Vom Bundesamt abgesegnet

Redakteur: Reinhard Kluger

Für Maschinen- und Anlagenhersteller gibt es zur Fernwartung ihrer weltweit installierten Systeme keine wirtschaftliche Alternative. Große Anlagenbetreiber – allen voran die Automobilindustrie – treten aus Sicherheitsbedenken jetzt auf die Notbremse. Eine Alternative ist verfügbar: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals einer Fernwartungslösung offiziell das Sicherheits-Zertifikat des BSI überreicht. Der gemeinsam vom Maschinenbauer Trumpf und dem Security-Spezialisten Data Systems entwickelten Lösung wurde bescheinigt, den strengen Sicherheitsanforderungen zu entsprechen.

Firma zum Thema

Mit einer „Call-Out-Erweiterung“ müssen Servicezugriffe aus der Ferne vorher durch eine direkte Autorisierung an der Maschine freigegeben werden.
Mit einer „Call-Out-Erweiterung“ müssen Servicezugriffe aus der Ferne vorher durch eine direkte Autorisierung an der Maschine freigegeben werden.
( Archiv: Vogel Business Media )

IT & Automation

Das Problem mit der Sicherheit: Die Servicetechniker vieler Anlagenhersteller greifen bei der Fernwartung bisher von oft unsicheren Service-PCs direkt auf die Anlagen in der Produktion zu, nachdem sie vorher auf der Maschine bei einem anderen Kunden eingewählt waren. Viren werden so schnell weitergetragen. Zusätzlich können sensible Daten des Kunden leicht in falsche Hände geraten. Betreiber moderner Produktionsanlagen sind leidgeprüft, denn die Anlagen wurden mehrfach von eingeschleusten Viren oder Trojanern lahmgelegt. Der Hintergrund: Die Vernetzung industrieller Produktionsanlagen steigt stetig, und mit der Vernetzung nimmt auch das Gefährdungspotenzial zu. Das Resultat: Viele Großunternehmen haben unsicheren Einwahlverfahren bereits einen Riegel vorgeschoben und umfangreiche und detaillierte Sicherheitsanforderungen formuliert.

Bildergalerie

Für Anlagenhersteller hat das fatale Folgen, denn für den sicheren Fernzugriff ergeben sich jetzt ‚unzählige’ Varianten – von der Art der Einwahl (Modem/ISDN/Internet/GSM/UMTS) über verschiedene VPN-Standards für die Datenverbindung (VPN = Virtual Private Network) bis zu einer Vielzahl vorgeschriebener Virenscanner und Firewalls. Alle Servicemitarbeiter müssen die jeweils aktuellen Einwahl-Tools und Sicherheitsanforderungen ihrer zahlreichen Kunden pflegen. Der Verwaltungsaufwand steigt lawinenartig an – das Not-Aus droht.

Die Trumpf-Gruppe setzt bei der Lasertechnik bereits eine komplett neue Fernwartungs-Lösung ein – mit sehr guten Erfahrungen. Rainer Thieringer, Leiter der Abteilung Softwareentwicklung bei Trumpf Laser: „Trumpf verfügt über eine Fernwartungslösung, die alle kritischen Sicherheitsanforderungen unterschiedlichster Branchen berücksichtigt und zusätzlich den eigenen Serviceaufwand reduziert“. Dieses neue Konzept wurde gemeinsam mit dem IT-Security-Spezialisten DS Data Systems aus Braunschweig entwickelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dieser Lösung inzwischen offiziell das Sicherheits-Zertifikat des BSI überreicht. Damit wurde erstmals einer Fernwartungslösung bescheinigt, den strengen Sicherheitsanforderungen des Bundesamtes gerecht zu werden.

Nach der Autorisierung wählt der Servicemitarbeiter bei der Einwahl über das neue zentrale Service-Portal nur noch den Kunden und die Anlage aus. Alle individuellen Vorgaben der Kunden sind zentral gespeichert. Die Einwahl beim Kunden dauert nur noch ein bis zwei Minuten – egal über welchen Weg – alle Passwörter und Anforderungen werden automatisch aus der zentralen Datenbank gezogen. Weil viele Abläufe automatisiert sind, kann die Administration dieser Plattform mit weniger Aufwand realisiert werden. So dauert die Einrichtung eines neuen Kunden einmalig nur noch 10 Minuten. Ein wichtiges Plus: Der Service ist jetzt global umsetzbar. Je nach Problemlage können sich Spezialisten aus unterschiedlichen Standorten über das Portal einwählen. Die Nutzung der zentralen Service-Plattform ist über unterschiedlichste Zugangstechnologien möglich, z. B. über Intranet, Internet oder mobil. Die Unternehmensgruppe Koenig & Bauer, einer der größten Druckmaschinenhersteller der Welt, hat sich ebenfalls entschieden, künftig die Portallösung von DS Data Systems für die Fernwartung ihrer weltweit eingesetzten Druckmaschinen einzusetzen. Andreas Birkenfeld, Bereichsleiter Konstruktion Systemtechnik von Koenig & Bauer: „Wir sehen in der Portallösung eine geeignete Sicherheitsarchitektur für die Fernwartung, die auch die zunehmenden Sicherheitsanforderungen aus der IT-Vernetzung der Anlagen erfüllt.“

Call-Out-Erweiterung schafft Sicherheit

Auch ein namhaftes Unternehmen aus der Aluminium-Verarbeitung plant, Dienstleistern künftig die Nutzung des Serviceportals vorzugeben, wenn sie sich für Servicezwecke per Fernwartung in die Produktion einwählen. Als Hauptgründe zählen die größer werdenden Bedrohungen durch Viren und Malware und der steigende Aufwand für IT-Security. Der IT-Security-Spezialist DS Data Systems entwickelte für das Secure Service-Portal eine besondere Innovation: die „Call-Out-Erweiterung“. Der Ansatz: Viele Anlagen-Kunden lassen einen Servicezugriff aus der Ferne nur zu, wenn vorher eine direkte Autorisierung durch einen eigenen Mitarbeiter erfolgt ist. Damit von außen nicht direkt in das Produktionsnetz eingegriffen wird, geht mit dem „Call-Out“ die Initiative vom Kunden aus. Der Servicebedarf wird vom Kunden vorher angekündigt und an der Maschine eine „Servicecall-Taste“ betätigt. Erst jetzt wird von der Maschine über die firmeneigene Firewall per VPN-Tunnel eine abgesicherte Datenverbindung zum Portal aufgebaut.

Ganz andere Beweggründe veranlassen einen Hersteller von Schneid- und Schweißanlagen, neue Wege in der Fernwartung zu gehen. Der Berufsgenossenschaft fehlt beim Remote-Service dieser Anlagen der Nachweis über die zwingende Kontrolle durch einen Mitarbeiter vor Ort. Denn: Im Bewegungsbereich der Anlage müssen auch während der Wartung Mitarbeiter vor Gefahren geschützt sein. Der Lösungsansatz: Eine sichere 2-Wege-Authentifikation durch den Servicetechniker in der Ferne und gleichzeitig durch einen Mitarbeiter vor Ort. Dabei muss der Mitarbeiter an der Maschine einen USB-Token zur sicheren Authentifizierung stecken, um einen speziellen Sicherheitsmodus auszulösen („Maschine im Wartungszustand“). Erst jetzt ist eine Verbindung zum Portal technisch möglich. Der Techniker im Portal kann sich durch diesen nicht zu umgehenden Modus darauf verlassen, dass vor Ort ein Verantwortlicher ist. Zusätzlich wird in der Maschine und gleichzeitig im Portal beweissicher protokolliert, wer was wann macht. (klu)

Data SystemsTel. +49(0)800 4283246

(ID:193609)