Case Study
Hersteller Gerhard Schubert setzt auf hochsichere Vernetzung
Sollen Maschinen für Datenanalysen in der Cloud oder Fernwartungs-Service vernetzt werden, sind die Sicherheitsbedenken groß. Zu Recht, sagt der Verpackungsmaschinenhersteller Gerhard Schubert. Deshalb setzt der Hersteller bei der Vernetzung von Maschinen auf eine Sicherheitstechnik, die höchste Schutzanforderungen erfüllt und auch in sensiblen staatlichen Bereichen eingesetzt wird.
Ralf Schubert, Geschäftsführer des Verpackungsmaschinenherstellers Gerhard Schubert GmbH, berichtet, dass Verpackungsmaschinen immer flexibler werden, denn die Verpackungen müssen schneller und leichter veränderbar sein. Deshalb wurde die Programmierung der Schubert-Maschinen vereinfacht und vieles automatisiert. Außerdem steigen die Erwartungen der Betreiber an die Effizienz in der Produktion: „Wir haben in unserer Steuerung die Berechnung der Gesamtanlageneffektivität mit OEE-Kennzahlen (Overall Equipment Effectiveness) integriert. Dabei zeigt sich, dass viele Anlagen nicht optimal eingesetzt werden. Hier sehen wir Service-Potenzial.“
Der Geschäftsführer sieht einen Unterstützungsbedarf für seine Kunden beim Betrieb der Maschinen. Deshalb hat der Hersteller das Prozess-Management seiner Anlagensteuerung „Grips“ ausgebaut und mit der „Grips.world“ ein eigenes Kundenportal in der Cloud entwickelt. Als nächsten Schritt will der Maschinenbauer den Cloud Service ausweiten, um u. a. die Performance der Maschinen zu optimieren. Für einen solchen Service ist eine laufende Zustandsüberwachung in Echtzeit notwendig und es müssen viele Daten über die laufenden Prozesse ausgewertet werden. Dazu wird innerhalb der Grips.world ein digitaler Zwilling der Maschine als virtuelles Abbild eingerichtet.
Ralf Schubert benennt mit Predictive Maintenance ein weiteres Service-Thema, das für die Kunden sehr wichtig ist. Der Maschinenbauer hat bereits 18 typische Use Cases für den Verschleiß von Maschinenkomponenten definiert. Um zu erkennen, wann besonders beanspruchte Teile ausfallen, müssen allerdings viele Daten über einen längeren Zeitraum ausgewertet werden. „Diese Daten kann uns die Maschine laufend übermitteln. Das akzeptieren unsere Kunden aber nur, wenn sie der Sicherheit vertrauen können“, so der Geschäftsführer.
Höhere Sicherheitsanforderungen an die industrielle Fernwartung
Die Betreiber von Maschinen und Anlagen sind bei Störungen darauf angewiesen, dass die Hersteller sofort reagieren. Das ist ohne eine Fernwartungslösung heute nicht mehr sinnvoll und effizient realisierbar. Zudem sind weitere Service-Leistungen wie Predictive Maintenance ohne eine Online-Verbindung nicht möglich. Dreh- und Angelpunkt ist dabei die Sicherheit dieser Verbindungen.
„Cyber-Angriffe auf die Fertigung können sehr schnell sehr teuer werden“, weiß Ralf Schubert und nennt die Attacken des Schadprogramms WannaCry auf Windows-Betriebssysteme im Mai 2017 als Beispiel. „Die Maschinenhersteller waren sich sicher, dass ihre Anlagen gut geschützt sind. Wenn Linien dann nach einem solchen Angriff trotzdem stillstehen, kann das für ein Unternehmen schnell existenzbedrohend werden. Das darf nicht passieren.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hebt in seiner Analyse der „Fernwartung im industriellen Umfeld“ hervor, dass sich die „Produkteigenschaften einzelner Lösungen teilweise signifikant unterscheiden“. Das BSI hat deshalb generische Anforderungen für industrielle Fernwartung gemäß dem Stand der Technik formuliert. Die Vorgaben betreffen die Architektur, die sichere Kommunikation, die Authentisierungsmechanismen und weitere organisatorische Anforderungen. Der Verpackungsmaschinenhersteller Schubert hat diese Sicherheitsanforderungen als Voraussetzung für die Vernetzung der eigenen Maschinen definiert und auf ein neues Sicherheitskonzept gesetzt.
Sicherheit ist eine Frage des Vertrauens. genua ist ein Unternehmen der Bundesdruckerei-Gruppe und liefert auch die Sicherheitstechnik für Banken, Versicherungen und besonders sensible staatliche Sicherheitsbereiche. Wir haben mit genua bereits gute Erfahrungen gemacht mit den Security-Lösungen für unsere IT.
Ralf Schubert, Geschäftsführer, Gerhard Schubert GmbH
„Wir waren mit den verfügbaren Sicherheitslösungen nicht zufrieden und haben deshalb einen vertrauenswürdigen Security-Spezialisten als Partner gesucht.“ So entstand das Cloud Edge Gateway „Genua-Schubert-Gate“ (GS.Gate). Es ist eine gemeinsame Entwicklung des IT-Sicherheitsexperten genua GmbH und von Schubert System Elektronik, einem Tochterunternehmen der Schubert-Gruppe, das sich auf die industrielle Computertechnik spezialisiert hat.
Die genua GmbH ist ein deutscher Spezialist für IT-Sicherheit. genua sorgt für die Absicherung sensibler Schnittstellen im Industrie- und Behördenbereich bis hin zur Vernetzung hochkritischer Infrastrukturen. Alle Produkte werden in Deutschland entwickelt und produziert und die wichtigsten regelmäßig durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und zugelassen.
Security by Design für neu entwickeltes Cloud Edge Gateway
Das Besondere an GS.Gate ist das Security by Design, denn es bietet in einer industrietauglichen Hardware zwei getrennte Bereiche: einen Edge Computer und ein Sicherheits-Gateway. Der Edge Computer wird vom Sicherheits-Gateway strikt abgeschottet. Auf der untersten Ebene von GS.Gate läuft ein Microkernel-Betriebssystem, das die getrennten Bereiche erzeugt. Die separierten Bereiche verfügen über jeweils eigene Betriebssysteme sowie fest zugewiesene Hardware-Ressourcen.
Im Edge Computer können Maschinenhersteller oder -betreiber mittels der Container-Technologie Docker ihre individuelle Anwendung installieren. Die Anwendung ruft über gängige Schnittstellen wie LAN, IO-Link, Gbit-Ethernet oder Industrial Ethernet Zustands- und Leistungsdaten von der Maschine ab und führt eine Vorverarbeitung der Daten durch. Dabei werden aus der gesamten Datenmenge die Informationen herausgefiltert, die für die Data-Analytics-Auswertungen gebraucht werden. Nur diese Daten müssen zur Auswertung bspw. in die Cloud übertragen werden. Für die ausreichende Rechenleistung sorgt ein Intel-Xeon-E5-Prozessor.
Im Sicherheits-Gateway befinden sich eine Firewall sowie die Remote-Access-Komponente für sichere Fernwartungszugriffe. Über die Firewall werden die gewonnenen Informationen sicher verschlüsselt zu den eigenen Servern oder zur Cloud weitergeleitet. Dabei schützt die Firewall den Edge Computer und die damit vernetzte Maschine vor Cyber-Attacken.
Nach außen in Richtung Netzwerk ist nur das speziell gehärtete Sicherheits-Gateway sichtbar. Die Sicherheitskomponenten werden durch regelmäßige Updates auf dem neuesten Stand gehalten und sind somit gegen aktuelle Bedrohungen gewappnet. Hinter diesem Schutzschirm kann der Anwendungsbereich des Edge Computers ohne ständige Eingriffe durch Updates und Patches betrieben werden. Einmal eingerichtete und funktionierende Prozesse müssen nicht angefasst und geändert werden.
Die Fernwartungsfunktionen wurden ebenfalls über das Sicherheits-Gateway realisiert. Dabei ist eine Einwahl von außen nicht möglich. Der Maschinenbediener muss die Verbindung zunächst über einen Hardware-Schalter freischalten. Eine Status-LED zeigt an, ob der Fernwartungsmodus aktiviert ist.
Cloud Edge Gateway hat sich als industrietauglich bewährt
Der Verpackungsmaschinenhersteller Gerhard Schubert ist der erste Anwender des Cloud Edge Gateway. Zunächst wurden drei Testmaschinen mit GS.Gate ausgerüstet. Das Gateway wurde jeweils per Hutschiene im Schaltschrank montiert. Übertragen wurden je nach Erfordernis in Zeitabständen zwischen 20 Millisekunden und einer Minute bis zu 30 Datensätze zum Zustand der Maschine sowie weitere Informationen wie Fehlermeldungen oder die Seriennummern von Komponenten.
„GS.Gate hat sich im Industriealltag bewährt. Jetzt setzen wir die laufende Zustandsüberwachung in Echtzeit um und das auf einem neuen Sicherheitsniveau“, fasst Ralf Schubert die Erfahrungen zusammen. Künftig werden alle Schubert-Maschinen mit dem Cloud Edge Gateway ausgestattet. Das Gateway lässt sich herstellerunabhängig an Maschinen anbinden und wird von Schubert System Elektronik und genua für andere Maschinenbauer und -betreiber aktiv vermarktet.
Über die Gerhard Schubert GmbH
Die Gerhard Schubert GmbH entwickelt modulare Verpackungsmaschinen und bietet Service-Leistungen für verschiedenste Branchen – von Pharma und Kosmetik über Getränke, Nahrungsmittel und Süßwaren bis hin zu technischen Artikeln. Das Familienunternehmen aus Crailsheim in Baden-Württemberg setzt bei seinen digitalen, roboterbasierten Verpackungsmaschinen auf ein Zusammenspiel von einfacher Mechanik, intelligenter Steuerungstechnik und skalierbarer Modularität. Der Maschinenbauer hat sich über den Sicherheitsstandard ISO 27001 zertifizieren lassen, um die eigenen Sicherheitsstandards zu verbessern und die Awareness der Mitarbeiter zu erhöhen.