Fernwartung – Cockpit für die Industrie 4.0
Veröffentlicht am 02.11.2018
Vernetzung ist das Gebot der Stunde. Mit ihr steigt auch der Bedarf nach Fernwartung von Industrieanlagen und Maschinen. Matthias Ochs, Geschäftsführer der genua GmbH erklärt, welche Vorteile die Fernwartung im Zeitalter der Industrie 4.0 bringt und wie man sich vor Cyber-Risiken effektiv schützt.
Durch das Internet der Dinge und Maschine-zu-Maschine-Kommunikation wachsen Produktionsstätten und Lieferketten weltweit zusammen. Aufgrund der Entwicklung hin zu immer komplexeren und stärker vernetzten Infrastrukturen steigt auch die Bedeutung der Fernwartung. Firmen lassen IT-Systeme, Maschinen und sogar komplette Industrieanlagen aus der Ferne warten – rund um die Uhr und von jedem Ort aus. In der Vergangenheit fuhr ein Techniker für Wartungsroutinen oder bei Maschinenausfällen zum Kunden.
Beides – sowohl der Reiseaufwand als auch ein kompletter Maschinenausfall – waren zeit- und kostenintensiv. Dank Fernwartung über das Internet gehören solche Aufwände mehrheitlich der Vergangenheit an.
Mit der vernetzten Produktion ändert sich auch das Grundprinzip der Fernwartung: Anstatt auf einen Fehler zu reagieren, werden Defekte und Ausfälle erkannt, bevor sie tatsächlich eintreten. Für eine solche vorausschauende Instandhaltung – die sogenannte Predictive Maintenance – sind Produktionsanlagen und Maschinenparks mit Sensoren ausgestattet, die sämtliche Prozess- und Maschinendaten erfassen. Diese Daten werden durch Algorithmen ausgewertet und entweder an Servicestellen oder direkt an die Hersteller übermittelt. Intervalle für Wartungsarbeiten, umfangreiche Inspektionen oder das Ersatzteilmanagement lassen sich so wesentlich besser planen.
Die Cyber-Risiken wachsen
Doch Fernwartung steigert nicht nur die Effizienz und Lebensdauer von Anlagen – sie macht Werke und Betriebsstätten auch anfällig für gezielte Cyber-Angriffe. Denn jeder Netzzugang für externe Fernwartungszugriffe ist ein potenzieller Angriffspunkt für Missbrauch und Sabotage. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnet Jahr für Jahr einen zunehmenden Missbrauch von unzureichend gesicherten Fernwartungszugängen und hat sie zur größten Cyber-Bedrohung im industriellen Umfeld hochgestuft – mit drastischen Folgen: Jeder Maschinenausfall oder Produktionsstillstand kommt Unternehmen teuer zu stehen. Wie also können Unternehmen Fernzugriffe über das Internet sicher gestalten? Dazu müssen drei wesentliche Dinge beachtet werden:
1. Für das Thema sensibilisieren
Schnittstellen zur Fernwartung sind bei veralteten Anlagen oder bei fehlenden Sicherheitsmechanismen Einfallstore für Hacker. Solche unzureichend gesicherten Systeme lassen sich schon durch Suchmaschinenabfragen aufspüren und sogar über ein offenes Interface steuern. Daher muss grundsätzlich die Wahrnehmung im Hinblick auf mögliche Bedrohungen geschärft werden. Hier sind vor allem die Maschinenbauer und andere Produzenten gefragt. Zudem ist es unumgänglich, für das Zusammenspiel von Fernwartungssystemen und Maschinen Kunden intensiv zu beraten und Mitarbeiter zu schulen.
2. Technische Mindeststandards für die Fernwartung etablieren
Zur sicheren Fernwartung gehören eine stark verschlüsselte Kommunikation, ein entsprechendes Nutzer- und Berechtigungskonzept sowie eine Zwei-Faktor-Authentifizierung. Eine Firewall sollte die zu betreuende Anlage von anderen Systemen im Produktionsnetz getrennt halten. Im Verbund stellt dies sicher, dass nur autorisierte Personen Zugriff auf bestimmte Bereiche erhalten, und das auch nur in dem Maße, wie es für die Wartungsarbeiten erforderlich ist. Alle Systeme sollten zudem regelmäßig remote mit Sicherheits-Updates versorgt werden, damit sie gegen die aktuellen Bedrohungen gewappnet sind. Für unbefugte Dritte wird es dadurch schwieriger, Attacken zu starten, Schadprogramme einzuschleusen oder in sensible Produktionsbereiche einzudringen.
3. Vollständige Kontrolle behalten
Um keine einseitigen Zugriffe zuzulassen, ist es sinnvoll, die Fernwartung über einen speziellen „Rendezvous-Server“ durchzuführen. Dieser ist in einer sogenannten demilitarisierten Zone (DMZ) installiert, die außerhalb des Kundennetzwerks liegt – während andere Bereiche abgeschirmt bleiben. Dorthin bauen der externe Dienstleister und der interne Auftraggeber jeweils eine verschlüsselte Leitung auf. Erst wenn es so sprichwörtlich zum „Rendezvous“ kommt, kann der Techniker auf die vom Kunden freigegebenen Bereiche der Anlage zugreifen. Dabei lassen sich vom Kunden alle Wartungsaktionen in Echtzeit mitverfolgen, zusätzlich wird alles aufgezeichnet. Dadurch ist jederzeit nachvollziehbar, wer wann auf welche Systeme zugegriffen hat und was ausgeführt wurde.
1 https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_029.pdf?__blob=publicationFile&v=6