Security-Konzept für Fernwartungslösung
Gestaffelte Verteidigung
Der Zugang zu Maschinen und Anlagen über das Internet bringt viele Vorteile, birgt jedoch auch neue Risiken. Deshalb schützt ein Kommunikationsexperte seine Fernwartungslösungen mit einem gestaffelten Security-Konzept.
Der Fernzugriff auf Maschinen ist aus der Automatisierung nicht mehr wegzudenken. Anlagenbetreiber erwarten selbstverständlich von Maschinenbauern, dass sie sich bei Störungen auf die Maschine schalten, um Soforthilfe zu leisten. Heutzutage kann der Fernzugriff noch für weit mehr genutzt werden: die vorausschauende Wartung, die Optimierung von Prozessabläufen oder die standortübergreifende Zusammenarbeit von Produktionszentren. Hierfür bietet HMS mit der Ewon-Produktfamilie eine skalierbare Lösung für den sicheren Fernzugriff. Diese Lösung ist plattformunabhängig.
Das heißt konkret: die Ewon-Lösung integriert Steuerungen aller bekannten Hersteller in ein Gesamtkonzept. Für den Maschinenbauer hat dies den Vorteil, dass er ein einheitliches System für den Fernzugriff auf seine Maschinen und Anlagen hat, unabhängig davon, welche Steuerung in der jeweiligen Maschine verbaut wurde und in welchem Land sich die Maschine befindet. Die Lösung besteht aus drei Komponenten: der Hardware, dem Rendezvous-Server Talk2M und der Software.
Verbund von 26 Servern garantiert die Verfügbarkeit
Talk2M ist als cloudbasierter Rendezvous-Server – auch Broker genannt – Dreh- und Angelpunkt der Ewon-Lösung, der eine Verfügbarkeit von 99,6% garantiert. Der Server verwaltet die VPN-Verbindungen und ermöglicht den einfachen Verbindungsaufbau zwischen dem PC im Kontrollraum und der Maschine in der entfernten Anlage.
Der Talk2M-Dienst ist weltweit verfügbar und besteht aus einem vernetzten, verteilten Verbund von derzeit 26 Servern, die die VPN-Verbindungen verwalten und gegen unberechtigte Zugriffe schützen. Durch den vernetzten Serververbund unterstützt Talk2M Redundanz und Lastmanagement sowie weltweite, garantierte Verfügbarkeit. Jeder Ewon-VPN-Router, der mit einer Maschine verbunden ist, verbindet sich ausschließlich mit dem Talk2M-Server. Ein Authentifizierungsmechanismus stellt sicher, dass jeder Ewon-Router mit dem Talk2M-Server spricht, der denselben Schlüssel hat.
Ein ähnlicher Mechanismus garantiert, dass jeder Anwender nur mit den spezifischen Routern kommunizieren kann, für die ihm sein Administrator Zugriffsrechte eingeräumt hat.
Security ist das A&O
Der Zugang zu den Maschinen und Anlagen über das Internet birgt jedoch auch Risiken. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der unberechtigte Zugriff über Fernwartungslösungen die vierthäufigste Ursache für Cyberkriminalität. Bei Talk2M wurde deshalb besonders hoher Wert auf die Security gelegt. Die Ewon-Technologie wendet die Guidelines für Cyber Security in industriellen Anwendungen gemäß ISA62443 und NIST SP800 nach dem „Defence in Depth“-Prinzip für die gestaffelte Verteidigung konsequent an.
Das Prinzip lässt sich gut anhand einer mittelalterlichen Festung und deren Verteidigungsstrategie erklären. Angefangen vom freien Schussfeld über Wachtürme, Burggräben, Zugbrücken, Mauern und schweren Eisentoren wurden schon hier viele passive Sicherheitsmechanismen angewendet, die schlussendlich von aktiven Mechanismen mit Soldaten, Gewehren und Kanonen ergänzt werden.
Ganz ähnlich arbeitet das „Defence in Depth Prinzip“ bei dem potentielle Angreifer viele abgestufte Schutzeinrichtungen überwinden müssen, bevor sie an die geschützten Daten gelangen können. Zu den wesentlichen Security-Merkmalen der eWON Technologie gehören:
• Der gesamte Datenverkehr wird zertifikatsbasiert und verschlüsselt über VPN-Verbindungen nach dem in der Industrie bewährten und akzeptierten openVPN-Standard übertragen.
• Es sind nur ausgehende Verbindungen erlaubt. Daher müssen keine Firewall-Ports für eingehende Daten im Internet zugänglich gemacht werden.
• Es werden keine statischen IP-Adressen verwendet.
• Der Zugriff erfolgt über eine 2-stufige Authentifizierung (optional) und eine abgestufte Benutzerverwaltung.
Um ein hohes Maß an Sicherheit zu erreichen, genügt es jedoch nicht, dass der Hersteller seine Lösung nach dem neusten Stand der Sicherheitstechnik anbietet. Die „eingebaute“ Sicherheit ist ein wichtiger Faktor, kann jedoch nur dann wirklich nutzen, wenn auch Anwender und Anlagenbetreiber die Sicherheit immer im Fokus haben.
Konkret: Was nützt eine abgestufte Benutzerverwaltung mit Usernamen und Passwörtern, wenn die Standardpasswörter nicht individuell angepasst werden oder als Aufkleber auf die Geräte geschrieben werden.
Ticket für die Zukunft
Mit dem Ewon-System bietet HMS eine Komplettlösung für den industriellen Fernzugriff auf Maschinen und Anlagen im Feld, die dem Anwender die notwendige Basistechnologie für die Implementierung neuer, digitaler Geschäftsmodelle nach den Prinzipien von Industrie 4.0 und IIoT (Industrial Internet of Things) bereitstellt.
Das System hat sich bewährt: Mittlerweile sind über 110.000 Ewon-Router in 156 Ländern mit Talk2M verbunden und haben insgesamt über 8 Millionen VPN-Verbindungen hergestellt. Auch wenn das System heute vornehmlich für Fernwartungszwecke im Fehlerfall genutzt wird, haben Anwender damit schon das Ticket in die Zukunft für den Einstieg in neue servicebasierte Geschäftsmodelle gelöst.
Für Anwender, die einen schnellen Einstieg in die eWON-Technologie bekommen möchten, bietet die Firma Wachendorff als Vertriebspartner von HMS einen kostengünstigen Starterkit an.
Kontakt
HMS Industrial Networks GmbH
Emmy-Noether-Str. 16
76131 Karlsruhe
+49 721 989777 000
+49 721 989777 000