170118_etz_Fernwartung_SoIP.doc 1/6 Industrie-Router ermittelt erreichbare Steuerungen 5 10 15 Fernwartung soll nicht nur sicher sein, sie soll auch möglichst viele Anwendungsfälle abdecken. Unter funktionalen Lücken, beispielsweise wenn auf Steuerungen mit unbekannter IP-Adresse nicht zugegriffen werden kann, leiden Rentabilität und damit auch die Akzeptanz. Der Fernwartungsbaukasten um das Remote-Service-Portal mbconnect24 bietet hier neue Möglichkeiten, ohne auf Security zu verzichten. Wenn das Servicepersonal eines Maschinebauers zum Kunden reisen muss, obwohl eine IP-basierte Fernwartungslösung im Einsatz ist, ist das ärgerlich. Beispielsweise muss der SPS-Programmierer bei einer Fernwartungsverbindung über das Internet die genaue IP-Adressen der Teilnehmer kennen. Es kommt in der Praxis aber immer wieder vor, dass an der Anlage eine SPS in Betrieb genommen oder ersetzt werden soll, deren IP-Adresse auf 0.0.0.0. steht oder nicht bekannt ist. Dann benötigt der Servicetechniker entweder Kollegen vor Ort, welche die Grundkonfiguration einrichten können, oder er ist dazu gezwungen, doch selber zur Anlage reisen. Beides ist mit Zeitaufwand verbunden und stört den Workflow eines effizienten Serviceablaufs erheblich. Hintergrund Discovery-Funktionen 20 25 Steuerungen werden häufig Out-of-the-box in die Anlage eingebaut. Das bedeutet: aus der Verpackung nehmen - einbauen - fertig. Das spart Zeit und hat keine hohen Ansprüche an das Personal. Zur Inbetriebnahme haben die SPS-Hersteller in ihren Programmiertools die sogenannten Discovery-Möglichkeiten integriert. Per Broadcast oder Multicast wird das Netzwerk auf vorhandene Steuerung gescannt, um die für die Inbetriebnahme relevanten Steuerungen zu finden. In der Regel sind diese Möglichkeiten jedoch auf das lokale Netzwerk beschränkt. Multicast funktioniert nicht über die Layer3-Kommunikation, auf der geroutete VPN-Verbindungen basieren. SERACHoverIP 30 Mit der neuen Funktion SEARCHoverIP bietet das Remote-Service-Portal mbconnect24 diese Arbeitserleichterung jetzt auch für den Fernzugriff. Sobald der Programmierer über das Portal mit einem Industrie-Router verbunden ist, wird die Multicast-Anfrage an den Router weitergeleitet und dort ausgeführt. Die Antwort wird an die Programmiersoftware zurückgegeben und der Anwender kann die Steuerung auswählen und parametrieren. Damit hat der Anwender über die Fernwartung die selben komfortablen Möglichkeiten wie im lokalen Netz. Neben den S7-Steuerungen
170118_etz_Fernwartung_SoIP.doc 2/6 35 von Siemens werden auch die SPSen von SchneiderElectric, Rockwell, Beckhoff und Pilz unterstützt. Eine weitere Neuheit ist das Extended Routing, das eine Fernwartung und Datenerfassung über verschiedene Netzwerksegmente hinweg erlaubt. Die neue Funktion bietet die Möglichkeit, unterschiedliche Netze über die an der LAN- Schnittstelle angeschlossenen Router zu erreichen. 40 45 50 55 60 65 Treiber für S7-Software Jede manuelle Änderung von Einstellungen und IP-Adresse kostet Zeit und gibt dem Anwender eine Möglichkeit, Fehler zu machen. Aus diesem Grund wurde der mbnet- S7-Treiber entwickelt, mit dem die Industrierouter mbnet optimal in die S7-Software von Siemens integriert werden. Der Treiber klinkt sich direkt in die "PG/PC Schnittstelle ein. Damit ist der Aufbau einer Fernwartungsverbindung ohne Änderung im S7-Projekt möglich. Dank Source-NAT sind am Anlagennetzwerk keinerlei netzwerktechnischen Konfigurationsänderungen erforderlich. Die mbnet-router sorgen im bestehenden Anlagen-Netzwerk für die Übersetzung der IP-Adressen zwischen dem privaten Netz und dem Internet. Eine Rekonfiguration der Geräte wegen des Standard-Gateway-Eintrags oder gar ein Neustart der SPS oder der ganzen Anlage während der Installation sind damit Vergangenheit. Für die Anbindungen von S7-Steuerungen über MPI- und Profibus dienen die Router als RFC 1006-Gateway einschließlich Routing über RFC 1006. Unterstützt werden auch das TIA-Portal V11 bis V13 sowie die neuen S7-1200- und S7-1500-CPUs. Fernwartung von USB-Geräten Mit der Funktion USBoverIP unterstützt das Remote-Service-Portal in Verbindung mit den Industrie-Routern mbnet.mini den Fernzugriff auf USB-Geräte. Damit lassen sich beispielsweise Steuerungen der Hersteller Schneider und Rockwell in moderne Fernwartungskonzepte integrieren ebenso Sensoren, Regler oder Kameras mit USB- Anschluss. Die Komponenten werden mit dem USB-Port eines Industrierouters mbnet.mini verbunden. Über USB over IP werden die selben hohen Sicherheitsstandards erfüllt wie bei direkten IP-Verbindungen. Die Übertragung der Daten erfolgt verschlüsselt über gesicherte Verbindungen. Die Verschlüsselung erfolgt anhand des Sicherheitsprotokolls TLS (SSL). Zugriff haben nur Benutzer, die auf dem zentralen Portal mit der entsprechenden Berechtigung registriert sind. Ist das auch sicher?
170118_etz_Fernwartung_SoIP.doc 3/6 70 75 80 85 90 95 100 Aus der Sicht der Automatisierungstechnik sind die Vorteile und der Nutzen von Fernwartung unbestritten, zumal die hier vorgestellten Funktionen und Dienste die Möglichkeiten der Fernwartung erweitert haben. Unabhängig davon, ob es sich um eine Anlagenstörung, um eine Umrüstung oder schlicht um Bedienfragen handelt, das Servicepersonal des Maschinenbauers kann per Fernwartung innerhalb von Minuten unterstützen. Was im Störungsfall eine tolle Sache ist, kann im Fall eines Missbrauchs zu großen Problemen führen. Verschafft sich jemand in böser Absicht Zugang zu technischen Anlagen, egal ob Produktionsanlagen, Gebäudetechnik oder Infrastruktur, können Schäden in bedeutender Höhe entstehen. Beispielsweise durch die Ausspähung von Rezeptur- und Produktionsdaten oder durch eine Manipulation der Anlage, die zur Zerstörung führt etwa durch Übertemperatur oder mechanische Überlastung. Das Thema Sicherheit und Zugriffsschutz fällt in der Regel in die Zuständigkeit der IT (Informationstechnik). Dort steht die Sicherheit an erster Stelle und damit über der Funktionalität und der Verfügbarkeit. Im Gegensatz dazu steht an einer Produktionsanlage die Verfügbarkeit über allem anderen. Das lässt sich mit einem einfachen Vergleich erklären: Die Steuerung eines Bearbeitungszentrums oder einer Abfüllanlage muss innerhalb von Millisekunden reagieren. Dagegen spielt es an einem Büro-PC keine Rolle, wenn der Benutzer einmal fünf Sekunden auf einen Virenscanner wartet. In der Praxis haben sich Lösungen bewährt, die auf einer zentralen Plattform wie mbconnect24 basieren. Diese erfüllen die Anforderungen der IT und der Automatisierungstechnik. Sowohl das Servicepersonal als auch die Maschinen und Anlagen verbinden sich mit der Remote Service Plattform. Der große Vorteil ist, dass Verbindungen von innen nach außen ohne Änderungen an bereits vorhandenen Firewalls funktionieren. Eingehende Verbindungsanfragen an den Maschinen kommen prinzipbedingt nicht vor. Bei den Kunden bereits eingeführte Sicherheitsstrategien bleiben unberührt. Die Übertragung der Daten erfolgt verschlüsselt über gesicherte VPN-Verbindungen. Als Verschlüsselungsprotokoll kommt TSL (SSL) zum Einsatz. Die Authentifikation erfolgt mittels Zertifikat und zusätzlicher Zwei-Faktor-Authentifizierung. Diese hohen Sicherheitsstandards ermöglichen den Einsatz auch in geschäftskritischen Anwendungen. Wo liegen die Daten?
170118_etz_Fernwartung_SoIP.doc 4/6 105 110 115 120 125 Ein zentraler Punkt, der im Rahmen der vielen Diskussionen um die Sicherheit immer wieder auf den Tisch kommt, ist die Frage, wo die Daten physikalisch gespeichert werden. Wo steht der Server? Wie ist dieser gesichert? Welche nationalen Gesetze gelten am Serverstandort? Hier bietet MB Connect Line mit mbconnect24.virtual eine passende Lösung. Die neue Remote Service Plattform für VMware vsphere kann direkt auf der Server-Infrastruktur des Anwenders betrieben werden. Damit befindet sich kein Tunnel-Endpunkt außerhalb des eigenen Hoheitsgebiets. Zudem sind alle Vorteile einer virtualisierten Umgebung wie Skalierbarkeit, Verfügbarkeit, Performance, Datensicherung und schnelle Wiederherstellung nutzbar. Über verschiedene Lizenzmodelle von Free bis Advanced wächst die Leistungsfähigkeit der Plattform mit den Kundenanforderungen mit. Dank regelmäßiger Sicherheitsupdates ist die Kundenplattform stets auf dem aktuellsten Stand. Mit dieser Lösung hat der Anwender nicht nur die Daten im Haus, er ist auch unabhängig von der Servicequalität externer Dienstleister. Fazit Industrial Security ist keine rein technische Angelegenheit. Auch organisatorische Umstände und der Faktor Mensch spielen eine wichtige Rolle. Allgemein bekannte Abteilungspasswörter müssen ebenso der Vergangenheit angehören wie die kleinen gelben Haftnotizen, welche die Passwörter für jedermann zugänglich machen. Die Anforderungen an Qualifikationen und Ausbildung der Mitarbeiter werden steigen. Während im Produktionsumfeld und in der Automatisierungstechnik grundlegende Kenntnisse in Sachen Security erforderlich sind, werden sich Verantwortliche der IT- Sicherheit, wie der Chief Information Security Officer (CISO), mit den Anforderungen der Produktionstechnik befassen müssen. Und nicht zuletzt sollte dem Management klar sein, dass es Industrial Security nicht zum Nulltarif geben kann. MB Connect Line zeigt den Fernwartungsbaukasten auf allen all about automation-veranstaltungen, auf der Elektrotechnik 2017 in Dortmund und auf der HMI 2017 in Hannover. 9.164 Anschläge 130 Autor: Siegfried Müller, Geschäftsführer, MB Connect Line
170118_etz_Fernwartung_SoIP.doc 5/6 MB_SEARCHoverIP_Aufbau.png Nach dem erfolgreichen Verbindungsaufbau ist SEARCHover IP bereit. 135 MB_SEARCHoverIP_gefunden.png Nachdem die Steuerung gefunden wurde, kann sie aus der Ferne konfiguriert werden.
170118_etz_Fernwartung_SoIP.doc 6/6 140 MB_Produktfamilie.png Das breite Programm an Industrie-Routern und Datenmodems ermöglicht den sicheren Zugriff auf Anlagen, Steuerungen, Prozessparameter und Betriebsdaten. 145 MB_SEARCHoverIP_Schema.png Die Industrie-Router mbnet und mbnet.mini können vorhandene Steuerungen auch ohne bekannte IP-Adresse finden.