Ein großes Thema bei der Digitalisierung der Produktion ist die OT/IT-Konvergenz. Das betont auch Herbert Hufnagl, Vorstandsmitglied von TTTech Industrial: „Daten ermöglichen neue Services und neue Arten der Zusammenarbeit – zum Beispiel zwischen Servicepersonal und Kunden. Das kann die Effizienz und Produktivität erhöhen. Allerdings man muss dabei aber auch stets den Sicherheitsaspekt beachten – denn spätestens, wenn eine Maschine mit einem Netzwerk verbunden oder mit Softwareupdates ausgestattet wird, ist sie ein potenzielles Einfallstor für Cyberattacken“.
Dementsprechend sollte Cybersecurity in Unternehmen ganzheitlich betrachtet werden und keine isolierte Lösung sein. Sicherheitsmaßnahmen müssen das gesamte Unternehmen umfassen und alle Bereiche abdecken – von der Zugangskontrolle auf das Firmengelände bis hin zum Zugriff auf einzelne Maschinen.
Sichere Maschinenvernetzung
Die Grundlage für die Digitalisierung der Produktion ist die Anbindung von Maschinen und Anlagen an ein Netzwerk, damit Daten gesammelt, verarbeitet und für die gewünschten Anwendungen zur Verfügung gestellt werden können. Schon hier ist Cybersecurity eine Herausforderung, denn Produktionsanlagen sind oft über Jahrzehnte ohne Sicherheitsupdates in Betrieb. Da viele Steuerungen nicht den Sicherheitslevel eines modernen Industrie-PCs haben und Maschinen unterschiedlicher Anbieter genutzt werden, lässt sich ein einheitliches Sicherheitskonzept oft schwer umsetzen.
Je nachdem, was die Steuerung unterstützt, nutzen die Bediener viele unterschiedliche Arten von netzwerk-basierten Zugriffen auf Maschinen, zum Beispiel über Command-Line-Shell Interfaces, eine auf Webservices basierende REST API, OPC UA Server, oder grafische Benutzeroberflächen (GUI) über HTML5, aber auch VNC (Virtual Network Computing), TeamViewer, RDP (Remote Desktop Protocol) oder Xserver. Oft werden all diese Methoden über Firewall und VPN auch für Fernzugriff freigeschaltet – für die eigenen Mitarbeiter, aber auch für Servicepersonal von Lieferanten oder Kunden. In einem Digitalisierungsprojekt ist die Anbindung der Maschinen ans Netz daher ein wichtiger Schritt, der Sicherheitsaspekte wie Zugriffsregelung, aber auch die Bedienbarkeit der Lösung berücksichtigen sollte.
Darauf kommt es beim sicheren Fernzugriff an
Ein Maschinenzugriff lässt sich am einfachsten durch die direkte Verbindung der einzelnen Maschinen ans Netzwerk herstellen. Das ist jedoch aufgrund der Vielzahl an Protokollen und Anbindungsoptionen oft eine riskante Alternative. Um diese Herausforderung zu meistern, können Unternehmen entweder rollenbasierte Zugriffskontrollkonzepte implementieren oder einen zentralisierten Fernzugriff über eine Edge-Computing-Plattform nutzen. Rollenbasierte Zugriffskontrollen sind in Cybersecurity-Standards eine der zentralen Maßnahmen zur sicheren systematischen Verwaltung von Zugriffsrechten. Der Nutzen ist umso höher, je mehr verschiedene Personen unterschiedliche Arten von sensitiven Daten in unterschiedlichen Anwendungen nutzen sollen. Zugriffrechte werden dabei nur für die Anwendungen vergeben, die für die Rollen und Aufgaben der Person relevant sind. Zugriffe lassen sich so flexibel und übersichtlich verwalten und loggen, so dass unerlaubte Zugriffsversuche verhindert und erkannt werden können.
IIoT-Plattformen bieten derartige rollenbasierte Zugriffsmöglichkeiten und haben zudem einen weiteren Vorteil – Nutzerinnen und Nutzer greifen nicht direkt auf die Anlagen zu, sondern loggen sich meist über ein zentrales Management-System ein. Von dort aus können sie die Anlagen steuern und überwachen, aber auch Softwareupdates ausrollen. Eine Plattformlösung bietet somit eine effektive Methode, um Legacy-Applikationen sicher in das Netzwerk zu integrieren, sei es durch Virtualisierung (mit virtuellen Maschinen, VM) oder Containerisierung (Docker).
IIoT-Plattformlösung für sicheren Fernzugriff
Cybersecurity hat für TTTech Industrial schon seit langem eine hohe Priorität. Nachdem das Unternehmen letztes Jahr nach der internationalen Cybersecurity-Norm IEC62443-4-1 zertifiziert wurde, ist es nun auf dem Weg zur Cybersecurity-Zertifizierung seiner IIoT-Plattform Nerve. Nerve ist eine skalierbare Edge-Computing-Plattform, die in der Cloud verwaltet wird und modular aufgebaut ist, wodurch sie flexibel einsetzbar ist.
Hufnagl dazu: „Jedes Unternehmen hat unterschiedliche Ziele und individuelle Anlagen. Ebenso variiert der Grad der Digitalisierung. Nerve erleichtert Unternehmen einen sicheren Fernzugriff sowie eine zentrale Verwaltung von Maschinen verschiedener Hersteller mit unterschiedlichen Sicherheitsanforderungen, ohne dafür den gesamten Maschinenpark umrüsten zu müssen. Das offene und herstellerunabhängige System unterstützt die Anbindung von Komponenten unterschiedlicher Hersteller, so dass auf der Benutzeroberfläche – ob lokal oder im Fernzugriff – eine einheitliche und damit übersichtliche Zugriffsmethodik zur Verfügung gestellt werden kann. Das erleichtert aber nicht nur die Bedienung, sondern auch die Umsetzung von Sicherheitskonzepten.“
Mit Nerve können Benutzer über ein zentrales Managementsystem, das je nach Bedarf in einer Public Cloud oder im hauseigenen Rechenzentrum betrieben werden kann, auf Daten zugreifen, Geräte und Maschinen verwalten sowie Anwendungen aus der Ferne bereitstellen. Integrierte Cybersecurity-Features, jährliche Audits gemäß IEC62443 durch den TÜV und regelmäßige Penetrationstests durch externe Sicherheitsspezialisten sorgen dafür, dass Nerve eine sichere Basis für IIoT-Projekte bietet:
- Abgesicherte Remote-Verbindung zu Maschinen im Feld
- Datenzugriff auf Geräte mit unterschiedlichen Protokollen und Verbindungen; nahtlose Integration von Legacy-Software durch Virtualisierung (virtuelle Maschinen) und Containertechnologie (Docker)
- Rollenbasierte Zugriffssteuerung (RBAC)
- Verschlüsselung der Maschinendaten mit Transport Layer Security (TLS) 1.2
- Zentrale Update-Mechanismen, z.B. für Sicherheitspatches und Software-Updates
- Hosting auf Microsoft Azure in Deutschland und dadurch Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) oder im firmeneigenen Rechenzentrum
- Option des Offline-Betriebs für kritische Anwendungen, deren Daten das Firmengelände nicht verlassen dürfen
Digitalisierung sicher vorantreiben
Ein ganzheitliches Konzept für industrielle Cybersecurity erfordert beträchtliche Zeit und Ressourcen. TTTech Industrial kann Kunden aktiv dabei unterstützen, ihre Produktion sicher zu vernetzen erklärt Hufnagl: „Wir setzen uns dafür ein, eine aktive Rolle bei den Bemühungen unserer Kunden zur Steigerung der Cybersecurity in ihren Fertigungsprozessen zu übernehmen. Durch Nerve erleichtern wir Unternehmen die Implementierung von einem sicheren Fernzugriff sowie die systematische Einführung und Überwachung von Cybersecurity-relevanten Maßnahmen in IIoT-Projekten. Mit unserem Partnernetzwerk können wir bereits ab der Konzeptentwicklung den Weg zur sicheren Digitalisierung unterstützen.“