Case Study
Rittal: Schluss mit Cyber-Attacken – sichere Fernwartung für Industrie 4.0
Das Rittal-Werk in Haiger ist ein Pilotprojekt für die Umsetzung von Industrie 4.0 mit einer digitalisierten Auftragsabwicklung. Die Maschinen und Handling-Systeme kommunizieren untereinander und mit übergeordneten Leitsystemen. Mithilfe wissensbasierter Systeme werden Ausfallzeiten verringert, Wartungen vorausschauend geplant und Unterbrechungen des Produktionsprozesses minimiert. Die Hersteller der Anlagen können online auf ihre Systeme zugreifen, Störungen beseitigen und schnelle Supportservices bereitstellen.
Hohe Sicherheitsanforderungen
Durch die komplette Vernetzung der Anlagen in der Smart Factory wurden die Anforderungen an die Cyber-Sicherheit allerdings deutlich erhöht. „Wir wollten sicherstellen, dass ein Online-Zugriff niemals von außen aufgebaut werden kann, sondern immer eine Freischaltung von innen erfordert. Außerdem sollte immer nur das dafür freigegebene Gerät erreichbar sein. Eine Verbindung mit anderen Geräten im Netz darf nicht möglich sein“, nennt Fabian Friedrich, IT-Systembetreuer bei Loh Services, einige der erweiterten Security-Anforderungen im neuen Rittal-Werk. Loh Services ist die zentrale Dienstleistungsgesellschaft der Friedhelm Loh Group, zu der auch Rittal gehört.
„Im alten Werk hatte jeder Hersteller sein eigenes Fernwartungssystem für den Remote Service mitgebracht. Das war nicht mehr überschaubar und sehr aufwendig in der Administration“, so der IT-Systembetreuer. Die Systeme hätten oftmals völlig intransparent gearbeitet. Die Mitarbeiter konnten deshalb nicht kontrollieren, wann Eingriffe erfolgten, wie lange sie dauerten und was getan wurde. „Einige wollten sich dauerhaft verbinden. Das war so nicht akzeptabel und entsprach auch nicht den neuen Sicherheitsanforderungen“, beschreibt Friedrich die Ausgangssituation für das neue Werk.
Die Dienstleister von Loh Services untersuchten, welche Fernwartungssysteme für die erhöhten Sicherheitsstandards unter Industrie 4.0 geeignet sind. Als die wichtigsten Anforderungen nennt der IT-Systembetreuer: „Die Hoheit über jeden Fernwartungsvorgang sollte bei uns liegen und jeder Zugriff sollte vorher von uns freigegeben werden müssen.“ Wichtig seien auch die Funktionalität einer Firewall und die Möglichkeit, die Fernwartung zu überwachen, gewesen. Im Vergleich der Fernwartungslösungen konnte der Hersteller genua durch den hohen Sicherheitsstandard und die gute Bedienbarkeit seiner Lösung genubox überzeugen.
Keine Einwahl von außen in das Netz
Bei der Fernwartungslösung genubox werden keine einseitigen Zugriffe in die Netze des Anlagenbauers zugelassen. Alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous Server, der in einer Demilitarisierten Zone (DMZ) neben der Firewall von Rittal am Übergang LAN – Internet installiert ist. Zu einem verabredeten Zeitpunkt bauen sowohl der externe Wartungsservice als auch der Anlagenbauer Verbindungen auf. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Durch die Rendezvous-Lösung behält der Anlagenbauer die vollständige Kontrolle über Wartungszugriffe auf Anlagen in seinem Werk.
Die Lösung ist konform zu den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur sicheren Fernwartung. Laut BSI sollte der Fernwartungszugriff möglichst nicht pauschal pro (Sub-)Netz erfolgen, sondern vielmehr feingranular pro IP und Port geregelt werden können. Dies minimiere die „Reichweite“ von Fernwartungszugängen und beschränke somit auch die Folgen einer Kompromittierung. Ein möglicher Ansatz sei bspw. der Aufbau von 1:1-Verbindungen mittels SSH statt der Kopplung ganzer Netze durch IPsec.
Security-Lösungen müssen praxistauglich sein
Die Fernwartungslösung von genua hat sich für die Dienstleister von Loh Services als besonders sicher und praxistauglich bewährt. Wenn eine Fernwartung eingeleitet werden soll, gibt der Schichtführer oder der jeweils Verantwortliche einer Maschinenlinie den Zugriff frei. Die Fernwartung ist generell auf eine Stunde begrenzt, kann aber individuell verlängert werden. Bei Bedarf wird der Zugriff auch per Video aufgezeichnet, um rückwirkend alle Aktionen der Dienstleister nachvollziehen zu können. „Die Weboberfläche ist auch für Bediener ohne Erfahrung geeignet. Fehlbedienungen sind kein Problem, weil Änderungen an den Einstellungen höhere Benutzerberechtigungen erfordern“, erläutert Fabian Friedrich.
Bei den Herstellern gab es zunächst viele Vorbehalte gegen eine für sie fremde Lösung – sie konnten aber überzeugt werden. Der IT-Systembetreuer schickt den Herstellern eine vorbereitete Konfiguration für die Fernwartung ihrer Maschine und einen Link zum Download der Einwahl-Software bei genua. „Wenn sie die Konfiguration für ihre Maschinen eingelesen haben, sind sie bereits fertig. Das dauert keine 10 Minuten“, fasst Friedrich die Vorbereitungen zusammen. Änderungen in der Konfiguration kann er in genucenter, einer Central Management Station, umsetzen. Die mehr als 100 genuboxen bei Rittal werden über die Management Station zentral administriert. „Die Installation der genuboxen war recht einfach. Wir haben jetzt alle Standorte im Blick, können Filterregeln auch standortübergreifend ändern und Updates auf alle genuboxen verteilen“, erläutert der IT-Systembetreuer. Wenn es bei der Fernwartungs-Session Probleme geben sollte, sehe er sofort, ob bspw. die IP des Rechners geblockt wurde. Dann könne er diese IP in die Filterregel von genubox aufnehmen. „Das ist gut gelöst und einfach umsetzbar“, zeigt sich Friedrich zufrieden mit der Administration.
Ein höherer Sicherheits-Level erreicht
Im Produktionsnetz des neuen Rittal-Werks sind durch genubox inzwischen 72 getrennte Netzsegmente eingerichtet worden. Die abgeschotteten Subnetze schützen sowohl die Maschinen der Hersteller als auch das übergeordnete Produktionsnetz gegen unerwünschte Zugriffe. Innerhalb ihres Subnetzes können die Hersteller relativ frei agieren. Gleichzeitig behält der Anlagenbauer Rittal die Kontrolle und legt über die Firewall-Regeln und durch abgestufte Benutzerrechte fest, wer wann und unter welchen Bedingungen auf sein Netz zugreifen darf. Jede Verbindung wird dokumentiert und ist jederzeit nachvollziehbar. So lässt sich auch überprüfen, welche Zielsysteme erreicht werden sollten. Unerlaubte oder böswillige Attacken werden geblockt und aufgezeichnet.
Bildquelle: © Rittal GmbH & Co. KG