Immer mehr global agierende Hersteller möchten die Chancen nutzen, die ihnen die Digitalisierung ihrer Produkte und Prozesse eröffnet. Die dazu notwendigen Daten können und sollen die eingesetzten Maschinen und Anlagen selbst liefern. Einer der Vorteile, der sich für die Unternehmen ergibt, liegt in der verbesserten Reaktionsfähigkeit des Instandhaltungspersonals auf sich abzeichnende Störungen. Darüber hinaus lassen sich die Fertigungsprozesse auf Basis der gesammelten Informationen optimieren. Zur bestmöglichen Verwendung der Daten muss allerdings das Wissen über die Detailabläufe in den Lebenszyklus der gesamten Produktion integriert werden. Dieses spezielle Know-how haben meist nur die Lieferanten der Maschinen. Ein sicherer und kontrollierbarer Zugriff auf die Informationen der beim Betreiber installierten Applikationen bietet die Möglichkeit, im Rahmen des Fertigungsprozesses von den Kenntnissen der Maschinen- und Anlagenbauer zu profitieren.
Ein Unternehmen, das über mehrere Werke in verschiedenen Regionen der Welt verfügt, steht bei der Modernisierung seiner Produktion also vor einer Reihe zusätzlicher Herausforderungen. Ziele wie eine höhere Produktivität, neue Herstellungsprozesse oder die automatisierte Verknüpfung der Fertigung mit einem digitalen Marktplatz lassen sich ohne Einbindung der einzelnen Maschine oder sogar jedes Produkts in ein modernes industrielles Kommunikationskonzept nicht umsetzen. Zu groß sind hier die Anforderungen an mehr und detailliertere Daten, damit Potenziale im Bereich der Prozessoptimierung, Energieeffizienz oder Verfügbarkeit gehoben werden können. Dem steht in vielen Ländern ein schrumpfender Markt an Fachpersonal gegenüber. Vor diesem Hintergrund bietet es sich an, die Lieferanten der Maschinen und Anlagen als Know-how-Träger über sichere Fernwartungszugänge an der Bewältigung der Herausforderungen zu beteiligen.
An die OT-Belange angepasste Netzwerkarchitektur
Einen solchen Service hält eine stetig wachsende Zahl von Herstellern komplexer Maschinen bereit. Aufgrund der unterschiedlichen Konzepte der einzelnen Maschinen- und Anlagenbauer führt das beim Betreiber jedoch zu einer Vielzahl von Konfigurationen und unabgestimmten Kommunikationsparametern. Ein solches Szenario erschwert es, die Kontrolle über diese sensible und wichtige Infrastruktur des Unternehmens zu behalten. Zur Meisterung der daraus resultierenden Aufgaben stellen die Betreiber spezialisiertes Fachpersonal ein, das sich aus Sicht der Produktion um die Belange der Informationstechnologie kümmert.
Während in der IT beispielsweise ein kurzer Kommunikationsausfall meist tolerierbar ist, zieht dies in der Produktion erhebliche Kosten nach sich. Zudem hat die Datenübertragung in den Fertigungshallen oftmals einen Einfluss auf die Maschinensicherheit, die unter Umständen nicht mehr gegeben ist. Ferner kommt der Echtzeit der Kommunikation eine große Bedeutung zu, wenn es um die präzise Abstimmung von Prozessen geht, zum Beispiel das punktgenaue Stoppen eines Verfahrwagens nach dem Auslösen eines Endschalters. In einer weltweit produzierenden Smart Factory lassen sich die geschilderten Herausforderungen durch eine auf die Belange der OT angepasste Architektur für einen globalen und sicheren Fernzugang lösen. Sie setzt sich aus industriellen Netzwerkkomponenten – wie Router und Switche – zusammen, die sowohl vor Ort in der entsprechenden Fabrik als auch aus der Unternehmenszentrale überwacht und gesteuert werden können. Schließlich ist es unabdingbar, die komplette Unternehmens-IT vor den Risiken einer weltweiten Vernetzung zu schützen.
Anlagen- und funktionsbezogene Segmentierung
Ausgehend von einer Risikobetrachtung – beispielsweise gemäß IEC 62443 – erweist sich die Einteilung der Infrastruktur in Zonen als sinnvoll, wobei die Informationsflüsse und Risiken zu berücksichtigen sind. Der bereits erwähnten Einteilung in IT und OT folgend, werden diese Bereiche durch eine Firewall voneinander getrennt. Eine solche Schnittstelle macht ebenfalls eine intensive Zusammenarbeit der jeweiligen Mitarbeiter beider Unternehmensteile notwendig. Denn in Zukunft werden mehr Sensoren bis in das Internet kommunizieren.
In der Fertigung findet anschließend eine weitere anlagen- und funktionsbezogene Segmentierung der Infrastruktur statt. So lässt sich die Ausbreitung eines möglichen Störfalls auf einzelne Zonen begrenzen. In den Routern hinterlegte Regeln sorgen dafür, dass nur ausgewählte Kommunikationsbeziehungen zwischen den Anlagen bestehen, was das Angriffs- und Störpotenzial entsprechend reduziert. Jede der Zonen wird durch einen VPN-Router abgesichert, zum Beispiel den FL mGuard RS 4004 TX/DTX VPN von Phoenix Contact. Die speziell für industrielle Anwendungen entwickelten Security Appliances bieten dem Instandhalter über digitale Ein- und Ausgänge die Möglichkeit, einen Kommunikationskanal für den betreffenden Maschinen- oder Anlagenbauer freizugeben und die Anlage trotzdem vor unbefugten Zugriffen zu schützen. Über einen einfach am Gerät angebrachten Schalter wird dazu ein VPN-Tunnel freigeschaltet. Eine LED meldet gleichzeitig den Status der Verbindung zurück, was das Risiko einer unbeobachteten Öffnung der Kommunikationsverbindung verringert. Unterhalb der Firewall lassen sich beispielsweise durch Switche der Baureihe FL Switch 22xx redundante Netze für die Maschinenzugänge aufbauen, um eine stabile Datenübertragung sicherzustellen. Die einfach bedienbaren Geräte unterstützen die im Industrieumfeld verbreiteten Protokolle und besonderen Funktionen von Profinet Class B und Ethernet/IP.
Lokale und globale Verwaltung der Zugriffe
Der VPN-Router kann lokal über die Software FL mGuard Device Manager verwaltet werden. Ist jedoch eine globale Lösung zur Verwaltung der Verbindungen umzusetzen, stellt der mGuard Secure Remote Service eine schlüsselfertige VPN-Infrastruktur zur Verfügung. Über eine intuitiv bedienbare Weboberfläche koppeln sich die Servicetechniker des Maschinen- und Anlagenbauers dabei mit Zustimmung des Betreibers schnell und sicher an dessen Applikation an. Die VPN-Technologie mit dem bewährten IPsec-Protokoll sorgt für die Vertraulichkeit, Authentizität und Integrität sämtlicher Daten, die zwischen den über den mGuard Secure Remote Service verbundenen Teilnehmern ausgetauscht werden. Die bei AWS gehostete Fernwartungslösung entspricht den höchsten europäischen Datenschutzstandards (DSGVO) und ist immer aktuell. Betreiber sparen also nicht nur die Investitionen in die erforderliche Hardware und den Administrationsaufwand, sondern profitieren ferner von geringen Latenzzeiten sowie einem hochverfügbaren Rechenzentrum.
Als zertifizierter Anbieter begleitet Phoenix Contact die Planer von international produzierenden Unternehmen zudem während der gesamten sicheren Netzwerkplanung. Das Leistungsspektrum reicht hier von der Spezifikation und Bedrohungsanalyse über das Risikomanagement bis zur Implementierung der Lösung, die neben der rein technischen Ausführung eines sicheren Fernzugriffs ebenfalls die prozessuale Absicherung umfasst. Der Betreiber erhält so letztlich eine nachweisbare Basis für seine IT-Policy. ge
Weitere Details zu den Lösungen
Kontakt
Phoenix Contact GmbH & Co. KG
Flachsmarktstraße 8
32825 Blomberg
Tel. +49 5235 3-00
PLUS
TÜV-zertifizierter Blueprint
Ziel von Phoenix Contact ist es, standardisierte Security in Produkten, Industrielösungen und Beratungsdienstleistungen anzubieten. Die internationale Normenreihe IEC 62443 definiert hier einen Standard für die IT-Sicherheit industrieller Kommunikationsnetze. Bereits Anfang 2019 zertifizierte der TÜV Süd, dass Phoenix Contact die Entwicklung von Secure-by-Design-Produkten (IEC 62443-4-1) und das Design von sicheren Automatisierungslösungen (IEC 62443-2-4) durchführen kann. Ende 2019 hat das Unternehmen dann das Zertifikat gemäß IEC 62443-3-3 für den Blueprint „Remote Monitoring and Control“ erhalten. Die generische Automatisierungslösung, die sich als Teillösung in vielen Industrien verwendet lässt, besteht aus einer Prozesssteuerung, einem Leit-/Managementsystem und einem Remote-Zugang für den Fernzugriff. Zur sicheren Umsetzung von Kundenprojekten hat Phoenix Contact zudem erste Vertriebstochtergesellschaften gemäß IEC 62443 zertifizieren lassen.
