In modernen Automatisierungsanlagen finden sich häufig unterschiedliche Steuerungen und eine Vielzahl weiterer vernetzter Komponenten. Mit steigender Komplexität der Anlagen wächst bei den Betreibern auch der Wunsch, über schnelle Breitbandverbindungen per VPN zu jeder Tages- und Nachtzeit Fernwartungsaufgaben durchführen zu können. Die bisherigen Verfahren per Modem-Einwahl sind schon aufgrund der eingeschränkten Übertragungsraten und mangelnder Zugangssicherheit nicht mehr zeitgemäß. Cloud-Services versprechen dagegen Fernwartung out-of-the-box und ohne langwierigen Aufbau von Infrastrukturen.
Ein Cloud-Service ist ein spezieller Dienst in einem IP-Netzwerk, der mithilfe des Cloud Computing realisiert wird. Der Begriff Cloud basiert im Grunde darauf, dass IP-Netzwerke – zum Beispiel das Internet oder auch ein Intranet – in Grafiken und Abbildungen meist als (Netzwerk-) Wolke dargestellt werden. Cloud-Service bedeutet demzufolge, dass eine wie auch immer geartete Dienstleistung irgendwo in der (Internet/Intranet-) Wolke zur Verfügung steht. Das einem Cloud-Service zu Grunde liegende Cloud Computing kann man sich als Modell dreier übereinander liegender Schichten vorstellen, auf das die Nutzer jeweils separat über das IP-Netzwerk zugreifen können.
Die unterste Ebene ist die Infrastructure as a Service (IaaS), im Allgemeinen eine virtuelle Rechenzentrums- oder Serverinfrastruktur (Platform Virtualization Environment), die der Anwender über eine entsprechenden Spezialschnittstelle fernbedienen kann. Direkt darüber befindet sich die Platform as a Service (PaaS). Sie besteht aus einer Laufzeitumgebung (Computing Platform) mit Betriebssystem, Webserver, Bibliotheken (Library Support), speziellen Sprachinterpretern oder einer Datenbank, um selbst entwickelte Anwendungen ablaufen zu lassen. Die IaaS- und PaaS-Schichten isolieren einzelne virtuelle Server und Laufzeitumgebungen voneinander und stellen mehr oder weniger ausgefeilte Sicherheits- und Skalierungsmöglichkeiten bereit.
Software as a Service (SaaS) bildet die oberste Ebene. Hier sind die Webanwendungen – in der IT-Welt zum Beispiel Suchmaschinen oder webbasierte E-Mail-Dienste, in der Automatisierungstechnik Fernwartungs- oder Datenloggingportale – zu finden. Sie bieten eine per IP-Netzwerk erreichbare Serviceschnittstelle, über die die Nutzer die jeweiligen Dienste in Anspruch nehmen können. Die SaaS-Schicht ist für den Zugriff durch Anwender oder dezentrale Subsysteme gedacht – im ersten Fall handelt es sich um manuelle, im zweiten um automatische Zugriffe. Ein SaaS-Portal fasst die einzelnen Cloud-Services zusammen, die sich sowohl durch Automatisierungsbaugruppen als auch durch Scada- und sonstige Visualisierungssysteme nutzen lassen.
Je nach Architektur des IP-Netzes spricht man entweder von einer Private, Public oder Hybrid Cloud. Im ersten Fall sind die entsprechenden Cloud-Services nur innerhalb eines privaten IP-Netzwerks – zum Beispiel innerhalb des firmeninternen Ethernet-LANs – erreichbar. Eine Public Cloud dagegen nutzt in der Regel das Internet. Die Hybrid Cloud ist eine Kombination aus beidem.
Für die meisten Unternehmen, die eine moderne Fernwartung aufsetzen möchten, ist eine Portallösung mit zentralem Server und einer Web-basierten Oberfläche zur Konfiguration- und Administration der angeschlossenen Systeme das Mittel der Wahl. Hier gibt es etliche Anbieter von Lösungen, die unterschiedliche Portale und Endgeräte anbieten. Technisch arbeiten diese nach unterschiedlichen Verfahren.
Im Falles des SSV/ECC-Services stellt SSV Software Systems die Bedienung seiner Fernwartungs-Komplettlösung als Managed Service bereit, der je nach Kundenwunsch entweder beim jeweiligen Kunden – also in der Private Cloud – oder in einem Internet-Rechenzentrum mit hoher Verfügbarkeit als Cloud Service ausgeführt wird. In letzterem Falle muss sich der Betreiber wenig Gedanken um das Vorhalten von Serverhardware, Backups oder Klimatisierung machen, da ihm der Anbieter den Betriebsaufwand weitgehend abnimmt.
VPN-Infrastrukturen per Cloud-Services schaffen
Zur Absicherung vieler Fernzugriffslösungen in der Automatisierung wird in erster Linie der Einsatz eines VPNs (Virtual Private Network) in Erwägung gezogen. Besonders anspruchsvoll ist der IPsec- oder SSL-gesicherte Fernzugriff unterschiedlicher Nutzergruppen – zum Beispiel Anlagenhersteller und Betreiber – auf die einzelnen Automatisierungsbaugruppen im Netzwerk einer Anlage. Bereits für die ersten Testanlagen müssen die Beteiligten Internetanschlüsse beschaffen und IP-Adressen festlegen und verwalten. Zudem muss für eine durchgängige Vernetzung der Komponenten in der Anlage gesorgt sein. Um dies zu erreichen, müssen Anwender oft etliche Daten- und Protokollwandler in eine Anlage einfügen, um die gewünschte Datenintegration zu erreichen. Durch den Einsatz von Cloud-Services – das heißt Softwarekomponenten, die auf einem Server innerhalb eines IP-Netzwerks ablaufen – lassen sich solche Integrationen einfacher und kostengünstiger umsetzen.
Um bestehende Komponenten über eine IP-Schnittstelle und eine entsprechende Cloud-Softwareunterstützung – zum Beispiel für die Kommunikation per Modbus – zu erweitern, sind günstige Gateways, wie die IGW/922 und IGW/925 von SSV, eine mögliche Alternative. Die Gateways bieten mit der Unterstützung diverser Protokolle den Servicezugang zu einzelnen Komponenten, stellen eine gesicherte Verbindung zum Portal her, visualisieren über eingebaute Webserver Anlagendaten und Alarmieren im Fehlerfall zudem direkt den zuständigen Mitarbeiter.
Allerdings liefern die Hersteller ihre Anlagen meist mit ein und derselben IP-Konfiguration aus. Dadurch entstehen Probleme, wenn mehrere Beteiligte sich von unterschiedlichen Standorten auf eine Anlage verbinden möchten. Denn in diesem Fall ist eine einfache 1:1-NAT-Umsetzung nicht besonders komfortabel. Auch die hilfreiche Unterteilung von Zugriffsberechtigten und Anlagen in Gruppen wird nicht von allen Anbietern am Markt unterstützt.
Durch entsprechende Cloud-Services wie SSV/ECC lässt sich die gesamte Planung, Realisierung und Administration eines Fernwartungs-VPN vereinfachen. Über das Service-Portal wird ein VPN-Rendezvous-Service mit den entsprechenden Konfigurationen für die Zugriffsrechte zur Verfügung gestellt. Die VPN-Gateways in den einzelnen Anlagen verbinden sich während der Inbetriebnahme mit dem Cloud-Service und erhalten so ihre effektiven Parameter. Anschließend werden sie zu einem Mitglied des jeweiligen VPNs. Für den Administrator existiert im Service-Portal eine spezielle Oberfläche über die er die Zugriffsrechte und einzelne Gateways im Feld verwaltet.
Die VPN-Gateways selbst können durch diese Service-Infrastruktur bereits durch den Anbieter oder VPN-Administrator entsprechend vorkonfiguriert werden, sodass bei der Inbetriebnahme vor Ort nur noch die Verbindungen zum Internet und zu den jeweiligen Feldgeräten herzustellen ist. Bei Gateways, die GSM/GPRS- oder UMTS-Mobilfunknetze nutzen, ist auch dieser Internetzugang ab Werk vorkonfiguriert.
Die Daten sind nicht immer sicher
Wenn Steuerungen und andere Automatisierungsbaugruppen in Zukunft die Cloud als Datenspeicher nutzen, sollten die Betreiber eines solchen Dienstes unbedingt einige Regeln – besonders die deutschen Datenschutzbestimmungen – beachten. Geht es in der Anwendung beispielsweise um personenbezogene Daten – dazu gehören nicht nur Adressen, sondern zum Beispiel auch bestimmte Betriebsdaten, Stromzähler-Messwerte dezentraler Energieanlagen oder Stromtankstellen-Abrechnungen per Internet – sind dem deutschen Recht unterworfene Firmen streng genommen in der Pflicht, diese Daten auf Servern in hiesigen Rechenzentren oder zumindest in Rechenzentren von EU-Ländern mit vergleichbaren Gesetzen zu speichern. Bei der Nutzung von Cloud-Diensten auf Servern in Nicht-EU-Ländern sollten Experten jeden Einzelfall entsprechend prüfen.
Steht der Server zum Beispiel in den USA, könnte man sich noch auf das Safe-Harbour-Abkommen berufen, das die Übertragung von personenbezogenen Daten nach Amerika regelt. Unklar ist jedoch, ob damit in jedem Einzelfall den Anforderungen des deutschen Rechts entsprochen wird. Unabhängig vom Server-Standort ist darüber hinaus zu beachten, dass jedes US-Unternehmen gesetzlich dazu verpflichtet ist, bei einer entsprechenden Anfrage der Regierung gespeicherte Daten umgehend herauszugeben.
Doch auch im EU-Land Schweden gibt es durch das FRA-Gesetz ähnliche Bedingungen, die auch für Fernwartungsportale gelten. Dieses Gesetz aus dem Anti-Terror-Paket befugt die Försvarets Radioanstalt (FRA), die als unabhängige Sondereinheit dem schwedischen Verteidigungsministerium unterstellt ist, die gesamte zivile Internet-, Telefon-, und Faxkommunikationen mit dem Ausland zu überwachen. Einen richterlichen Beschluss benötigt die FRA dafür nicht. Das Gesetz besagt unter anderem, dass jeder Internet Service Provider mit Kabeln, die über die schwedischen Grenzen gehen, der FRA eine komplette Kopie des Datenverkehrs zur Verfügung stellen muss.
Ebenfalls interessant im Zusammenhang mit der Rechtssicherheit von Cloud-Diensten ist das Vorgehen der Behörden im Fall der Datentausch-Plattform Megaupload. Auf den Servern dieser Tauschbörse lagen illegal kopierte Filme, Musik und Programme. Es gab aber auch unzählige Nutzer, die Megaupload ganz einfach als Cloud-Speicherplatz für legale Datenbestände genutzt haben. Der Anteil illegaler Daten, die auf Megaupload gespeichert waren, ist nicht bekannt. Auf Grund der Urheberrechtsverletzungen durch die illegalen Speicherinhalte haben die zuständigen US-Behörden die Tauschbörse im Januar dieses Jahres geschlossen. Dadurch ging auch der Zugriff auf die legal gespeicherten Daten verloren. Einer dieser Nutzer hat nun vor einem US-Gericht Klage eingereicht, um an seine Daten zu kommen. Es ist daher in jedem Fall ratsam, sich genau zu überlegen, wer den Server mit den Cloud-Services betreibt und wo dieser steht.
Neben diesen juristischen Fallstricken gibt es aber noch viele weitere Schwachstellen. So hat das Bundesamt für Sicherheit in der Informationstechnik ein Papier erstellt, das die zehn größten Bedrohungen IT-gestützter Automatisierungstechnik auflistet. Auf dem ersten Platz dieser Liste findet man die ‚Unberechtigte Nutzung von Fernwartungszugängen‘. Weiter hinten in der Liste finden sich ‚Online-Angriffe auf eingesetzte Standardkomponenten (Betriebssysteme, Applikations-Server oder Datenbanken)‘ und ‚Unberechtigter Zugriff auf Dienste und Komponenten‘. Diese Bedrohungsszenarien treffen auf Cloud-Lösungen ganz besonders zu, da der Server mit dem Service-Portal und den einzelnen Cloud-Services sowohl in einer Private als auch in einer Public Cloud relativ einfach zu erreichen ist.
Jörg Neumann
(mf)