|
Success Story
Schlüssiges Sicherheitskonzept für den Teleservice
Der Teleservice im Maschinen- und Anlagenbau ist sicherer und effizienter geworden. Maschinenbauer beschreiben, wie sie Modems durch breitbandige Internetverbindungen mit sicherer VPN-Technik ersetzen und mit welchen Konzepten eine moderne Fernwartung funktioniert. |
  |
ILLIG Maschinenbau, der Systemlieferant und Hersteller von Thermoformmaschinen und Anbieter ganzheitlicher Lösungen für die Verpackungsindustrie, hat bereits seit Jahren Erfahrungen mit der Fernwartung über Modems. Zunächst wurde dieser Service auf Wunsch einzelner Kunden angeboten. Dabei stellte sich bald heraus, dass auf diese Weise eine Vielfalt an Einzellösungen mit hohem Pflegeaufwand entsteht. Christian Preusler aus der IT von ILLIG: "Selbst wenn ein Fernwartungs-System bereits stabil im Einsatz war, konnte mit dem nächsten Update in der Firewall beim Kunden alles wieder zusammenbrechen. Zusätzlich machten unterschiedliche Telefonstandards in Asien, Amerika oder Europa die Sache weiter kompliziert. Mit der heutigen VPN-Anbindung ist alles deutlich einfacher geworden."
Eine technische Lösung für alle Kunden
Für eine Anpassung der Technik sprach auch die Weiterentwicklung der Maschinen zu immer größeren und komplexeren Einheiten. Der Datendurchsatz über Modems war an seine Grenzen gestoßen. Seit drei Jahren setzt der Maschinenbauer ILLIG mit dem "NetService" deshalb auf VPN-Verbindungen (Virtual Private Network). Christian Preusler: "Die Verfügbarkeit der VPN-Technik allein reicht allerdings nicht aus für eine befriedigende Lösung. Es geht vielmehr darum, für alle Kunden ein einheitliches Konzept zu finden, um aufwändige Sonderlösungen zu vermeiden." |
ILLIG Thermoformmaschine RDK 90, Rollenautomat für kombiniertes Formen und Stanzen |
Seit 2009 ist diese einheitliche Lösung bei zunächst 20 Maschinen im Einsatz. Hans- Dieter Schäffer aus der Elektrokonstruktion bei ILLIG ergänzt aus anlagentechnischer Sicht: "Es ging darum, die IT-Welt und die Automatisierungs-Welt zusammenzubringen. Anlagen mit SPS-Steuerungen kannten in der Vergangenheit keine Ethernet-Komponenten und die IT-Bereiche wollten keine externen Zugriffe in ihre Anlagen. Durch die Entwicklung eines einheitlichen und sicheren Konzepts konnten wir beiden Welten gerecht werden."
Ähnliche Erfahrungen hat Kenersys gemacht. Der Hersteller von Windenergieanlagen hatte sich wegen des selbst auf Basis von Open Source Software erheblichen Aufwands gegen eine Eigenentwicklung entschieden. Stattdessen nutzt Kenersys nun seit Januar 2009 die mGuard Lösung von Innominate zur Fernwartung an zurzeit drei Standorten in Indien und Schweden. Weitere Anlagenstandorte sind in Vorbereitung. |
Ferndiagnose und Fehleranalyse per ILLIG NetService |
Ein schlüssiges Sicherheitskonzept
Nach den Erfahrungen von ILLIG Maschinenbau ist es für die IT-Leiter bei den Kunden wichtig, neben hohen Sicherheits-Standards wie IPsec (Internet Protocol Security Architecture) eine weitestgehende Transparenz über den Servicezugriff auf der Anlage sicherzustellen.
Die notwendige Akzeptanz für den Teleservice konnte durch ein schlüssiges Sicherheitskonzept erreicht werden. Dieses Konzept sieht vor, dass eine Teleservice-Verbindung nur bei Bedarf und ausschließlich vom Kunden aufgebaut werden kann. Eine ständige Online-Verbindung ist tabu. Die Verbindung ist per VPN-Tunnel mit Sicherheits-Zertifikaten und durch eine Firewall abgesichert. Hans-Dieter Schäffer: "Außerdem stellen wir sicher, dass es keine Änderungen an der Maschine im Blindflug gibt." Das dafür vertraglich vereinbarte Vier-Augen-Prinzip schreibt vor, dass bei einem Fernzugriff immer ein Bediener an der Maschine steht und die Kontrolle behält. |
Maschinenbediener beim Aufbauen der Serviceverbindung von der Maschine aus |
| Für Kenersys steht die Sicherheit im Vordergrund mit einer zentralen VPN-Firewall, um Zugriffe auf das Notwendige zu beschränken und ein Maximum an Datensicherheit garantieren zu können. Daneben spielen im Fernwartungskonzept vor allem fünf Aspekte eine Rolle: Das Routing von mehreren VLANs (Virtual Local Area Network) in Windparks (als Steuerungs-Netz, Kunden-Netz, Fremd- bzw. CMS-Netze); die Flexibilität bei der Gestaltung von IP-Bereichen und Lösung von IP-Konflikten (z.B. Mapping eines bereits bestehenden Dienstleister-Netzwerkes auf das Kenersys Wind-Netzwerk); die Funktionsfähigkeit auch unter rauen Umgebungsbedingungen (in Schweden ist es sehr kalt, in Indien dagegen sehr warm und feucht); die hohe Verfügbarkeit und Skalierbarkeit und schließlich die zentrale Verwaltung aller Geräte. |
Bei Kenersys konnten die Prototypen-Entwicklung vor Ort und Softwareupdates durch den Fernzugriff sehr gut unterstützt werden |
Vorteile für Hersteller und Anlagenbetreiber
Die wichtigsten Argumente für den Teleservice sind aus Sicht von ILLIG Maschinenbau, dass in einem Störungsfall die Stillstandszeit der Maschine durch eine schnelle Fehler- und Störungsdiagnose aus der Ferne erheblich minimiert werden kann und dass durch online betreute Optimierungsstrategien das Leistungsprofil der Maschine deutlich verbessert werden kann.
Hans-Dieter Schäffer verweist darauf, dass die Produkte immer anspruchsvoller und die Anlagen immer mehr im Grenzbereich der Leistung gefahren werden: "Durch Messungen an der laufenden Maschine gelingt es uns, die Takt- und Laufleistung kontinuierlich zu steigern und die Ergebnisqualität zu verbessern." |
Markus Becker, Vice President Engineering der Kenersys GmbH, nennt als die wichtigsten Vorteile des neuen Teleservice-Konzepts: "Die Prototypen-Entwicklung vor Ort und Software- Updates konnten durch den Fernzugriff sehr gut unterstützt werden und die ersten beiden Anlagen in Indien konnten trotz fehlender Standleitung durch einen Mobilfunkrouter angebunden und bereits ihre Inbetriebnahme durch den Teleservice begleitet werden. Die Umstellung auf die Standleitung in Indien erforderte schließlich nur noch das "Umstecken" eines Kabels."
Dabei verweist er darauf, dass eine breit- bandige Verbindung für einen Windpark von Vorteil ist. Anlagen stehen aber oft an Stand- orten, in denen keine Breitbandverbindung möglich oder zu kostspielig ist. Daher müsse die Lösung primär auch mit nicht breitbandigen Verbindungen sehr gut zurecht kommen. |
|
Für Kenersys ist die Sicherheit des Teleservice mit einer zentralen VPN- Firewall wichtig, um Zugriffe auf das Notwendige zu beschränken und ein Maximum an Datensicherheit garantieren zu können |
Nicht eine einzelne Hardware, sondern das Gesamtkonzept ist entscheidend
Um eine sichere und wirtschaftlich überzeugende Lösung für den Teleservice zu finden, hatte ILLIG mehrere Anbieter auf Basis der Anforderungen der Kunden, der Automatisierer und der IT eingehend geprüft. Schließlich wurden vier Produkte in die engere Auswahl genommen und intensiv getestet. "Wir haben uns für die mGuard Lösung von Innominate entschieden, weil die IT-Sicherheitsaspekte stimmig waren und vor allem weil uns das Konzept der Firma überzeugt hat", erläutert Christian Preusler. Auf dem Markt habe es auch andere Router, Firewalls oder sicherheitstechnische Komponenten gegeben, die für ILLIG infrage kamen. Entscheidend sei aber das schlüssige Gesamtkonzept gewesen. Innominate hatte von sich aus viele Ideen geliefert, um die Lösung von ILLIG weiter zu optimieren und Anregungen des Maschinebauers direkt in die Produktentwicklung aufgenommen. So wurde auch eine Anbindung der SPS-Steuerungen über den 24-Volt-Ausgang gefunden. Christian Preusler: "Der technische Support von Innominate war besonders in der Anfangsphase unserer Lösung sehr hilfreich. Die IT-Sicherheitsfachleute von Innominate waren auch in der Welt der Automatisierung bestens zu Hause."
Auch Markus Becker von Kenersys verweist auf die guten Erfahrungen: "Insgesamt reagierten alle sehr positiv auf die "Plug & Play"-Lösung. Bei einem Dienstleister gab es auf Grund eines sehr komplex gerouteten Netzwerks und der gewählten Hub&Spoke-Konfiguration zunächst ein Problem. Das konnte durch den sehr guten Support für die Innominate-Technik allerdings schnell gelöst werden."
Hohes Potential für den Service über sichere VPN-Leitungen
Die Praktiker von ILLIG erwarten den massiven Ausbau von Serviceleistungen über VPN, da die Zeit jetzt dafür reif sei. Das erarbeitete Sicherheitskonzept werde von fast allen Kunden so akzeptiert, die Maschinen würden jetzt über die notwendigen Netzwerkkomponenten verfügen und schließlich müssten auch immer mehr Daten übertragen werden. Bei ILLIG wird der NetService deshalb bei allen komplexeren und größeren Maschinen von Kunden immer wieder als Zusatzoption in die Maschinenkonfiguration gewählt. |
zurück zu Remote Services Security
|
|
| |
| Kontakt |
| Sie interessieren sich für unsere mGuard Security Produkte? Dann nehmen Sie Kontakt zu uns auf! |
|
| Weitere Success Stories |
|
|
 |
|
|
