Startseite » Chemie » Anlagen (Chemie) »

Sichere Fernwartung für die Anlage

Keine einseitigen Zugriffe möglich
Sichere Fernwartung für die Anlage

Die Gründe für die Verwendung einer Fernwartungslösung liegen vor allem in der ansteigenden Vernetzung von Produkten und Services. Anlagenbetreiber sollten bei der Nutzung einer Fernwartungslösung neben den positiven wirtschaftlichen Aspekten aber auch die Sicherheitsrisiken betrachten. Verfügt die Produktion eines industriellen Anwenders etwa über keinen wirksamen Schutzschirm, macht bereits eine einzige Sicherheitslücke die Fertigungsprozesse angreifbar.

Cyberbedrohungen werden zurecht als kritisches Gefahrenpotenzial für alle Unternehmen erkannt. Dies ist auch einer der Hauptgründe, weshalb im industriellen Umfeld viele Anwender die Vorteile einer Fernwartung noch nicht nutzen. Sich der Fernwartung aber von vorne herein zu verschließen, wäre auf jeden Fall ein großer Fehler, weil man so auf viele positive Aspekte verzichten würde. Durch Fernwartung lassen sich Servicekosten deutlich minimieren und die Reaktionszeiten verbessern. Zugleich lässt sich die Anlagenverfügbarkeit aufgrund von verkürzten Stillstandzeiten verbessern. Die hohe Flexibilität einer Fernwartung führt zur optimalen Überwachung, Konfiguration und Steuerung der Anlage. Zugleich ist jederzeit – und ortsunabhängig – die volle Zugriffskontrolle auf die Anlage gegeben. Jede Interaktion lässt sich live überwachen und aufzeichnen. Letztlich ergeben sich Kostenvorteile bei Fernwartung von Prozessanlagen über
öffentliche Netze.

Mögliche Nachteile liegen vor allem darin, dass eine Lösung, die nicht den höchsten Anforderungen an Safety und Security gerecht wird, den Fertigungsprozess angreifbar machen kann. Faktisch erfüllen nur wenige am Markt verfügbare Lösungen die regulativen Anforderungen, wie diese etwa durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben sind. Gleichfalls zieht die veränderte und zunehmende Bedrohungslage deutlich erhöhte Anforderungen an die Security mit sich.

Anforderungen an die Fernwartung

Bei der Vermeidung von Risiken hilft das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Anlaufstelle für Fragen der IT-Sicherheit. In der BSI-Veröffentlichung zur Cybersicherheit erhalten Anwender einen Überblick über die generischen Anforderungen für industrielle Fernwartung gemäß dem Stand der Technik. Das BSI empfiehlt darin die Verwendung einer einheitlichen Lösung und die Verortung der Fernwartungskomponente in der Demilitarisierten Zone (DMZ) sowie die Verwendung von dedizierten Systemen zur Fernwartung. Der Verbindungsaufbau erfolgt grundsätzlich von innen nach außen. Die Granularität der Accounts und starke Authentisierungsmechanismen sind weitere Kriterien für eine sichere Fernwartungslösung. Neben sicheren Protokollen müssen sichere kryptografische Verfahren verwendet werden. Weitere Punkte, die vom BSI aufgelistet werden, beziehen sich auf Passwortsicherheit, Angriffserkennung, Risikoanalyse und das Minimalitätsprinzip. Des Weiteren werden Empfehlungen hinsichtlich Prozesse, Inventarisierung, Zeitfenstern, Funktionsprüfung, Vorgaben für Fernwartende, Patch-Prozesse, Logging & Alerting, Skalierbarkeit, Investitionsschutz und Hochverfügbarkeit gegeben.

Sicherheitslösung aus einer Hand

Hima hat das Security-Know-how des Spezialisten Genua mit der eignen Safety-Expertise kombiniert. Das Ergebnis ist eine hochsichere Remote-Access-Lösung, die sich mit dem Konzept der Hima Smart Safety Platform (SSP) komplementär ergänzt. Sie erfüllt die höchsten Anforderungen an eine sichere Fernwartung im industriellen Umfeld und lässt sich nahtlos an das Konzept der SSP integrieren. Die einheitliche Secure-Remote-Access-Lösung erfüllt die BSI-Empfehlungen. So sind alle Fernwartungsfälle einheitlich abdeckbar, und eine zentrale Management-Lösung ist ebenfalls möglich. Alles kommt aus einer Hand. Dies schließt den Support ein. Die Verwendung einer abgestimmten Lösung reduziert auch die Komplexität – ein weiterer wichtiger Kundenbenefit.

Rendevous auf dem Server

In der DMZ ist ein dedizierter Server als zentrales Fernwartungs-Gateway implementiert. Die volle Kontrolle durch eine vorgelagerte DMZ ist damit gewährleistet. Die verwendete Rendezvous-Lösung lässt zudem keine einseitigen Zugriffe vom Fernwartungs-Service in die Kundennetze zu. Alle Wartungsverbindungen laufen über einen Rendezvous-Server, der in der DMZ installiert ist. Hierhin bauen sowohl der Wartungs-Service als auch der Kunde zum verabredeten Zeitpunkt Verbindungen auf. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Über diese kann jetzt der Service die lokale Engineering-Umgebung ansprechen, die durch die Fernwartungs-Appliance vom übrigen Kundennetz separiert wird. Der Maschinenführer kann ferner den Fernwartungskanal im Vier-Augen-Prinzip kontrollieren.

Sichere Authentisierung

Die Hima-Fernwartungslösung nutzt sichere Protokolle wie SSH, IPsec und SSL/TLS. Mit einem symmetrischen Verschlüsselungsverfahren (AES256) kommt eine hochwertige Verschlüsselung zum Einsatz. Die Passwortsicherheit ist über die Passwort-Policy gewährleistet. Die Authentifizierung des Nutzers kann neben dem Passwort zusätzlich über ein Einmalkennwort mit Yubikey-Token in Kombination mit RSA-Schlüssel erfolgen. Die Granularität der Accounts ist durch das Benutzerrollenkonzept gewährleistet.

Wie vom BSI gefordert, ermöglicht die Fernwartungslösung auch die Angriffserkennung, die über die Erkennung einer fehlgeschlagenen Authentisierung abgedeckt wird. Zur Inventarisierung werden Fernwartungszugriffe vollständig überwacht und aufgezeichnet. Das Zeitfenster für Remote-Zugänge ist überdies zeitlich beliebig einschränkbar. Die Nachvollziehbarkeit der Interaktion ist über das zentrale Monitoring gewährleistet, hinzu kommen ein zentrales Patch-Management, Logging und Alerting.

Ein wichtiger Punkt für Anwender ist auch die Investitionssicherheit durch IPv6-Support und ständige Produktpflege. Ein weiterer positiver Aspekt ist, dass bei der Hima-Fernwartungslösung keine Limitierungen durch proprietäre Lösungen vorgegeben sind. Die hochsichere Fernwartungslösung ermöglicht auch eine umfassende Unterstützung von Prozessen und Benutzerrollen und ist für große Umgebungen durch ein zentrales Management einfach skalierbar – ein weiterer wirtschaftlicher Vorteil für den Anwender.

Hima Paul Hildebrandt GmbH, Brühl


Autor: Alexandre Terentiev,

DCS Expert – TÜV Functional Safety Engineer,

Hima

Unsere Webinar-Empfehlung


Hier finden Sie mehr über:
Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de