Sichere Webtechnologien für die Fernwartung

Aber nicht nur Umfang und Stellenwert, sondern auch Inhalt und Form von Serviceleistungen unterliegen einem schnellen Veränderungsprozess Früher kam der Servicetechniker nach Vertrag oder auf Abruf ins Unternehmen, um Wartungsarbeiten vorzunehmen oder Fehler zu beseitigen Aber nicht nur Umfang und Stellenwert, sondern auch Inhalt und Form von Serviceleistungen unterliegen einem schnellen Veränderungsprozess. Früher kam der Servicetechniker nach Vertrag oder auf Abruf ins Unternehmen, um Wartungsarbeiten vorzunehmen oder Fehler zu beseitigen.

ds

Sensible Schnittstelle: Fernwartung erfordert unter anderem abgestimmte Sicherheitsstandards bei Serviceprovidern und Maschinenbetreibern.

Mittlerweile gibt es jedoch einen deutlichen Trend, derartige Arbeiten zu möglichst großen Teilen über Telekommunikationsverbindungen von Servicezentren aus vorzunehmen. Die Voraussetzungen, um solche Strategien umzusetzen, verbessern sich zusehens. Denn Maschinen und Produktionssysteme werden in immer größerem Umfang über ethernet-basierte Netzwerke mit der Außenwelt verbunden. Das sorgt für hohe Flexibilität, Produktivität, zeitnahe Kommunikation und Kosteneffizienz. Der Markt für industrielles Ethernet wächst jährlich in Deutschland um über 50 %.

Mit der Vernetzung der Fertigungsanlagen steigen auch die Risiken. Die große Anzahl der Störungen und Ausfälle belegt, dass sich viele Unternehmen des hohen Risikos nicht bewusst sind. Laut einer Studie fällt in jedem fünften Unternehmen einmal pro Jahr das gesamte Netz aus. Rund 61 % der Betriebe bleiben bis zu 24 Stunden vom Netz abgekoppelt, und bei 4% fällt es sogar mehr als drei Tage aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einem Lagebericht festgestellt, dass die Bedrohung durch Computerviren, -würmer und Spam in Deutschland erheblich gestiegen ist und noch zunimmt. Die Folge ist eine sinkende Verfügbarkeit der Anlagen. Dabei ist es ein häufig zu beobachtender Vorgang, dass Mitarbeiter oder Lieferanten versehentlich Viren einschleusen. Auch die Servicetechniker von Anlagenherstellern greifen von oft unsicheren PCs direkt auf die Anlagen in der Produktion zu, nachdem sie vorher auf der Maschine bei einem anderen Kunden eingewählt waren, und mit denen sie oft gleichzeitig direkt mit dem Internet verbunden sind. Viren werden so schnell weitergetragen.

Vernetzte Anlagen in der automatisierten Fertigung sind besonders anfällig für Angriffe. Sensible Daten sind in zentralen Datenbanken abgelegt, und das Servicepersonal hat so eventuell sogar Zugriff auf alle relevanten Daten der Gesamtanlage. Mit einer Firewall allein ist das nicht in den Griff zu bekommen. Im Gegenteil: Es gibt bereits zu viele lokale Sicherheitslösungen mit widersprüchlichen Sicherheitsregeln, die Sicherheitslücken offen lassen und gekoppelte Geschäftsprozesse behindern.

Die Sicherheit muss von ,beiden Enden‘ gewährleistet werden

Um Lösungen für dieses Problem zu finden, muss von ,beiden Enden’ gearbeitet werden: Einerseits ist es notwendig, das die Anlagenbesitzer und -betreiber durch geeignete Maßnahmen für die notwendige IT-Sicherheit sorgen. Und zum anderen ist es eine Verpflichtung der Service-Anbieter, durch geeignet technische Mittel ihre Eingriffe gefahrlos für den Kunden zu gestalten. Für die Anlagenbetreiber bedeutet diese Anforderung, dass sie neben der Installation von Firewalls oder Intruder Detection Systems zusätzliche technische und organisatorische Maßnahmen umsetzen. Das beginnt mit einer Risikoanalyse, um die Schwachstellen zu identifizieren, und setzt sich fort über die Ermittlung des Schutzbedarfs der vorhandenen IT-Systeme und Produktionsanlagen bis hin zur Definition und Implementierung geeigneter Schutzmaßnahmen.

Um dann die Wirksamkeit der umgesetzten Lösungen zu verifizieren zu können, wünschen sich viele Anwender einen

Mehr Effizienz für Service-Provider durch ITIL-konforme Service-Organisation: Informationen werden an einer Stelle gebündelt, Routineprozesse werden dokumentiert, als Standardabläufe in Workflows abgebildet und mit Hilfe eines Service-Desk-Systems verwaltet.

Mehr Effizienz für Service-Provider durch ITIL-konforme Service-Organisation: Informationen werden an einer Stelle gebündelt, Routineprozesse werden dokumentiert, als Standardabläufe in Workflows abgebildet und mit Hilfe eines Service-Desk-Systems verwaltet.

offiziellen Sicherheitsnachweis nach der internationalen Norm ISO 27001. Wird nach den Grundsätzen dieses Standards vorgegangen, so lässt sich Informationssicherung gezielt auch in Produktionsumgebungen umsetzen. Der Nutzen einer mit einem solchen Projekt verbundenen Einführung eines Informations-Sicherheits-Management- Systems (ISMS) ist konkret belegbar: weniger Ausfälle aufgrund von Sicherheitsvorfällen und kürzere Wiederanlaufzyklen. Wie auch bei anderen Qualitätsmanagementsystemen wird bei dem Standard ISO 27001 das Plan-Do-Check-Act-Modell (PDCA) verwendet: „Plan“, ein IT-Sicherheits- Management konzipieren; ,Do‘, es implementieren; ,Check‘, überwachen und prüfen, ,Act‘, das Management warten und verbessern. Aber auch auf Seiten der Serviceanbieter gibt es neue Lösungen, die helfen, deren Eingriffe in die Produktionsanlagen so zu gestalten, dass es zu keinen Gefährdungen kommt und keine ,offen Flanken’ entstehen.

Erreichen lässt sich das durch die Schaffung gut abgesicherter Virtual Private Network- Tunnel (VPN) und eine Zugangsorganisation, die weit über die Authentifizierung von Bedienern und Servicetechnikern mithilfe unsicherer Passwörter hinaus geht. So gewährleisten moderne Fernwartungs- Portale beispielsweise, dass kein Servicezugriff von außen ohne Kontakt zum Wartungspersonal und dessen Freigabe erfolgen kann und dass während der Wartung die Maschine jederzeit in einen sicheren Zustand versetzt werden kann. Der Zustand der Maschine wird dabei durch Leuchten eindeutig signalisiert. Wird die Verbindung zwischen Service und Bedienern unterbrochen, oder ist eine andere Sicherheitsmaßnahme nicht mehr gewährleistet, wird die Maschine sofort in einen sicheren Zustand überführt: Antrieb auf ,Stop’, Gase auf ,Aus’.

DS schuf eine ,Best of‘-Lösung auf der Grundlage eigener Produkte

Eine sichere Fernwartungslösung mit derartigen Funktionen bietet das ,Secure ServicePortal’ der Firma DS DATA SYSTEMS. Das Unternehmen hatte seinen Kunden bisher etablierte Standardlösungen für das IT-Service-Management empfohlen. Diese Software-Lösungen enthalten einen ganzen Katalog an fertigen Servicetools. Für viele mittelständische Maschinen- und Anlagenbauer erwiesen sich aber die Programme als wenig geeignet. Es mussten hohe Lizenzkosten bezahlt werden, und Anpassungen an unternehmensindividuelle Geschäfts- und Serviceprozesse waren nur eingeschränkt möglich. Deshalb hat sich DS DATA SYSTEMS mit seinem jetzt angebotenen ‚Service Management Interface’ für eine eigene ,Best of‘-Lösung entschieden. Diese Erweiterung bietet dem Service- Dienstleister neue Möglichkeiten, die im Arbeitsprozess gesammelten Informationen und Daten effizient zu nutzen. Mit Hilfe einer ‚Configuration Management Database‘ (CMDB) nach ITIL (IT Infrastructure Library) wird hier das komplette Servicewissen eines Unternehmens IT-gestützt verwaltet: Für jede Kundenanlage liefert diese Datenbank lückenlose Informationen über Anlagen, Maschinen und bisherige Störungen. Sie hilft, aus früheren Störungen zu lernen, schneller Problemlösungen zu finden und den Ressourceneinsatz besser zu steuern.

DS DATA SYSTEMS GmbH
Tel.: 0531 2 37 310
Mail: serviceportal@datasystems.de
www.datasystems.de

Zertifizierung – Vorreiter TRUMPF

Das „TRUMPF Service Portal“ erfüllt die strengen Sicherheitsanforderungen der internationalen Zertifizierungsnorm und erhält das ISO-27001-Zertifikat auf der Basis von IT-Grundschutz. Bernd Kowalski (BSI), Karl Straub (TRUMPF Laser) und Henning Kopp (DS DATA SYSTEMS) bei der Übergabe der Zertifizierungsurkunde.

Das „TRUMPF Service Portal“ erfüllt die strengen Sicherheitsanforderungen der internationalen Zertifizierungsnorm und erhält das ISO-27001-Zertifikat auf der Basis von IT-Grundschutz. Bernd Kowalski (BSI), Karl Straub (TRUMPF Laser) und Henning Kopp (DS DATA SYSTEMS) bei der Übergabe der Zertifizierungsurkunde.

Das ,TRUMPF Service Portal‘ ist die erste Fernwartungslösung, die nach den strengen Sicherheitsanforderungen der internationalen Zertifizierungsnorm für Informations- Sicherheits-Management- Systeme (ISO 27001) zertifiziert wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat heute das ISO-27001-Zertifikat auf der Basis von IT-Grundschutz an das Unternehmen TRUMPF Laser überreicht. Die Zertifizierung nach der ISO 27001 ist besonders für weltweit agierende Hersteller von Maschinen und Anlagen wichtig, um ihren Kunden einen verlässlichen Nachweis über die Einhaltung der international anerkannten Sicherheitsnorm zu liefern. Das von dem IT-Securi- ty-Spezialisten DS DATA SYSTEMS durchgeführte Zertifizierungsaudit geht über die reine ISO-Zertifizierung wesentlich hinaus. Die ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz umfasst eine Prüfung des IT-Sicherheitsmanagements sowie eine darüberhinaus gehende Bewertung konkreter IT-Sicherheitsmaßnahmen anhand von IT-Grundschutz, einem vom BSI herausgegebenen Sicherheitsstandard.