Sicherer Fernzugriff auf die Produktion

Cybersecurity beginnt an der Maschine

In der IT und in Rechenzentren ist Cybersecurity schon lange ein Begriff. Durch die immer stärker vernetzten Maschinen und Anlagen wurde es aber auch in der Industrie zu einem wichtigen Thema. Cybersicherheit betrifft aber nicht mehr nur die Maschinenhersteller selbst, sondern die gesamte Lieferkette und den gesamten Lebenszyklus der Maschine, ihrer Software und ihrer Konfiguration - gerade wenn es um die Nutzung von Produktionsdaten in unternehmensübergreifenden Systemen geht.
 Nerve ist eine gemanagte Edge-Computing-Plattform, die industrielle Anlagen verbindet und Daten-Visualisierung, Software- und Applikations-Management über ein zentrales Managementsystem ermöglicht.
Nerve ist eine gemanagte Edge-Computing-Plattform, die industrielle Anlagen verbindet und Daten-Visualisierung, Software- und Applikations-Management über ein zentrales Managementsystem ermöglicht.Bild: TTTech Industrial Automation AG

Ein großes Thema bei der Digitalisierung der Produktion ist die OT/IT-Konvergenz. Das betont auch Herbert Hufnagl, Vorstandsmitglied von TTTech Industrial: „Daten ermöglichen neue Services und neue Arten der Zusammenarbeit – zum Beispiel zwischen Servicepersonal und Kunden. Das kann die Effizienz und Produktivität erhöhen. Allerdings man muss dabei aber auch stets den Sicherheitsaspekt beachten – denn spätestens, wenn eine Maschine mit einem Netzwerk verbunden oder mit Softwareupdates ausgestattet wird, ist sie ein potenzielles Einfallstor für Cyberattacken“.

Dementsprechend sollte Cybersecurity in Unternehmen ganzheitlich betrachtet werden und keine isolierte Lösung sein. Sicherheitsmaßnahmen müssen das gesamte Unternehmen umfassen und alle Bereiche abdecken – von der Zugangskontrolle auf das Firmengelände bis hin zum Zugriff auf einzelne Maschinen.

Sichere Maschinenvernetzung

Die Grundlage für die Digitalisierung der Produktion ist die Anbindung von Maschinen und Anlagen an ein Netzwerk, damit Daten gesammelt, verarbeitet und für die gewünschten Anwendungen zur Verfügung gestellt werden können. Schon hier ist Cybersecurity eine Herausforderung, denn Produktionsanlagen sind oft über Jahrzehnte ohne Sicherheitsupdates in Betrieb. Da viele Steuerungen nicht den Sicherheitslevel eines modernen Industrie-PCs haben und Maschinen unterschiedlicher Anbieter genutzt werden, lässt sich ein einheitliches Sicherheitskonzept oft schwer umsetzen.

Je nachdem, was die Steuerung unterstützt, nutzen die Bediener viele unterschiedliche Arten von netzwerk-basierten Zugriffen auf Maschinen, zum Beispiel über Command-Line-Shell Interfaces, eine auf Webservices basierende REST API, OPC UA Server, oder grafische Benutzeroberflächen (GUI) über HTML5, aber auch VNC (Virtual Network Computing), TeamViewer, RDP (Remote Desktop Protocol) oder Xserver. Oft werden all diese Methoden über Firewall und VPN auch für Fernzugriff freigeschaltet – für die eigenen Mitarbeiter, aber auch für Servicepersonal von Lieferanten oder Kunden. In einem Digitalisierungsprojekt ist die Anbindung der Maschinen ans Netz daher ein wichtiger Schritt, der Sicherheitsaspekte wie Zugriffsregelung, aber auch die Bedienbarkeit der Lösung berücksichtigen sollte.

Darauf kommt es beim sicheren Fernzugriff an

Ein Maschinenzugriff lässt sich am einfachsten durch die direkte Verbindung der einzelnen Maschinen ans Netzwerk herstellen. Das ist jedoch aufgrund der Vielzahl an Protokollen und Anbindungsoptionen oft eine riskante Alternative. Um diese Herausforderung zu meistern, können Unternehmen entweder rollenbasierte Zugriffskontrollkonzepte implementieren oder einen zentralisierten Fernzugriff über eine Edge-Computing-Plattform nutzen. Rollenbasierte Zugriffskontrollen sind in Cybersecurity-Standards eine der zentralen Maßnahmen zur sicheren systematischen Verwaltung von Zugriffsrechten. Der Nutzen ist umso höher, je mehr verschiedene Personen unterschiedliche Arten von sensitiven Daten in unterschiedlichen Anwendungen nutzen sollen. Zugriffrechte werden dabei nur für die Anwendungen vergeben, die für die Rollen und Aufgaben der Person relevant sind. Zugriffe lassen sich so flexibel und übersichtlich verwalten und loggen, so dass unerlaubte Zugriffsversuche verhindert und erkannt werden können.

IIoT-Plattformen bieten derartige rollenbasierte Zugriffsmöglichkeiten und haben zudem einen weiteren Vorteil – Nutzerinnen und Nutzer greifen nicht direkt auf die Anlagen zu, sondern loggen sich meist über ein zentrales Management-System ein. Von dort aus können sie die Anlagen steuern und überwachen, aber auch Softwareupdates ausrollen. Eine Plattformlösung bietet somit eine effektive Methode, um Legacy-Applikationen sicher in das Netzwerk zu integrieren, sei es durch Virtualisierung (mit virtuellen Maschinen, VM) oder Containerisierung (Docker).

IIoT-Plattformlösung für sicheren Fernzugriff

Cybersecurity hat für TTTech Industrial schon seit langem eine hohe Priorität. Nachdem das Unternehmen letztes Jahr nach der internationalen Cybersecurity-Norm IEC62443-4-1 zertifiziert wurde, ist es nun auf dem Weg zur Cybersecurity-Zertifizierung seiner IIoT-Plattform Nerve. Nerve ist eine skalierbare Edge-Computing-Plattform, die in der Cloud verwaltet wird und modular aufgebaut ist, wodurch sie flexibel einsetzbar ist.

Hufnagl dazu: „Jedes Unternehmen hat unterschiedliche Ziele und individuelle Anlagen. Ebenso variiert der Grad der Digitalisierung. Nerve erleichtert Unternehmen einen sicheren Fernzugriff sowie eine zentrale Verwaltung von Maschinen verschiedener Hersteller mit unterschiedlichen Sicherheitsanforderungen, ohne dafür den gesamten Maschinenpark umrüsten zu müssen. Das offene und herstellerunabhängige System unterstützt die Anbindung von Komponenten unterschiedlicher Hersteller, so dass auf der Benutzeroberfläche – ob lokal oder im Fernzugriff – eine einheitliche und damit übersichtliche Zugriffsmethodik zur Verfügung gestellt werden kann. Das erleichtert aber nicht nur die Bedienung, sondern auch die Umsetzung von Sicherheitskonzepten.“

Mit Nerve können Benutzer über ein zentrales Managementsystem, das je nach Bedarf in einer Public Cloud oder im hauseigenen Rechenzentrum betrieben werden kann, auf Daten zugreifen, Geräte und Maschinen verwalten sowie Anwendungen aus der Ferne bereitstellen. Integrierte Cybersecurity-Features, jährliche Audits gemäß IEC62443 durch den TÜV und regelmäßige Penetrationstests durch externe Sicherheitsspezialisten sorgen dafür, dass Nerve eine sichere Basis für IIoT-Projekte bietet:

  • Abgesicherte Remote-Verbindung zu Maschinen im Feld
  • Datenzugriff auf Geräte mit unterschiedlichen Protokollen und Verbindungen; nahtlose Integration von Legacy-Software durch Virtualisierung (virtuelle Maschinen) und Containertechnologie (Docker)
  • Rollenbasierte Zugriffssteuerung (RBAC)
  • Verschlüsselung der Maschinendaten mit Transport Layer Security (TLS) 1.2
  • Zentrale Update-Mechanismen, z.B. für Sicherheitspatches und Software-Updates
  • Hosting auf Microsoft Azure in Deutschland und dadurch Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) oder im firmeneigenen Rechenzentrum
  • Option des Offline-Betriebs für kritische Anwendungen, deren Daten das Firmengelände nicht verlassen dürfen

Digitalisierung sicher vorantreiben

Ein ganzheitliches Konzept für industrielle Cybersecurity erfordert beträchtliche Zeit und Ressourcen. TTTech Industrial kann Kunden aktiv dabei unterstützen, ihre Produktion sicher zu vernetzen erklärt Hugnagl: „Wir setzen uns dafür ein, eine aktive Rolle bei den Bemühungen unserer Kunden zur Steigerung der Cybersecurity in ihren Fertigungsprozessen zu übernehmen. Durch Nerve erleichtern wir Unternehmen die Implementierung von einem sicheren Fernzugriff sowie die systematische Einführung und Überwachung von Cybersecurity-relevanten Maßnahmen in IIoT-Projekten. Mit unserem Partnernetzwerk können wir bereits ab der Konzeptentwicklung den Weg zur sicheren Digitalisierung unterstützen.“

Das könnte Sie auch Interessieren

Weitere Beiträge

Sicher auf der x-Achse

Mit steigendem Automatisierungsgrad in Produktion und Logistik wächst die Zahl der Anwendungen, in denen eine sichere Absolutposition benötigt wird. Die dafür vorgeschriebene Redundanz mündet oft in hochkomplexer Technik, deren Integration und Betrieb großen Aufwand erfordern. Die Sensoren SafePXV und WCS von Pepperl+Fuchs bieten hier in der Kombination mit der neuen Auswerteeinheit PUS einfachere Lösungen. Mit diesen Geräten lassen sich SIL3 und PLe mit geringem Integrationsaufwand erreichen.

mehr lesen
Bild: Pilz GmbH & Co. KG
Bild: Pilz GmbH & Co. KG
Effiziente Feldkommunikation mit IO-Link Safety

Effiziente Feldkommunikation mit IO-Link Safety

Auf dem Weg zu einer intelligenten und flexiblen Produktion spielt die industrielle Kommunikation eine zentrale Rolle. So muss etwa eine sichere Datenübertragung bis zu jedem Sensor gegeben sein. Mit IO-Link Safety lassen sich nicht nur die Installation und die Inbetriebnahme beschleunigen, sondern auch die Anlagenverfügbarkeit erhöhen. Erste Lösungen sind jetzt auf dem Markt verfügbar.

mehr lesen
Bild: WIBU-Systems AG
Bild: WIBU-Systems AG
Wibu-Systems und Flecs Technologies bringen Schwung in die Zukunft industrieller Apps

Wibu-Systems und Flecs Technologies bringen Schwung in die Zukunft industrieller Apps

Eine Frage, die sich Entscheider in den Unternehmen täglich stellen, ist: Make Or Buy? Das trifft sowohl auf Softwareschutz und Lizenzierung als auch auf die Umsetzung eines App-Stores oder Marktplatzes zu. DieFirmen Wibu-Systems und Flecs sind eine Partnerschaft eingegangen, um die Entscheidung für KMUs einfacher zu machen. Das Ergebnis: Eine Kombination aus Marktplatz-Technologie sowie Softwareschutz- und Lizenzierungssystem.

mehr lesen