Mit den leistungsstarken Industrie-PCs direkt an der Maschine, die immer mehr Automatisierungsaufgaben übernehmen, muss auch die Fernwartungslösung ausgebaut werden.

Mit den leistungsstarken Industrie-PCs direkt an der Maschine, die immer mehr Automatisierungsaufgaben übernehmen, muss auch die Fernwartungslösung ausgebaut werden.Frimo

Als Spezialist für die Entwicklung und Herstellung von Fertigungssystemen für Kunststoffbauteile hat Frimo langjährige Erfahrungen mit der Fernwartung, vor allem im Automotive-Umfeld. Die Servicetechniker des Unternehmens konnten den Bediener an der Maschine bereits vor 20 Jahren im Störungsfall über analoge Modems und Telefonverbindungen unterstützen. Der Zugriff auf die Steuerungen in den Maschinen war trotz der eingeschränkten Bandbreite der analogen 56-kbit/s-Modems relativ performant. „In unseren Maschinen haben die immer leistungsfähigeren Industrie-PCs seitdem immer mehr Funktionen übernommen. Für die Fernwartung dieser Rechner reichte die analoge Verbindung bald nicht mehr aus“, berichtet Axel Starflinger, IT-Administrator bei Frimo.

Die analoge Technik wurde inzwischen durch breitbandige Internet-Zugänge ersetzt, die manipulationssichere VPN-Tunnel (Virtual Private Network) aufbauen. Aufgrund der schnelleren Datenverbindung zwischen der Anlage beim Kunden und dem Servicetechniker beim Hersteller lassen sich auch die leistungsstarken Industrie-PCs der Maschinen komfortabel bedienen. Per VNC-Software (Virtual Network Computing) wird der komplette Bildschirminhalt des entfernten Rechners übertragen. Der Servicetechniker kann ihn so wie einen lokalen PC bedienen.

Der Maschinenbauer nutzt die Fernwartung vorrangig, um Störungen schnell zu beseitigen. Darüber hinaus sind auch erweiterte Serviceleistungen möglich. Denn der Unterstützungsbedarf der Kunden steigt und Frimo strebt an, den Teleservice schrittweise zu erweitern. „Wir passen unsere Maschinen an die speziellen Anforderungen unserer Kunden an. Über die schnelle und sichere VPN-Verbindung haben wir Zugriff auf alle Geräte in der Maschine. Mit der Fernwartung können wir beispielsweise aus der Ferne im Visualisierungssystem des PCs eine zusätzliche Checkbox einrichten oder die Parameter eines Frequenzumrichters anpassen“, erläutert Axel Starflinger.

Um die Fernwartungslösung einzurichten, wird eine fertige Konfigurationsvorlage per SD-Karte in den Gateways eingelesen.

Um die Fernwartungslösung einzurichten, wird eine fertige Konfigurationsvorlage per SD-Karte in den Gateways eingelesen.Frimo

Konfiguration eines VPN-Routers in wenigen Minuten

Doch die ersten Schritte hin zu einer breitbandigen Fernwartungslösung waren holprig. „Die Technik eines großen Herstellers hat sich als viel zu komplex und im Betrieb als viel zu aufwendig herausgestellt. Das war auf Dauer keine akzeptable Lösung“, berichtet Starflinger. Inzwischen setzt der Maschinenbauer 80 Teleservice-Connectivity-Lösungen des Typs mGuard vom Security-Spezialisten Innominate ein. „Wir haben verschiedene Alternativen getestet. Mit der Lösung von Innominate haben wir eine sehr sichere, leistungsfähige und vor allem sehr einfach zu bedienende Lösung gefunden. Der Konfigurationsaufwand hat sich von vielen Stunden auf wenige Minuten reduziert“, beschreibt der IT-Administrator seine Erfahrungen. Erreicht wurde das mit einheitlichen und standardisierten Konfigurationsvorlagen für die Gateways, die als VPN-Gateways fungieren.

Um die Fernwartungslösung einzurichten, wird eine fertige Konfigurationsvorlage per SD-Karte in den Gateways eingelesen. Damit sind fast alle notwendigen Parameter definiert. Ergänzt werden müssen lediglich die kundenspezifischen Eingaben für die VPN-Verbindung, für den Router im Netzwerk des Kunden und die IP-Adressen der Maschine. Die Abbildung der realen Adressen des Maschinennetzes auf eine virtuelle IP-Adressierung durch die sogenannte 1:1-NAT-Funktion (Network Address Translation) des VPN-Routers verhindert Adresskonflikte. Es ist damit nicht mehr notwendig, die IP-Adresse an den internen Adressraum der Maschinen anzupassen.

axel-starflinger.jpeg

„Die Sicherheitsanforderungen an eine Fernwartungslösung sind im Automotive-Bereich sehr groß. Die Vorteile einer schnellen Störungsbeseitigung und die "Sicherheitsfeatures unserer Lösung können aber überzeugen." Axel Starflinger, IT-Administrator bei FriFrimo

In der Zentrale setzt der Maschinenbauer in einem 19″-Standard-Racksystem eine mGuard Bladebase für bis zu 12 Gateways ein. Alle technischen Parameter und Berechtigungen sind fertig eingerichtet und eine neue Maschine wird ohne zusätzliche Eingaben einfach zugeschaltet. Alle Standorte sind über ein firmeninternes Datennetz an die Zentrale angebunden. Im Servicefall kann sich der Techniker von jedem Standort aus, je nach seiner Berechtigung, über die Blades in der Zentrale auf die VPN-Verbindung zur Maschine beim Kunden aufschalten. „Mit unserer zentralen Lösung haben wir für alle Niederlassungen eine einheitliche und standardisierte Zugangslösung geschaffen. Die Bedienung ist dadurch einfacher und der Administrationsaufwand erheblich geringer“, so Axel Starflinger.

Doch nicht nur die Technik allein macht das Fernwartungssystem zu einer passenden Lösungen für den Maschinenbauer. „Die Support-Mitarbeiter von Innominate sind sehr engagiert und finden auch bei komplexen Problemen eine Lösung“, stellt Starflinger fest. „Wir hatten beispielsweise in unserem MPLS-Netz kürzlich eine starke Häufung von geöffneten Sessions und vermuteten ein Fernwartungsproblem. Ein Spezialist von Innominate hat die Logdatei der zentralen mGuards geprüft und uns innerhalb von wenigen Stunden mit seiner Analyse geholfen, das Problem zu finden.“

Hoher Sicherheitsstandard wird im Automotive-Bereich akzeptiert

Der IT-Administrator bestätigt, dass die Maschinenbetreiber einem externen Zugriff auf Ihr Produktionsnetz generell skeptisch bis ablehnend gegenüberstehen. Das gelte insbesondere für Hersteller und Zulieferer im Automotive-Bereich. „Die Sicherheitsbedenken sind zunächst groß. Die Vorteile einer schnellen Störungsbeseitigung durch die Fernwartung und die Sicherheits-Features unserer mGuard-Lösung können aber überzeugen“, berichtet der IT-Administrator.

Die in Deutschland entwickelten und gefertigten mGuards integrieren auf der Basis eines gehärteten Embedded Linux drei aufeinander abgestimmte Sicherheitskomponenten: eine bidirektionale Stateful Firewall, einen flexiblen NAT-Router sowie einen sicheren VPN-fähigen Ethernet-Router mit IPsec-Verschlüsselung (IP-Security-Protokoll). Die konfigurierbare Stateful Packet Inspection Firewall schützt gegen unberechtigte Zugriffe. Dafür untersucht der dynamische Paketfilter neue Verbindungsversuche anhand von Adressen und Ports von Ursprung sowie Ziel und blockiert unerwünschten Datenverkehr. Die Parameter einer zulässig initiierten Verbindung werden bis zu deren Beendigung in einer Connection-Tracking-Tabelle gespeichert und alle weiteren zu ihr gehörigen (Antwort-)Pakete automatisch erkannt und akzeptiert.

Die IT-Bereiche der Maschinenbetreiber legen aber auf eine Schutzeinrichtung besonderen Wert: Der Zugriff auf die Maschine von außen wird generell verhindert. Erst nach einer ausdrücklichen Freigabe des Maschinenbedieners über einen VPN-Hardware-Schalter lässt sich eine sichere Datenverbindung aufbauen. Der Zugang zur Maschine ist damit immer eine vom Kunden ausgehende kontrollierte Verbindung.

SPS IPC Drives 2014
Halle 9, Stand 305

Martin Ortgies

martin-ortgies-7x10.jpg
ist Technikjournalist aus Hannover.

(mf)

Sie möchten gerne weiterlesen?

Unternehmen

Phoenix Contact Cyber Security AG

Richard-Willstätter-Straße 6
12489 Berlin
Germany

Zum Firmenprofil