788iee0218_Anlaufbild_Vordergrund_OT-BASE network overview

OT-Base generiert automatisch interaktive Netzwerkdiagramme und unterstützt ein Drill-Down. Konfigurationsdaten des jeweiligen Knotens werden angezeigt sowie die Netzwerk­topologie der benachbarten Netzwerke. (Bild: Langner Communications)

Unternehmen, die zu den sogenannten kritischen Infrastrukturen (Kritis) zählen, haben schon davon gehört: Für sie ist das Führen eines sogenannten Asset-Inventars nach dem IT-Sicherheitsgesetz Pflicht. Diese Pflicht gilt nicht nur für Computer im Büro. Steuerungen, Busklemmen, Netzwerk-Switche in Automatisierungsnetzwerken sind ebenso zu inventarisieren – zusammen mit den jeweils installierten Software- und Firmware-Versionen.

Genau die Erfassung dieser Details bringt nicht wenige Betreiber und Maschinenbauer ins Schwitzen. Denn in der Regel sind allenfalls Excel-Listen vorhanden, die den digitalen Gerätepark mehr schlecht als recht abbilden.

Doch auch wer nicht zu den Kritis-Branchen gehört, erkennt, dass die bisher üblichen Verfahren zur Inventarisierung von Automatisierungstechnik nicht mehr ausreichen. Der Grund: Durch die Zunahme der digitalen Endgeräte und Netzwerkkomponenten sehen sich Betreiber in der Fertigungsindustrie schnell mit einer fünfstelligen Zahl an Komponenten konfrontiert. Diese Masse an Gerätschaften ist mit den gewohnten Office-Tools nicht mehr zu verwalten: Zum einen geht der Blick aufs ‚große Ganze‘ verloren; zum anderen sind die Details einzelner Automatisierungskomponenten nicht mehr fachgerecht dokumentiert. Dies hat negative Auswirkungen auf die Wartbarkeit.

Die Ursache für diesen häufig anzutreffenden Diagnose-Zustand ist einfach: Es fehlen geeignete Softwarewerkzeuge, mit denen man Excel als De-facto-Standard-Tool für die Inventarisierung hätte ablösen können. Eine zweidimensionale Tabelle, die obendrein von Hand gepflegt werden muss, ist nun mal ungeeignet, die digitale Komplexität einer typischen Industrieanlage abzubilden.

Asset Management für OT-Infrastrukuren

788iee0218_Bild1_OT-BASE device profile

Das Geräteprofil in OT-Base listet alle wichtigen Konfigurationsmerkmale eines Geräts auf. Zusätzlich können hier Dateien abgelegt werden, die dem Gerät zugeordnet sind – wie beispielsweise eine Systemdokumentation oder Backup-Dateien. Langner Communications

Dieser Problematik wurde Langner Communications schon vor Jahren bewusst. Das Software- und Beratungshaus mit dem Schwerpunkt Cyber-Sicherheit in der Industrie, das durch seine umfassende Analyse des Stuxnet-Angriffs bekannt wurde, erkannte im Rahmen von Risikoanalysen, dass sich die typischen Asset-Management-Werkzeuge der IT nicht auf SPSen, Schutzrelais und so weiter anwenden lassen. Das Unternehmen zog daraus Konsequenzen und entwickelte ein Softwareprodukt speziell für die digitale Industrieautomation: OT-Base.

Das mit Abstand größte Problem der Inventarisierung ist in OT-Base praktisch gelöst: die automatische Erfassung von Netzwerktopologie und Softwarekonfiguration. Software-basierte Sensoren für Industrienetze wie Profinet sind in der Lage, komplette Topologien zu erkennen, inklusive der am Netzwerk angeschossenen Endgeräte, deren Hardware- und Softwarekonfiguration sowie die Datenflüsse untereinander. Die spezielle Software wird in der Regel auf einen vorhandenen Server  aufgespielt und verrichtet dann im Hintergrund ihre Arbeit.

Damit entfällt die äußerst zeitraubende Aufnahme von Konfigurationsdaten per Hand. Hinzu kommt, dass diese Informationen oft erst nach einer Anmeldung an den jeweiligen Geräten abzufragen sind. Außerdem ist es mit der manuellen Erfassung von Konfigurationsdetails gar nicht möglich, größere Datenbestände wie zum Beispiel die installierten Softwarepakete und Sicherheits-Patches zu ermitteln, da pro Gerät schnell mehrere hundert Einträge zusammenkommen. Und wer wollte von mehreren Hundert oder gar Tausend Netzwerk-Switchen, SPSen und Busklemmen die installierten Firmwarestände per Hand auslesen und speichern?

Zugriff auf sämtliche Konfigurationsdaten per Web-Browser

All diese Details ermittelt und speichert das industrial Asset Tool automatisch in einer zentralen Datenbank. Der Zugriff auf diese Daten erfolgt wiederum per Web-Browser, so dass keine spezielle Client-Software installiert werden muss. Somit eignet sich die Lösung auch für den Zugriff  per Tablet oder Laptop direkt vor Ort vor dem Schaltschrank aus.

  • Mit OT-Base kann innerhalb von Sekunden erledigt werden, was früher Stunden oder Tage dauerte:
  • Welche PCs laufen mit Windows XP?
  • Wo ist ein bestimmter Sicherheits-Patch noch nicht eingespielt?
  • Welche Busklemmen verwenden eine veraltete Firmware-Version?
  • Welche bekannten Sicherheitsschwachstellen gibt es für die Software- oder Firmwarestände auf unseren kritischen Assets?
  • Welche anderen Endgeräte hängen noch an einem bestimmten Switch oder sind in einem bestimmten Schaltschrank montiert?
788iee0218_Bild2_OT-BASE device inventory

Alle digitalen Assets sind übersichtlich in Tabellen aufgeführt. Anders als bei Excel können per Mausklick detaillierte Konfigurationsdaten wie die installierten Softwarepakete angezeigt werden. Langner Communications

Der Nutzen, auf solche und ähnliche Fragen sofort belastbare Antworten zu erhalten, geht weit über die Cyber-Sicherheit hinaus. Auch Instandhaltung und Anlagenplanung profitieren hier. Für den Maschinen- und Anlagenbau wiederum ergibt sich die komfortable Situation, dem Kunden ein detailliertes und ausführliches digitales Systeminventar liefern zu können, ohne Wochen oder Monate in die Erstellung entsprechender Dokumentationen investieren zu müssen. Denn detaillierte und aktuelle Inventarlisten stehen per Mausklick als PDF zur Verfügung.

Ein integriertes Änderungsmanagement ermöglicht das Planen und Nachvollziehen von Konfigurationsanpassungen, wie es in der Enterprise IT schon seit Jahrzehnten üblich ist. Ein weiterer Vorteil: Erkennt das Asset Management System eine modifizierte Konfiguration, für die es keinen aktiven Änderungsfall gibt, ist klar, dass es sich um eine nicht autorisierte Anpassung handelt – auch das wird gemeldet.
Generell erkennt und protokolliert das Tools jedwede Änderung. Anhand dieser Änderungshistorie können zum Beispiel Instandhalter nachverfolgen, ob vor dem Auftreten einer Störung die Einstellungen geändert wurden – ein erstes Indiz, was die Störung verursacht haben könnte.

Dateianhänge steigern Effizienz bei Wartung und Diagnose

Zu jedem Gerät und zu jedem Software- und Hardwareprodukt lassen sich Dateien in der Datenbank hinterlegen, die direkt über den Browser geöffnet werden können. Bei diesen Dateien kann es sich zum Beispiel um Handbücher, Installationsanweisungen oder Backup-Dateien handeln. Der Vorteil: Techniker müssen im Fall des Falles nicht erst lange auf anderen Servern nach diesen Unterlagen suchen, sondern finden sie sofort über den Eintrag des Geräts. Auch Fremdfirmen, die zu Wartungszwecken auf die Systeme zugreifen, können auf diese Weise umgehend alle benötigten Informationen einsehen.

Ralph Langner

ist Geschäftsführer von Langner Communications in Hamburg.

(sk)

Sie möchten gerne weiterlesen?

Unternehmen

Langner Communications AG

Kattjahren 4
22359 Hamburg
Germany