Suche
  • SO

Virenfrei bleiben – nicht nur im humanen Bereich...

- Remote Control neu denken -


Die Herausforderung lautet, nicht nur in Zeiten von Viren, die den Menschen befallen, Anlagen sicher aus der Ferne zu betreiben. Daher werden unterschiedlichste Fernwartungslösungen auf VPN-Basis am Markt angeboten.

Dies wirft, neben der Anforderung der funktionalen Sicherheit von Anlagentechnik (Safety), auch die Frage nach Cybersicherheit (Security) bezüglich der Kommunikation zwischen IT und OT auf.

Eine reine Fernwartungslösung mittels, wie auch immer gearteter VPN-Technologie, sichert die Kommunikation zwischen den Endstellen ab. Mittels Zertifikaten, Passwörtern und Verbindungsregeln kann sichergestellt werden, dass nur berechtigte Nutzer Zugang erhalten und unberechtigte Zugriffe unterbunden werden.

Aber reicht diese Lösung aus, um Sabotage, Manipulation, Fehlbedienung und Cybervorfälle zu verhindern? Sind und bleiben die Endstellen, die von außen auf Anlagen zugreifen sollen bzw. dürfen frei von Schadsoftware und Kompromittierung?

Was im Office-Bereich zu Datenverlusten und Stillstand führt, kann bei Produktionsanlagen zu Gefährdung von Leben und Gesundheit sowie physikalischen Schäden an Anlagen führen.

Unsere Tochter, die Arendar IT-Security GmbH, denkt Remote-Control neu! Sie unterscheiden zwischen Fernüberwachung, Fernwirkung und Fernwartung.

Unterschiedliche Aufgaben bedürfen unterschiedlicher Werkzeuge. Unseren Arendar.

Wir haben für die verschiedenen Modi des Remote-Control die angepassten Instrumente in einem Gerät vereinigt. Der ARENDAR ist der Präzisions-Werkzeugkasten für die Herausforderungen der Zeit.

Für alle Aufgaben gibt es ein granular einstellbares Rollen- und Rechte-Management - der Anlagenbetreiber hat die volle Kontrolle über die Zugriffe.

1. Anlagenüberwachung/Fernüberwachung

Der ARENDAR stellt die relevanten Prozessdaten aus der OT (Netzwerk der Produktion) in der IT und/oder Cloud zur Verfügung. Damit haben Sie den Anlagenzustand auch außerhalb des OT-Netzes jederzeit im Blick. Er kann eigene Sensorik über die optionale I/O-Karte, Feldbus-Sensoren über IO-Link, Prozesswerte eines OPC-UA-Servers oder Daten direkt von einer Siemens SPS (S7 und S5 ohne Änderungen in der SPS-Software) auswerten. Der ARENDAR kann nicht nur Daten lesen, speichern und weiterleiten, sondern auch mittels seiner Edge-Fähigkeiten die Daten aufbereiten. Die Prozessdaten können in vielfältigen Datenformaten und Protokollen weitergeleitet und/oder auf dem integrierten sicheren Webserver visualisiert werden. Welche Informationen an wen und wann übertragen werden, lässt sich mittels Konfiguration einstellen und bestimmen. Das dieser Vorgang verschlüsselt geschieht ist dabei selbstverständlich. Der ARENDAR agiert vollständig, wahr und nicht kompromittierbar!

Für die Fernüberwachung aus der Cloud, also über das Internet, muss in der Firma kein Routing eingerichtet oder eine Firewall konfiguriert werden. Es reicht lediglich ein freier Internetzugang des ARENDAR über den Port 443 (Protokoll VPN), wie ihn jeder Rechner für den Internetbrowser in der IT hat. Verbindungen innerhalb der IT werden verschlüsselt, Verbindungen weiter über das Internet sogar doppelt verschlüsselt.

Aus Sicht der IT und Cloud ist das OT-Netzwerk und damit die Produktionsanlage unsichtbar, es ist lediglich der ARENDAR mit seinen ausgewählten Prozesswerten sichtbar. Das allerdings auch nur für berechtige User, welche unterschiedliche Rollen und damit Sichtbarkeiten der Prozesswerte haben. Das Verändern der Prozesswerten und somit der Einflussnahme auf den Produktionsprozess ist weiterhin unmöglich. 24 Stunden am Tag, 7 Tage die Woche und 365 Tage im Jahr!

2. Fernwirkung

Die Fernwirkung unterscheidet sich gegenüber der Fernüberwachung darin, dass die Produktionsanlage auch kontrolliert gesteuert werden kann. Ansonsten gelten alle bei der Fernüberwachung beschriebenen Funktionen. Das OT-Netzwerk bzw. die Produktionsanlage bleiben aus Sicht der IT und Cloud weiterhin unsichtbar. Richtung OT werden lediglich die einzeln konfigurierten Steuerbefehle für die Produktionsanlage weitergeleitet. Die Datenübermittlung erfolgt, wie bei der Fernüberwachung auch, verschlüsselt. Optional mittels 2-Wege Authentifizierung bei Zugriff.

3. Fernwartungszugriff

Der Fernwartungszugriff ist ein transparenter Zugriff aus der IT und/oder der Cloud auf eine ausgewählte Komponente in der OT, also eine einzelne Steuerung/Computer in der Produktionsanlage. Hierfür besitzt der ARENDAR eine weitere physikalisch-getrennte LAN-Schnittstelle, welche nur für den Zeitpunkt des Fernzugriffs vor Ort mit einem „Einmal-PIN“ freigeschaltet wird und nach dem Fernzugriff automatisch wieder getrennt wird. Ein bestehender Fernzugriff kann auch jederzeit von „innen“ direkt am ARENDAR oder über eine Webseite getrennt werden. Für die Fernwartung aus der Cloud, also über das Internet, muss in der Firma kein Routing eingerichtet oder eine Firewall konfiguriert werden. Es reicht lediglich ein freier Internetzugang des ARENDARs über den Port 443 (Protokoll VPN), über den jeder Rechner für den Internetbrowser in der IT verfügt. Verbindungen innerhalb der IT werden verschlüsselt. Verbindungen, die über das Internet hinaus gehen, sogar doppelt. Die Berechtigung wird, insbesondere aus der Cloud, mehrstufig durchgeführt. Neben der standardmäßigen Zugriffskontrolle via Zertifikat und User/Passwort kann eine zusätzliche 2-Wege-Authentifikation erfolgen.

4. Risikoanalyse:

Die drei Modi unterscheiden sich nicht nur in ihrer Funktion, sondern auch in ihrer Nutzungsdauer und ihrem Gefahrenpotential:

Modus 1: Fernüberwachung •100% Nutzungsdauer, rund um die Uhr - bei Nutzung eines ARENDAR, ohne Restrisiko! •Verschlüsselte Kommunikation •Kein Rückkanal möglich •Authentifizierung notwendig.

Modus 2: Fernwirkung •Wenige Ereignisse am Tag/Woche = < 1% der Nutzungsdauer eines ARENDAR •Sehr geringes Restrisiko durch 2-Wege Authentifizierung und Verschlüsselung der Kommunikation.

Modus 3: Fernwartungszugriff Der Fernwartungszugriff wird, auch bei seltener Nutzung zur kurzen Störungsbehebung, zu einem hohen Risiko für die Anlagensicherheit, da ein Vollzugriff auf die Komponenten in der OT besteht. Durch eine Ende-zu-Ende Verschlüsselung, eine Punkt-zu-Punkt Verbindung vom Arendar zu der Komponente in der OT statt auf das gesamte OT-Netzwerk, sowie

- die Zugangskontrolle durch ein Zertifikat - die Authentifizierung des Zuganges

(optional über Zwei-Wege-Authentifizierungen) - der zeitlich begrenzte, physikalische Zugriff auf die OT-Komponente, wird das Risiko auf ein Minimum beschränkt.


Wenn Sie mehr über die Möglichkeiten des ARENDAR erfahren wollen: www.arendar.io .

24 Ansichten

Arend Prozessautomation GmbH
Am Kleinen Rotenberg 21
54516 Wittlich

Weitere Standorte: Aachen, Rheinbach

Telefon: +49 (0) 6571 95579-0
Telefax: +49 (0) 6571 95579-28
E-Mail: info@arend-automation.de

Mit dem Absenden der Mail erkläre ich mich mit der Verwendung meiner personenbezogenen Daten gemäß der Datenschutzerklärung einverstanden.

  • Facebook - Grey Circle
  • Twitter - Grey Circle
  • LinkedIn - Grey Circle
  • YouTube - Grey Circle

Webdesign von NoCodeDesign & Suchmaschinenoptimierung von CMB-Seo