes einzelne Gerät spezifisch eingehen.

Und wer ist die konkrete Zielgruppe in der Fabrik?

Lehbrink: Wir sehen drei Gruppen in der Industrie, denen QBee große Vorteile bietet: Maschinenbauer, Endanwender sowie Integratoren und Service-Dienstleister. Der Maschinenbauer schätzt die hohe Flexibilität unseres Device Managements, weil er seine Maschinen an viele verschiedene Kunden ausliefert – geografisch zudem meist weit verteilt. Der Endanwender behält durch QBee stets den Überblick sowie die Kontrolle über die vielen Devices in der eigenen Fertigung. Und last but not least zahlt sich die Funktionalität von QBee genauso für Integratoren und entsprechend beauftragte Service-Dienstleister aus. Das Beste ist aber, dass alle drei Parteien mit unserer Lösung wunderbar zusammenarbeiten können. Über User Management und Zugriffsrechte können alle Seiten exakt nach den jeweiligen Aufgaben bzw. Bedürfnissen eingebunden werden.