Remote-Control bei Maschinen und Anlagen
Fernwartung mit VPN und Firewall
Da Maschinen und Anlagen weltweit verkauft werden, muss das zugehörige Fernwartungskonzept möglichst flexibel ausgelegt sein, damit es sich an lokale Vorlieben und die Kommunikationsinfrastruktur vor Ort anpassen lässt. In der Regel basiert es auf Internetverbindungen, doch eine zusätzliche Modem-Anbindung ist anzuraten. Darüber hinaus ist den Maschinen- und Anlagenbauern die sichere Verbindung besonders wichtig.
Treten bei einer Maschine Fehler auf, greifen heute Ferndiagnosesysteme direkt auf die Steuerung
zu und werten die dort hinterlegten Informationen für die Fehlersuche aus. Dazu benötigen sie
stabil verfügbare Kommunikationsdienste. Über ein zugehöriges Fernwartungssystem kann das
Wartungspersonal des Maschinenbauers oder des Betreibers die nötigen Schritte zur Behebung der
Produktionsstörung einleiten.
Bisher kamen für diese Zwecke vor allem Modems und das Telefonnetz zum Einsatz. Doch zunehmend
findet ein Übergang von Modem- zu Internetverbindungen statt. Darüber sind jetzt auch
Software-Updates, die Übermittlung umfangreicher Log-Daten oder sogar Multimedia-Applikationen
möglich.
Darüber hinaus fordern Maschinen- und Anlagenbauer sowie ihre Kunden eine nachweislich sichere
Lösung mit möglichst minimalen Eingriffen in ihre Netzwerke. Verbindungen und Anlagen sollten vor
Viren, Datenspionage und Manipulation geschützt sein.
Hilfreich ist es, bei der Auswahl eines geeigneten Systems den Security-Experten der
IT-Abteilung um Unterstützung zu bitten, da Automatisierungsspezialisten oft nicht ausreichend für
dieses Thema sensibilisiert sind.
Standard-IT-Lösungen ungeeignet
Doch Standard-IT-Lösungen aus der Bürowelt eignen sich keinesfalls für das Industrieumfeld. Denn
im industriellen Bereich steht meist nur eine DC-24-V-Stromversorgung zur Verfügung, und es werden
besondere Ansprüche an die Robustheit der Module gestellt. Zudem sollten die Geräte auf
DIN-Hutschienen montierbar sein.
Eine relativ einfach zu handhabende Lösung ermöglichen Virtual Private Networks (VPN) kombiniert
mit integrierten Firewalls. Die Firewall sollte über Funktionen wie IP-Filter, NAT und
Port-Forwarding verfügen und die Anlage so vor unerwünschten Zugriffen von außen abschirmen.
VPN-Lösung für die Hutschiene
Die für die Fernwartung vorgesehene VPN-Verbindung basiert in der Regel auf IPSec und bietet die
Verschlüsselungsverfahren AES und DES/3DES. Als Authentisierungsmethode werden Pre-Shared-Key (PSK)
oder X.509-Zertifikate genutzt. Die Sicherheitsarchitektur IPSec ist der führende VPN-Standard und
hat sich in unzähligen Anwendungen bewährt. OpenVPN gilt laut verschiedener Studien im direkten
Vergleich mit IPSec als unsicherer. Bei der Authentisierung bietet PSK einen Schlüssel
(Passphrase), der beiden Teilnehmern bekannt sein muss. Allerdings können Probleme bei größeren
Systemen mit verschiedenen Schlüsseln auftreten. Wenn zum Beispiel ein Mitarbeiter das Unternehmen
verlässt, muss eventuell das Passwort (Schlüssel) für mehrere Maschinen geändert werden. Die
X-509-Zertifikate hingegen sind zwar schwierig zu konfigurieren, bieten dafür aber viele Vorteile
in der zukünftigen Handhabung. Als Stichwort soll hier die Certificate Revocation List (CRL)
genannt sein, über die der Administrator einmal ausgegebene Zertifikate von seiner Konsole aus
manuell sperren kann.
Für VPN ist eine Hardwareverschlüsselung die bessere Wahl. In den Intel-Xscale-Prozessoren (IXP
4xx), die für Router im oberen Leistungsbereich zum Einsatz kommen, sind bereits die entscheidenden
Verschlüsselungstechniken integriert. Dies erhöht die Sicherheit der gesamten
Fernwartungsverbindung. Die hardwarebasierte Verschlüsselung erlaubt auch höhere Datendurchsätze im
Vergleich zu einer Softwarelösung.
Flexible Verbindungen
Da ein Maschinenbauer nicht jeden Einsatzort für seine Anlagen vorhersehen kann, sollte die
Lösung möglichst viel Auswahl in der Verbindungstechnik lassen, um flexibel auf unterschiedliche
Anforderungen reagieren zu können. Denn nicht überall stehen Internetverbindungen zur Verfügung.
Ideal ist es, wenn ein Fernwartungsmodul auch über Analog-, GSM- oder ISDN-Modems verfügt. Die
Direkteinwahl erfolgt dann über einen DFÜ-Client (PPP).
Außerdem können moderne Fernwartungssysteme das Modem auch für ein Failover-Verfahren nutzen und
eine Verbindung über die Ethernet-Schnittstelle oder über das Modem ermöglichen. Damit erhöht sich
die Verfügbarkeit der Verbindung.
Interessant für den Aufbau einer Internetverbindung sind eine Auswahl an Funktionen wie Rückruf
über Internet-Provider, Einwahl zum Internet-Provider über einen digitalen Eingang oder eine Taste
am Router und Bekanntgabe der IP-Adresse via E-Mail oder DynDNS.
Für unterschiedliche Steuerungen
Zudem sollte das VPN-Modul neben einer LAN-Schnittstelle (möglichst 100 MBit/s), auch eine
100-MBit/s-Schnittstelle fürs WAN zur Verfügung stellen und einen USB-Port sowie digitale Ein- und
Ausgänge besitzen. Ferner sind für die Kommunikation mit der Steuerung am besten zwei serielle
Schnittstellen (RS-232 oder RS-485) und Anbindungen an MPI/Profibus sinnvoll. Manche Lösungen
bieten zusätzlich eine RS-232- oder RS-485-Schnittstelle onboard an.
Auch bei den seriellen Schnittstellen zur Maschinensteuerung sind eine einfache Handhabung und
eine hohe Flexibilität erforderlich. Da in unterschiedlichen Ländern die Vorlieben für Steuerungen
variieren, bestücken die Maschinenbauer ihre Anlagen mit den jeweils am Einsatzort bevorzugten
Steuerungen. Fernwartungssysteme sollten deshalb möglichst viele Treiber für die unterschiedlichen
Steuerungskomponenten mitbringen. Dann können die Variablen und Eingänge der Steuerungen direkt
abgefragt werden. Es brauchen also keine Treiber oder Funktionsbausteine in der Steuerung selbst
installiert werden. Die Anpassung und Anbindung erfolgt allein über die Fernwartungskomponente.
Darüber hinaus verfügen die Maschinen oft über mehr als nur eine Steuerung – meist über eine
Zentralsteuerung und zum Beispiel eine Antriebsregelung. Deshalb sind mehrere serielle
Schnittstellen oder eine serielle und eine MPI- (Multipoint-Interface) oder Profibus-Schnittstelle
für die verbreiteten Siemens-Steuerungen anzuraten, um eine gleichzeitige Fernwartung aller
Steuerungen zu ermöglichen.
Mit diesen Voraussetzungen eignen sich Fernwartungssysteme auch für sehr unterschiedliche
Konfigurationen: So kann der Anlagenbauer zum Beispiel einen zentralen Zugang von einem
Servicepunkt aus zu den Maschinen realisieren. Servicemitarbeiter sind in diesem Falle am
Servicepunkt ansässig. Realisiert wird eine Punkt-zu-Punkt-Verbindung, die bei Bedarf online
geht.
Wartungsszenarien
Eine andere Variante setzt voraus, dass die Servicemitarbeiter (Roadwarriors) mit Laptop ständig
unterwegs sind und sich in beliebige Maschinen einloggen müssen. In den Maschinen des Herstellers
ist jeweils ein Router eingebaut. Der Roadwarrior wählt sich mit einem Windows-VPN-Client in die
Maschine ein. Auch hier wird der Fernwartungstunnel nur bei Bedarf aufgebaut. Die User-Rechte wie "
Service", "Einrichter" und "Zuschauer" müssen dabei klar festgelegt sein.
Denkbar sind aber auch komplexere Konstellationen für verteilte Systeme, beispielsweise zur
Vernetzung von Firmenstandorten mit Anlagen, die über Ethernet ständig online diagnostiziert werden
müssen. Dabei verfügt jeder Standort über einen Router. Dieses Szenario erfordert eine aufwändigere
Benutzer- und Zugriffsverwaltung, da nicht jeder Anwender auf alle Netzsegmente und alle Daten
Zugriff haben sollte.
Ein flexibles Fernwartungskonzept kommt mit möglichst vielen Szenarien zurecht und gewährleistet
eine sichere Fernwartung, die sich in die Sicherheitskonzepte der Anwender möglichst einfach
einbinden lässt.
Lesen Sie mehr zum Thema
