Remote-Access
Eine Anlage. Ein Router. Viele individuelle Zugänge.
Das Thema Fernzugriff auf Maschinen und Anlagen kann durch die Vielzahl an beteiligten Komponenten und verschiedene Anforderungsprofile mehrerer Interessengruppen sehr komplex werden. Abhilfe verspricht die intelligente Steuerung von Zugriffsmöglichkeiten dank Netzwerksegmentierung, variabler VPN-Tunnel, Profilmanager und ereignisgesteuerter Aktionen.
us der Ferne auf eine Maschine oder Anlage zuzugreifen ist eine tolle Sache. Das spart Zeit, Geld und schont nicht zuletzt die Umwelt. Keine Frage, der Zugriff sollte sicher sein und der Bediener schnell und einfach das tun können, was er muss: Eine Wartung ausführen, Daten übermitteln, ein Update aufspielen oder ein Problem beheben. Die Anforderungen der verschiedenen „Interessengruppen“ zu erfüllen, ist jedoch eine komplexe technische Herausforderung.
Ein Beispiel: Sie sind der Betreiber eines Solarparks. Komponenten diverser Hersteller sollen per Fernzugriff erreichbar sein. Teils wird dieser Service auch an Sublieferanten vergeben. Zudem wird die gesamte Anlage über einen Contracting-Dienstleister abgerechnet. Die Herausforderung besteht nun darin, all diesen Interessengruppen einen passgenauen Zugang zu den Funktionen und Informationen genau dann zu bieten, wenn sie ihn benötigen.
Dabei gilt es zu unterscheiden, ob meh-rere, separierte Zugänge zu einer einzigen Anwendung beziehungsweise zu einzelnen Bestandteilen notwendig sind, oder es eines einzigen Zugangspunktes für mehrere Anwendungen bedarf. Während im ersten Fall mit Firewall-Regeln bereits die Fernzugänge gut voneinander getrennt werden können, ist im zweiten Fall zwingend eine Aufteilung in mehrere IP-Netze erforderlich.
Zugänge im Vergleich
Außerdem gilt es die Frage zu klären, wer die Kommunikationsschnittstelle betreibt. Je sicherheitsrelevanter eine Anwendung ist, beispielsweise bei kritischen Infrastrukturen, desto klarer muss eine Trennung der Zuständigkeiten ausgestaltet sein. Das ist beim Thema Smart-Grid selbst für Energieversorger, die per Gesetz in verschiedene, selbstständige Unternehmen aufgeteilt sind, mit aktuellen Industriegeräten nur bedingt oder nur durch Kombination mehrerer Router und Firewalls möglich – zumindest bisher. Neue Funktionen schaffen nun ganz neue Lösungsmöglichkeiten:
- Firewall im Tunnel: Für die sogenannte Firewall im Tunnel ist ein VPN-Zugang Voraussetzung. Der Zugriff innerhalb eines VPNs ist nur möglich, wenn die Quelle sich einerseits im gleichen VPN befindet und andererseits ein erlaubtes Ziel innerhalb dieses VPNs hat. Realisiert werden kann das über einen VPN-Dienst, welcher diesen Vorgang unabhängig vom Router durch die Einschränkung der IP-Adressbereiche bewerkstelligt.
Deutlich mehr Konfigurationsmöglichkeiten bieten Firewalls im Tunnel. Das Prinzip ist einfach: Alles, was sich nicht auf einer Whitelist befindet, erhält keinen Zugang. Aber Achtung: Die Firewall wirkt sich nur auf das Routing, nicht auf das lokale Switching aus. Das bedeutet, dass lokal sehr wohl die Möglichkeit besteht, weitere am gleichen Switch angeschlossene Geräte zu sehen beziehungsweise unter Umständen darauf zuzugreifen.
- Netzwerk-Segmentierung: Die lokale Netzwerk-Segmentierung ist vor allem aus Sicht der IT-Sicherheit wichtig. Denn die funktionalen Einheiten sind damit klar in getrennten Netzwerken abgeschottet und können sich nicht gegenseitig beeinflussen, auch nicht lokal. Der Vorteil besteht darin, dass die Nutzer der einzelnen Segmente keinen Einfluss haben. Die Trennung liegt rein in der Hand des Netzwerk-Verantwortlichen. Netzwerk-Segmentierung eig-net sich auch zum Einrichten sogenannter „Brandabschnitte“. Sie schützen Anwendungen vor Manipulation oder Zerstörung zum Beispiel durch eingeschleuste Viren.
- Mehrere VPNs gleichzeitig: Eng mit der Trennung in unterschiedliche Netzwerke hängt die Möglichkeit des Betriebs paralleler VPN-Tunnel zusammen. Jedes lokale Gerät kann, gleichwohl mehrere am gleichen Router angeschlossen sind, über ein eigenes VPN kommunizieren. Ebenso können mehrere VPNs auch zu einem lokalen Gerät führen. Interessant ist die zweite
Variante vor allem für Anwendungen mit diversen Applikationssichten. Während zum Beispiel für die stetige Abrechnung (Contracting, virtuelles Kraftwerk) ein „Always On“-Zugang zur Anwendung notwendig ist, bedarf es für die Fernwartung nur eines Zugriffs bei Bedarf.
Alle Lösungsansätze sind bereits für sich sehr mächtig und lassen viel Raum für kundenspezifische Einstellungen. In Kombination sind die Möglichkeiten schier unendlich. Ein beispielhaftes Vorgehen kann sein:
- Trennung der einzelnen Anwendungsbestandteile lokal auf mehrere IP-Netze.
- Pro IP-Netz wird ein eigenes VPN eingerichtet.
- Für jedes VPN können zusätzlich über Firewall-Regeln Benutzerzugriffe geregelt werden.
Natürlich resultiert daraus ein gewisser Aufwand, wenn diese Fülle an Variationen genutzt wird. Allerdings: Für viele Anwendungen ist das nicht die Regel. Zudem werden standardmäßig viele Konfigurationseinstellungen beinahe automatisch angelegt und sind einfach bedienbar.
- Eine Anlage. Ein Router. Viele individuelle Zugänge.
- Management der Funktionen
- Expertenkommentar: Aus der Praxis: Mehrwert für Kunden
Lesen Sie mehr zum Thema
