Herr Reiter, wie ist es zu der Kooperation zwischen MB connect line und Deutschmann Automation gekommen?
Reiter: Unsere Zusammenarbeit reicht inzwischen rund 15 Jahre zurück. Wir haben ja vor 15 Jahren schon das erste Mal gemeinsam auf der SPS IPC Drives ausgestellt. Und aus der Geschäftsfreundschaft ist längst auch eine private entstanden. Das Thema Kommunikation passt zu beiden Firmen und wir haben schon vor rund zehn Jahren darüber sinniert, die Feldbuskommunikation in die Fernwartung zu integrieren, das heißt die Unigate ICs in die M2M-Router.
Müller: Nur, damals waren die Anwendungen, die Geschäftsmodelle noch nicht da. Man hat keinen Nutzen darin gesehen, Daten über den Feldbus abzugreifen. Und für die reine Fernwartung hat es keinen wirklichen Nutzen gebracht, weil die davon lebt, dass man bei Bedarf auch auf die Steuerung Zugriff hat.
Reiter: Erst mit den Themen wie Monitoring und Datensammlung haben wir das Thema jetzt wieder aufgegriffen und eine Lösung umgesetzt.
Wie sieht die Arbeitsaufteilung aus?
Reiter: Deutschmann Automation liefert den Part der Feldbusanbindungen. MB connect line steuert das Know-how in Sachen Cloud und Fernwartung bei. Das sind die Zutaten für unser erstes gemeinsames Produkt, das Secure Cloud Gateway.
Müller: Wir gehen damit den nächsten logischen Schritt in unserer Partnerschaft. Wir haben das Potenzial erkannt, die beiden Komponenten zu verbinden, das Thema Feldbus und Cloud zusammenzuführen. Im Vergleich zu anderen Konzepten haben wir hier mit Sicherheit einen gewissen Vorteil.
Sie betonen die einfache und sichere Handhabung Ihrer Cloud-Gateways. Warum ist Ihnen Security so wichtig?
Müller: Wir kennen die Diskussionen über IT-Sicherheit und Cyber Security im Rahmen unserer Fernwartungslösung schon lange. Und IT-Sicherheit bedeutet letztendlich immer auch eine gewisse Disziplin beim Anwender. Wenn man sich die Szenarien heute anschaut, ist der Mensch eigentlich der größte Schwachpunkt in der Sicherheitskette. Deswegen war es uns sehr wichtig, dass die Handhabung der Gateways schon von sich aus quasi keine Lücke in die ‚Festung Netzwerk‘ reißt.
Was meinen Sie damit?
Müller: Bei einer typischen Firewall muss man konfigurieren, ob und welche Zugänge aufgemacht werden und sie müssen wieder geschlossen werden, etwa nach einem Service-Zugriff. Der Klassiker schlechthin ist, dass vergessen wird, diese Türen wieder zu schließen.
Reiter: Deswegen haben wir konsequent das Thema Security by Design umgesetzt, wie es etwa das BSI empfiehlt, eigentlich State of the Art ist, aber im Automatisierungssektor nie im Vordergrund stand. Denn hier lag der Fokus schon immer auf der operativen Steuerung. Jetzt muss man auf der Automatisierungsseite den Security-Part hinzufügen. Deswegen war für uns die einfache Handhabbarkeit und Adaptierung wichtig. Daher auch der Schlüsselschalter am Gerät, über den zum Beispiel die Zugriffsrechte zusätzlich geregelt sind und ganz simpel administriert werden.
Das klingt so, als hätten Sie jetzt nicht unbedingt Vertrauen in das Know-how der Automatisierer und der Maschinen-/Anlagenbauer im Bereich Security?
Reiter: Das ist keine Frage des Vertrauens oder Know-hows, wie Sie es formulieren. Wir haben einfach eine technische Lösung gewählt, die von vornherein die Risiken minimiert. Natürlich kann auch jemand den Schlüsselschalter auf bidirektionalen Verkehr einstellen und vergessen, den Schlüsselschalter wieder zu entfernen – ein Klassiker, den viele kennen. Das können auch wir nicht ausschließen. Aber da unsere Lösung auf einer Hardwareschaltung basiert, kann sie niemand per Software überlisten. Wir nennen unser Konzept die hardbasierte Daten-Diode; der Schwachpunkt Software ist somit gar nicht erst vorhanden.
Müller: Ich habe früher selbst Maschinen projektiert und programmiert. Daher kann ich sehr gut nachvollziehen, welche Arbeiten Automatisierer eigentlich machen. Das reicht von der Programmierung der Steuerung bis zur Antriebstechnik, Bedienpanels und Visualisierung und dann noch Feldbus, Netzwerktechnik und Security dazu. In diesem Kontext ist unser Ansatz der einfachen Handhabung zu sehen, zumal es in vielen Firmen nicht für jeden dieser Bereiche einen Spezialisten gibt. Daher begrüßen viele Anwender die einfache Handhabung per Schlüsselschalter, mit dem wir ihnen die Arbeit ein Stück weit abnehmen.
Wie funktioniert denn die Daten-Diode konkret?
Müller: Für uns ist wichtig, die Transparenz so weit darzustellen, dass schon ein Zugriff von außen nach innen hardwarebedingt nicht möglich ist. Das ist die Grundidee unseres Konzeptes, das jeder versteht: Eine sichere Hardwarebeschaltung, wie man sie aus der funktionalen Sicherheit kennt.
Reiter: Im Prinzip setzen wir auf einer seriellen Schnittstelle auf, bei der aber nur ein Kanal nach außen freigeschaltet ist. Nur über den Schlüsselschalter lässt sich dann der bidirektionale Datenverkehr aktivieren beziehungsweise deaktivieren.
Müller: Dazu sind zwei Prozessoren in den Gateways integriert, bei denen quasi die Tx-Leitung des Feldbus-Prozessors der Unigate-ICs mit dem Rx-Eingang des Cloud-Prozessors hart verdrahtet ist. Nur der Rückkanal ist gewissermaßen über den Schlüsselschalter und eine Transistorschaltung zuschaltbar.
Haben Sie sich dieses Prinzip patentieren lassen?
Reiter: Das Konzept mit einem Schlüsselschalter für Freigaben ist nicht neu. Das angemeldete Patent bezieht sich in erster Linie auf die Gewährleistung der Sicherheit durch die Reduzierung auf einen Datenrichtungskanal mittels unserer Daten-Diode.
Und wie kommen die Daten in die Cloud?
Müller: Wir müssen zwei Themen unterscheiden. Wie bringe ich die Daten von der Maschinenebene zur Cloud, ist das eine Thema. Wie die Daten von der Cloud zur Applikation kommen, das andere. Für beides zeichnet sich am Markt aktuell ab, OPC UA zu nutzen, in Kombination mit einem Publisher/Subscriber-Verfahren analog zu MQTT. Nur eines wird aus meiner Sicht für den Transfer Maschine – Cloud zu wenig beachtet, ein bisschen unter den Tisch gekehrt; die vorhandenen Kommunikationslayer, die draußen im Feld überhaupt zur Verfügung stehen.
Alle Konzepte rund um IoT und Industrie 4.0 basieren darauf, dass niemand den Stecker zieht, dass Mobilfunk oder Netzwerk immer da ist und nie gestört ist. Jeder geht also von einer hundertprozentigen Verfügbarkeit der Layer-2-Kommunikation aus. Nach fast 20-jähriger Fernwartungserfahrung weiß ich – das ist nicht so.
Daher haben wir unsere Technologie so konzipiert, dass wir bei Verbindungsunterbrechungen in den Systemen die Daten zwischenspeichern und nach einem Abbruch die Kommunikation auch relativ schnell wieder aufbauen können – ohne großen Kommunikations-Overhead wie beispielsweise bei OPC UA.
Denken Sie denn nicht darüber nach, OPC UA in Ihre Cloud-Gateways mit zu implementieren, als Schnittstelle letztendlich in andere Systemwelten?
Müller: Der erste Schritt ist, OPC UA als Serverfunktion in die Cloud zu implementieren. Wir sorgen schon dafür, dass die Daten effizient in die Cloud kommen. Für die sogenannte Third-Party-Anbindung, also wie vorher gesagt die Applikation, unterstützen wir bereits verschiedene Formate wie CSV, Excel oder My SQL. Der zweite Schritt wird sein, OPC UA direkt in den Geräten zu implementieren, um zum Beispiel den Applikationen den direkten Zugriff auf die Maschinenebene zu geben.
Wie sicher ist denn ihre Cloud-Infrastruktur?
Müller: Durch unsere Zusammenarbeit und Mitgliedschaft bei Teletrust sind wir da sehr stark involviert und sensibilisiert. Aktuell gibt es Zertifizierungen für die IT-Sicherheit, die ‚Common Criteria for Information Technology Security Evaluation‘ zum Beispiel. Diese Zertifizierung ist für ein mittelständisches Unternehmen eigentlich nicht realisierbar, weil sie mit sehr hohen Kosten verbunden ist. Wir lassen daher regelmäßig Sicherheitsaudits durchführen und mindestens einmal im Jahr externe Penetrationstests durch wechselnde BSI-zertifizierte Unternehmen.
Und diese Unternehmen prüfen nach den BSI-Richtlinien?
Müller: Das Hauptproblem ist die Normenlage. Es gibt die IEC62443, Common Criteria, den BSI-Grundschutz und das ICS-Kompendium vom BSI. Woran sollen sich Anwender halten? Es gibt keine konkrete Vorschrift, sondern nur Empfehlungen. Wenn eine Norm kommen würde, wäre es für Maschinenbauer und Anwender leichter. Deswegen kann man aktuell eigentlich keine ernstzunehmende Zertifizierung machen, die erschwinglich wäre. Und wenn ein Wettbewerber aktuell ein Zertifikat ausstellt, dass Industrie-4.0-zertifiziert ist, dann ist das nichts anderes als ein Marketing-Buzz. Das hat keinerlei rechtliche Grundlage.
Reiter: Security ist für jemanden wie MB connect line, der Fernwartungslösungen betreibt, eine Kernkompetenz. Wenn hier das Vertrauen fehlt, gibt es keine Geschäftsgrundlage. Man darf auch die anderen Aspekte von Security nicht vergessen, die Manipulation. Die verhindern wir mit unserer Technologie ebenso nachhaltig. Es kann niemand in das bestehende Feldbussystem – sprich in meine Fabrik, in meine Anlage – eindringen und die SPS umprogrammieren. Das ist ja auch ein Gefahrenpotenzial, das der Schlüsselschalter nachhaltig unterbindet.
Die Kommunikation im Feld ist die Expertise von Deutschmann Automation. Welche Systeme werden denn zum Start verfügbar sein und wie wollen Sie die zigtausenden von installierten alten Maschinen mit in die Cloud-Szenarien integrieren?
Reiter: Damit haben wir uns intensiv befasst, weil der Nachrüstmarkt sicherlich ein interessanter Einstieg für unser Produkt sein wird. Für die existierenden Anlagen entwickeln wir verschiedene Varianten, allen voran MPI und Modbus. Darüber hinaus stehen zum Start natürlich auch Profibus, Profinet und Ethernet zur Verfügung.
Müller: Später wird es auch eine reine serielle Implementierung geben, für die ganz alten Systeme. Der Fokus liegt in erster Linie auf der Nachrüstung. Wenn jemand wirklich in Industrie 4.0 einsteigen will, dann braucht er in erster Linie Daten aus seinem existierenden Maschinenpark, denn seinen bestehenden Maschinenpark will er dafür sicher nicht erneuern.
Reiter: Deswegen beginnen wir auch mit Bussystemen, die eine Master/Master-Kommunikationen unterstützen. Denn hier braucht man in die bestehende Steuerungstechnik nicht einzugreifen und kann die Gateways einfach aufsetzen. Wenn der Markt ein noch nicht implementiertes Bussystem erwartet, dann können wir auf unseren umfangreichen Fundus zurückgreifen und dieses System nachziehen.
Wie haben Sie die Modularität umgesetzt?
Reiter: Wir setzen hier das Unigate IC ein, das für die verschiedenen Feldbusvarianten verfügbar ist. Softwareseitig sind dann lediglich die Kommunikation zwischen Cloudseite und Feldebene anzupassen.
Sie haben die Datenspeicherung bei Verbindungsstörungen erwähnt. Das setzt eine gewisse Leistungsfähigkeit Ihrer Gateways voraus. Braucht das nicht auch unterschiedliche Gateway-Varianten?
Müller: Unsere klassische Routerplattform erfährt genau unter diesem Aspekt ein Redesign und bekommt unter anderem mehr Ressourcen hinsichtlich Speicher und Prozessorleistung, um die Daten auch länger puffern zu können. Unter anderem wird es einen zusätzlichen Steckplatz für SD-Karten geben.
Gibt es da auch so eine Art Time Out, nach dem das Gateway Alarm schlägt, wenn der Schlüsselschalter nicht wider verriegelt wird?
Müller: Das ist werksseitig vorkonfiguriert und wir empfehlen jedem eine Signallampe über den vorhandenen digitalen Ausgang anzuschließen, die das signalisiert. Aber wie jede überlagerte Alarmierung könnte auch das bei der Erstkonfiguration ausgeschaltet werden.
Reiter: Der Schlüssel gehört grundsätzlich eigentlich nicht ans Gerät.
Und wann sind die Geräte verfügbar?
Reiter: Wir werden Sie auf der SPS IPC Drives 2016 vorstellen. Im zweiten Quartal 2017 soll die Serie dann auf den Markt kommen.
Stefan Kuppinger
(sk)