Bereits als der Einsatz von Computern als Visualisierungssystem für Maschinen begann, nutzte das Unternehmen Nikolaus Sorg erstmals Modems für den Fernzugriff auf seine Glasschmelzöfen und Glaskonditionierungs-Systeme. Ohne die Nutzung des Teleservices wäre der weltweite wirtschaftliche Service der Anlagen nicht mehr möglich. Die Kunden erwarten jederzeit Unterstützung für den optimalen Betrieb der Maschinen und Anlagen oder zur schnellen Behebung einer Störung. Dabei muss der Teleservice zuverlässig funktionieren und hohen Sicherheitsanforderungen gerecht werden. Heute sind weltweit 100 Maschinen für den Teleservice ausgestattet, 40 davon bereits mit VPN-Verbindungen. Denn mit den steigenden Datenmengen und Sicherheitsanforderungen ist der Einsatz von analogen oder ISDN-Modems nicht mehr ausreichend.

Die VPN-Technologie (Virtual Private Network) sorgt für die Sicherheit der Teleservice-Verbindung. Dabei wird per VPN ein sicherer Tunnel im öffentlichen Übertragungsnetz gebildet. Ein solcher Tunnel von außen nicht eingesehen werden kann und sämtliche Netzwerkpakete verschlüsselt sind. Zum Einsatz kommen wahlweise eine Hardware-beschleunigte DES-, 3DES- oder AES-Verschlüsselung und das standardisierte IPsec-Protokoll.

Anwender im Detail

Nikolaus Sorg
Das Unternehmen Nikolaus Sorg aus Lohr am Main ist ein Lieferant von Glasschmelzöfen und Glaskonditionierungs-Systemen. Zum Lieferprogramm gehören Öl-, Gas-, Elektro- oder Oxy-Fuel-Beheizungen sowie Kombinationen dieser Beheizungssysteme. Montagen, Inbetriebnahmen und Schulungen gehören ebenso zu seinem Programm wie Wartungs- und Reparaturarbeiten. Die Anlagen sind in 65 Ländern der Welt in Betrieb.

 

Support per Teleservice

Nach einer Serviceanforderung durch den Kunden kann der Kundensupport per Teleservice überprüfen, ob eine Anlage stabil läuft oder der Betrieb verbessert werden muss. Um den Istzustand zu überprüfen, Trenddaten zu ermitteln und eine Kundenempfehlung auszusprechen, ist der Zugriff auf die Betriebsdaten notwendig. Früher reichte dafür noch ein Fax mit den wichtigsten Daten, heute schaltet sich der Supportmitarbeiter per VNC (Virtual Network Computing) direkt in die Live-Umgebung. Ähnlich ist die Situation bei einer Maschinenstörung. Hier ist der schnelle Fernzugriff auf die SPS oder das Leitsystem entscheidend, weil sich die meisten Störungen bereits online ermitteln und beheben lassen.

Sicherer verbinden mit VPN

Die Qualität von Modemverbindungen ist in vielen Ländern schlechter geworden. Geringe Übertragungsraten und Verbindungsabbrüche sind an der Tagesordnung. Demgegenüber ist eine IP-Verbindung heute fast überall in guter Qualität verfügbar. Der Anlagenbauer hat sich beim Übergang von der Modemtechnik zu breitbandigen, sicheren VPN-Verbindungen für die Mguard-Technologie von Innominate entschieden. Nach den Erfahrungen des Anlagenbauers sind die Teleservice-Verbindungen über VPN sicherer, leistungsfähiger und leichter zu administrieren.

Die Mguard-Technologie hat den Vorteil, durch ein integriertes Analog- oder ISDN-Modem universell einsetzbar zu sein. Vorhandene Wählleitungen lassen sich bei einer Störung des Internet-Zugangs als Fall-Back-Lösung nutzen. Diese Option ermöglicht auch eine einfache Migration der Anlagen von der traditionellen Modem-basierten zu einer modernen Fernwartung via Internet.

Der Zugriff muss erlaubt sein

Die Kunden achten sehr genau darauf, dass sie die Kontrolle über den Zugriff von außen behalten. Mit der Mguard-Technologie fällt es leicht, die IT-Abteilungen von der Funktionalität und Sicherheit der Lösung zu überzeugen. Ohne eine ausdrückliche Genehmigung kann niemand von außen auf die Anlage zugreifen. Wo der Betreiber früher durch Stecken oder Ziehen des Modemanschlusses die Kontrolle über den Anlagenzugriff hatte, kann er jetzt die VPN-Verbindung an- oder abschalten. Erst wenn der Maschinenbediener einen Schlüsselschalter bedient, kann die Fernverbindung genutzt werden. Das ist auch ein wichtiger juristischer Aspekt: Wird die VPN-Verbindung aktiviert, liegt immer das Einverständnis des Kunden für den Servicezugriff vor.

Auch das System schützen

Bei Nikolaus Sorg werden künftig alle Systeme zusätzlich mit dem Mguard CIFS Integrity Monitoring ausgestattet. Dieses Modul bietet einen industrietauglichen Anti-Virenschutz, der ohne ständiges Zuführen von aktuellen Virenpattern erkennen kann, ob eine Windows-basierte Steuerung, eine Bedieneinheit oder ein PC von einer Schad-Software befallen ist. Es besteht aus zwei Komponenten, der CIFS-Integritätsprüfung und dem CIFS Anti-Virus-Scan-Connector, die gemeinsam oder auch einzeln genutzt werden können. Bei der CIFS-Integritätsprüfung werden Windows-Netzlaufwerke regelmäßig daraufhin geprüft, ob sich bestimmte Dateien wie exe- oder dll-Dateien im Vergleich zu einem Referenzstatus verändert haben. Der CIFS Anti-Virus-Scan-Connector ermöglicht einen externen Viren-Scan auf Laufwerke von Systemen hinter dem Mguard, die sonst von außen nicht erreichbar sind und keine lokal installiere Antivirus-Software nutzen können.

Das CIFS Integrity Monitoring bietet damit einen verbesserten Schutz für die häufig zum Datenaustausch mit der Umgebung genutzten Dateifreigaben auf Basis der Protokollfamilie CIFS/SMB (Common Internet File System/Server Message Blocks). Diese sind ein gefürchtetes Einfallstor für Schad-Software, welches zum Beispiel auch Stuxnet und der Conficker-Wurm für ihre Verbreitung nutzten. Außerdem erkennt die CIFS-Integritätsprüfung Schäden von Zero-Day-Exploits, also von Schad-Software, die bereits am Tage des Bekanntwerdens einer neuen Schwachstelle in Umlauf kommt und für die es zu diesem Zeitpunkt noch gar keine Malware-Signaturen gibt. Aufgrund der neuen Möglichkeiten durch die VPN-Verbindung eröffnen sich für den Anlagenbauer außerdem zusätzliche Serviceleistungen, etwa im Bereich der Verfahrungstechnik oder der Live-Überwachung.

Sylvio Lauerbach

: Leiter der Abteilung Prozess bei Nikolaus Sorg GmbH & Co. KG in Lohr am Main.

(mf)

Sie möchten gerne weiterlesen?

Unternehmen

Phoenix Contact Cyber Security AG

Richard-Willstätter-Straße 6
12489 Berlin
Germany