Ein Unternehmen, das über Werke in verschiedenen Regionen der Welt verfügt, steht bei der Modernisierung seiner Fertigung vor einigen Herausforderungen. Ziele wie eine höhere Produktivität, neue Herstellungsprozesse oder die automatisierte Verknüpfung der Produktion mit einem digitalen Marktplatz lassen sich ohne Einbindung der einzelnen Maschine oder sogar jedes Produkts in ein modernes industrielles Kommunikationskonzept nicht umsetzen. Zu groß sind hier die Anforderungen an immer mehr und detailliertere Daten, damit Potenziale im Bereich der Prozessoptimierung, Energieeffizienz oder Verfügbarkeit gehoben werden können. Deshalb bietet es sich an, die Lieferanten der Maschinen und Anlagen als Know-how-Träger über sichere Fernwartungszugänge an der Bewältigung der Herausforderungen zu beteiligen.
Kontrolle über die
Infrastruktur behalten
Aufgrund der unterschiedlichen Konzepte der Maschinen- und Anlagenbauer führt das beim Betreiber jedoch zu einer Vielzahl von Konfigurationen und unabgestimmten Kommunikationsparametern. Ein solches Szenario erschwert es, die Kontrolle über diese sensible Infrastruktur des Unternehmens zu behalten. Um die daraus resultierenden Aufgaben zu meistern, stellen die Betreiber Fachpersonal ein, das sich aus Sicht der Fertigung um die Belange der Informationstechnologie kümmert. Hier wird häufig zwischen der IT des Büroumfelds und der OT (Operation Technology) des Produktionsbereichs unterschieden.
Die Abgrenzung ergibt sich aus den Anforderungen der jeweiligen Unternehmensteile. Während in der IT beispielsweise ein kurzer Kommunikationsausfall meist tolerierbar ist, zieht dies in der Fertigung erhebliche Kosten nach sich. Zudem hat die Datenübertragung in den Produktionshallen oftmals einen Einfluss auf die Maschinensicherheit. Ferner kommt der Echtzeit der Kommunikation eine große Bedeutung zu, wenn es um die präzise Abstimmung von Prozessen geht, zum Beispiel das punktgenaue Stoppen eines Verfahrwagens nach dem Auslösen eines Endschalters.
Solche Herausforderungen lassen sich in einer weltweit herstellenden Smart Factory durch eine auf die Belange der OT angepasste Architektur für einen globalen und sicheren Fernzugang lösen. Sie setzt sich aus industriellen Netzwerkkomponenten – wie Router und Switche – zusammen, die sowohl vor Ort in der Fabrik als auch aus der Unternehmenszentrale überwacht und gesteuert werden können.
VPN-Tunnel per Schalter freigeben
Ausgehend von einer Risikobetrachtung, beispielsweise gemäß IEC 62443, erweist sich die Einteilung der Infrastruktur in Zonen als sinnvoll, die durch eine Firewall voneinander getrennt werden. In der Fertigung findet anschließend eine weitere anlagen- und funktionsbezogene Segmentierung der Infrastruktur statt. So lässt sich die Ausbreitung eines möglichen Störfalls auf einzelne Zonen begrenzen. In den Routern hinterlegte Regeln sorgen dafür, dass nur ausgewählte Kommunikationsbeziehungen zwischen den Anlagen bestehen, was das Angriffs- und Störpotenzial entsprechend reduziert. Jede der Zonen wird durch einen VPN-Router FL mGuard RS 4004 TX/DTX VPN abgesichert.
Die speziell für industrielle Anwendungen entwickelten Geräte bieten dem Instandhalter über digitale Ein- und Ausgänge die Möglichkeit, einen Kommunikationskanal für den betreffenden Maschinen- oder Anlagenbauer freizugeben und die Anlage trotzdem vor unbefugten Zugriffen zu schützen. Über einen einfach am Gerät angebrachten Schalter wird dazu ein VPN-Tunnel freigeschaltet. Eine LED meldet gleichzeitig den Status der Verbindung zurück, sodass sich das Risiko einer unbeobachteten Öffnung der Kommunikationsverbindung verringert. Unterhalb der Firewall lassen sich zum Beispiel durch die Switches FL Switch 22xx redundante Netze für die Maschinenzugänge aufbauen, um eine stabile Datenübertragung sicherzustellen.
Service für die gesamte Netzwerkplanung
Der VPN-Router lässt sich lokal über die Software FL mGuard Device Manager verwalten. Ist allerdings eine globale Lösung zum Management der Verbindungen umzusetzen, stellt der mGuard Secure Remote Service eine schlüsselfertige VPN-Infrastruktur zur Verfügung. Über eine intuitiv bedienbare Weboberfläche koppeln sich die Servicetechniker des Maschinen- und Anlagenbauers dabei mit Zustimmung des Betreibers schnell und sicher an dessen Applikation an. Die VPN-Technologie mit dem bewährten IPsec-Protokoll sorgt für die Vertraulichkeit, Authentizität und Integrität sämtlicher Daten, die zwischen den über den mGuard Secure Remote Service verbundenen Teilnehmern ausgetauscht werden. Die bei AWS gehostete Fernwartungslösung entspricht den höchsten europäischen Datenschutzstandards (DSGVO) und ist immer aktuell.
Wilhelm Scholle
Leiter Industriemanagement des Vertical Markets Factory Automation, Phoenix Contact Electronics GmbH, Bad Pyrmont
Bild: Phoenix ContactBegleiter für sichere Netzwerkplanung
Als zertifizierter Anbieter stellt Phoenix Contact nicht nur Komponenten und Lösungen für die zugriffssichere Automation bereit. Vielmehr begleitet der Lösungsanbieter die Planer von international produzierenden Unternehmen auch während der gesamten sicheren Netzwerkplanung. Das Leistungsspektrum reicht von der Spezifikation und Bedrohungsanalyse über das Risikomanagement bis zur Implementierung der Lösung, die neben der rein technischen Ausführung eines sicheren Fernzugriffs ebenfalls die prozessuale Absicherung umfasst.
