Case Study
Sichere Fernwartung: Werkzeughersteller KOMET GROUP schützt vernetzte Produktion
Die Hersteller von über 90 Maschinen wollten sich bei der KOMET GROUP mit unterschiedlichsten Fernwartungslösungen in das Produktionsnetzwerk einwählen. Dem Vorteil einer hohen Maschinenverfügbarkeit standen unwägbare Sicherheitsrisiken und ein immenser Verwaltungsaufwand entgegen. KOMET hat deshalb für alle Maschinenhersteller eine einheitliche, sichere und effiziente Fernwartungslösung eingeführt und dabei eine große Akzeptanz erreicht.
Die KOMET GROUP ist weltweiter Technologieführer von Werkzeugen für hochpräzises Bohren, Reiben, Fräsen, Gewinden und Prozessüberwachung. Der Komplettanbieter von Präzisionswerkzeugen ist mit 50 internationalen Niederlassungen auf allen fünf Kontinenten, darunter 22 Tochtergesellschaften, 40 Service- und Vertriebscenter sowie 10 Produktionsstandorte, weltweit vertreten. "Durch die Fernwartung vonseiten der Hersteller konnten wiederholt ungeplante Maschinenstillstände vermieden werden. Das ist für uns von großem Vorteil. Durch die unterschiedlichen Maschinenhersteller wurden allerdings viele verschiedene Fernwartungstechnologien eingesetzt. Das ist in der Administration sehr aufwendig und auch das Sicherheitsniveau ist nicht immer ausreichend", beschreibt Stephan Rupp die Ausgangssituation beim Thema Fernwartung. Er ist IT-Systemmanager bei der KOMET GROUP und war der Projektleiter für die Einführung einer einheitlichen Teleserviceplattform.
Anforderungen an eine sichere Fernwartung
In den immer stärker vernetzten Produktionsumgebungen gehören Fernwartungszugriffe heute zum Alltag. Gleichzeitig steigen die Risiken durch immer komplexere Cyber-Angriffe, die komplette Produktionsnetzwerke lahmlegen können. "Wir hatten eine Checkliste mit Anforderungen an die Fernwartungslösung erstellt. Für externe Zugriffe auf unser Produktionsnetzwerk haben wir hohe Sicherheitsstandards definiert. Der Zugriff soll auf ein einzelnes Wartungsobjekt beschränkt werden und die Verbindung muss immer von innen nach außen aufgebaut werden. Dabei soll der Maschinenführer die Fernwartung ständig unter Kontrolle haben und die Verbindung jederzeit abbrechen können", fasst der IT-Systemmanager die Anforderungen zusammen.
Die Fernwartungslösung sollte der Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Cyber-Sicherheit entsprechen, wonach jeder externe Zugriff über eine verschlüsselte Verbindung erfolgen und im Detail dokumentierbar sein muss. Das Handling der Fernwartung sollte darüber hinaus möglichst einfach und ein deutschsprachiger Support des Herstellers an mindestens acht Stunden an fünf Tagen in der Woche erreichbar sein. Das Management der Lösung sollte über eine Web-Konsole oder einen Web-Client administrierbar sein und auf dem Support-PC dafür keine gesonderte Anwendung installiert werden müssen.
"Wir hatten Kontakt zu einigen Anbietern und mussten feststellen, dass etliche Konzepte und Lösungsansätze nicht stimmig und schlüssig waren und der Verbindungsaufbau zu umständlich. Gespräche mit Referenzkunden ergaben, dass die Lösungen im Handling oft viel zu kompliziert waren. Wir haben schließlich drei Lösungen in die engere Wahl genommen, wobei uns das Konzept von genua mit einer Rendezvous-Lösung am meisten überzeugt hat", berichtet Stephan Rupp.
Fernwartung ohne einseitige Zugriffe von außen
Die genua GmbH ist ein IT-Sicherheitsspezialist für die Absicherung sensibler Schnittstellen im Behörden- und Industriebereich bis hin zur Vernetzung hochkritischer Infrastrukturen. Alle Produkte werden in Deutschland entwickelt und produziert. Bei der Fernwartungslösung werden keine einseitigen Zugriffe in die Netze des Maschinenbetreibers zugelassen. Alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous Server, der in einer Demilitarisierten Zone (DMZ) des Maschinenbetreibers installiert ist. Zu einem verabredeten Zeitpunkt bauen sowohl der externe Wartungs-Service als auch der Maschinenbetreiber Verbindungen auf. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Durch die Rendezvous-Lösung behält der Betreiber die vollständige Kontrolle über Wartungszugriffe auf Anlagen in seinem Netz. Für die Umsetzung der Lösung von genua muss auf dem Support-PC keine gesonderte Software installiert werden.
Die Lösung ist konform zur BSI-Veröffentlichung zur sicheren Fernwartung. Laut BSI sollte der Fernwartungszugriff möglichst nicht pauschal pro (Sub-)Netz erfolgen, sondern vielmehr feingranular pro IP und Port geregelt werden können. "Dies minimiert die ‚Reichweite‘ von Fernwartungszugängen und beschränkt somit auch die Folgen einer Kompromittierung. Ein möglicher Ansatz ist beispielsweise der Aufbau von 1:1-Verbindungen mittels SSH statt der Kopplung ganzer Netze durch IPsec", so das BSI. Die Fernwartungslösung von genua erlaubt einem Dienstleister einen Zugang nur zu dem von ihm betreuten Wartungsobjekt. Risiken für das Produktionsnetz werden damit deutlich reduziert.
Netzwerksegmente in der Produktion für zusätzliche Sicherheit
Als zusätzliche Absicherung der installierten Anlagen hat KOMET die Produktion in abgestufte Sicherheitszonen segmentiert. "Es gibt noch Maschinen mit einem ungepatchtem Uralt-Betriebssystem, wo auch kein Virenschutz installiert werden darf. Hier greift deshalb ein sehr restriktives Sicherheitsregelwerk", erläutert Sven Heinze vom IT Service Support der KOMET GROUP. Andere Anlagen sind dagegen besser geschützt und werden vom Hersteller laufend aktuell gehalten.
Für die unterschiedlichen Sicherheitsanforderungen wurden von KOMET angepasste Netzwerksegmente mit eigenen Sicherheitsstufen und differenzierten Firewall-Regeln eingerichtet und durch VLANs umgesetzt. Die einzelnen Anlagen sind dadurch konsequent voneinander abgeschottet und vor außerplanmäßiger Einwirkung geschützt.
Roll-out der sicheren Fernwartungslösung über alle Produktionsstandorte
Im Projekt zur Einführung einer einheitlichen Fernwartungslösung wurden neben der IT und der Instandhaltung auch die Anforderungen der Meister und Schichtführer aus der Produktion einbezogen. Daraus entstand ein Lastenheft für die Beschaffung von Maschinen mit Vorgaben für die Lieferanten, was bei einem Remote-Zugang beachtet werden muss. In Schulungen und Workshops wurde schließlich der Umgang mit dem Fernwartungssystem trainiert. "Nach einer anfänglichen Skepsis lautete der Kommentar der Maschinenbediener dann meistens: ‚Das ist aber einfach.‘ Auch die Resonanz der Hersteller war überwiegend positiv", fasst Sven Heinze vom IT Service Support die Reaktionen zusammen. Für die Akzeptanz der Hersteller sind nach den Erfahrungen von KOMET vor allem die einfache Bedienung, das Sicherheitsniveau und der geringe Konfigurationsaufwand entscheidend. "Nach den guten Erfahrungen mit der Lösung hat ein Hersteller das Konzept auch für seine eigenen Maschinen übernommen", so Sven Heinze.
Ein wichtiges Element des einheitlichen Fernwartungskonzepts war die Möglichkeit zur identischen Nutzung durch alle weiteren Produktionsstandorte der KOMET GROUP. Die Verteilung sollte von der deutschen Zentrale aus erfolgen, ohne aufwendige Vor-Ort-Anpassungen. Dies wurde durch einen automatisierten Installationsprozess realisiert. "Nachdem die standardisierten Fernwartungskomponenten im Standort aufgestellt waren, haben wir die Konfigurationsdatei erstellt und per sicherer VPN-Übertragung an den örtlichen IT-Mitarbeiter geschickt. Er hat die Datei auf einen USB-Stick übertragen und damit einen automatisierten Installationsprozess eingeleitet. Der Vorteil ist, dass der Mitarbeiter vor Ort keine Detailkenntnis über den Konfigurationsprozess benötigt", so der IT-Systemmanager.
Nach erfolgreicher Installation wird bei der ersten Wartungsverbindung über das zentrale Management automatisch überprüft, ob die Software und die Maschinendaten noch aktuell sind. "Durch das zentrale Management sind Aktualisierungen und die Integration weiterer Maschinen sehr gut administrierbar. Wir nutzen das Berechtigungs- und Autorisierungskonzept, um den internen Maschinenführern und Meistern sowie den externen Servicekräften nur Zugriff auf die Anlagen in ihrem Zuständigkeitsbereich zu geben. Das erleichtert das Handling und erhöht nochmals die Sicherheit", ergänzt der IT-Systemmanager. Die Berechtigungen können nach Standorten, Abteilungen und Aufgaben differenziert vergeben werden. Lediglich die zentrale IT und Instandhaltung haben Zugriff auf alle Maschinen.
Hohe Sicherheit und Verfügbarkeit in der Produktion
Besteht der Bedarf für einen Wartungszugriff, startet der Maschinenbediener oder Schichtmeister auf einem Terminal an der Anlage die Fernwartungsapplikation mit einem Startknopf. Sobald auch der Service-Mitarbeiter des Herstellers die Applikation gestartet hat, erscheint die Meldung "Verbindung aufgebaut". Für den Zugriff auf ihre Maschine können die Hersteller spezifische Viewer oder bspw. eine S7-Steuerung einsetzen.
Zur Dokumentation hat der Maschinenführer die Option, bei Bedarf einen Videostream zu starten und eine Aufzeichnung des Wartungszugriffs zu erstellen. Der externe Servicemitarbeiter erhält dann den Hinweis "Achtung Fernwartung wird aufgezeichnet". "Neben der Protokollierung des Zugriffs in einer normalen Log-Datei kann die Videoaufzeichnung aus Sicherheits- und Haftungsgründen manchmal sinnvoll sein", so Sven Heinze.
Das neue Fernwartungskonzept ist bei KOMET inzwischen seit zwei Jahren im Einsatz. Für Stephan Rupp hat sich das Konzept aus Rendezvous Server, VLANs und Berechtigungs- sowie Autorisierungskonzept gut bewährt: "Durch die sichere Fernwartung konnten die Verfügbarkeit der Maschinen verbessert und der Support-Aufwand in der IT reduziert werden. Zudem ist die Produktion jetzt deutlich besser abgesichert und eine Network Access Control Appliance regelt den Netzwerkverkehr. Wird der Standort einer Maschine verändert, zieht das VLAN mit um. Will ein bisher unbekanntes Device darauf zugreifen, wird es automatisch in ein Quarantäne-VLAN verschoben und kann ggf. eingeschränkte Gastrechte zugeteilt bekommen."
Auch die Erwartungen von KOMET an den Support wurden erfüllt, bestätigt der IT-Service-Support-Mitarbeiter: "Die Lösung wird kontinuierlich weiterentwickelt und genua ist dabei offen für unsere Anregungen. Wenn wir Unterstützungsbedarf haben, erwarten wir eine schnelle Hilfe durch Produktspezialisten. Das klappt aus unserer Sicht wirklich gut."
Ausblick: Geplante Erweiterungen des Service-Angebots
KOMET nutzt die Erfahrungen mit der Fernwartungslösung auch für die Erweiterung des eigenen Service-Angebots. So verwendet das Unternehmen die Fernwartungslösung für das Angebot einer Prozessüberwachung der eigenen Präzisionswerkzeuge. Darüber lässt sich bspw. der Werkzeugverschleiß kontrollieren, ein Werkzeugbruch oder fehlendes Werkzeug feststellen. Neben der Zustandsüberwachung ermöglicht dies auch Fertigungsoptimierungen, die Überwachung des Schwingungsverhaltens oder ein Energie-Monitoring.