A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

Industrie-Router ermittelt erreichbare Steuerungen

Das breite Programm an Industrie-Routern und ­Datenmodems ermöglicht den sicheren Zugriff auf Anlagen, Steuerungen, Prozessparameter und Betriebsdaten

Das breite Programm an Industrie-Routern und ­Datenmodems ermöglicht den sicheren Zugriff auf Anlagen, Steuerungen, Prozessparameter und Betriebsdaten

01  Die Industrie-Router „mbNET“ und „mbNET.mini“ können mit dem Remote-Service-Portal „mbConnect24“ vorhandene Steuerungen auch ohne bekannte IP-Adresse finden

01  Die Industrie-Router „mbNET“ und „mbNET.mini“ können mit dem Remote-Service-Portal „mbConnect24“ vorhandene Steuerungen auch ohne bekannte IP-Adresse finden

02  Nach dem erfolgreichen Verbindungsaufbau ist „SEARCHoverIP“ bereit

02  Nach dem erfolgreichen Verbindungsaufbau ist „SEARCHoverIP“ bereit

03  Nachdem die Steuerung gefunden wurde, kann sie aus der Ferne konfiguriert werden

03  Nachdem die Steuerung gefunden wurde, kann sie aus der Ferne konfiguriert werden

Fernwartung soll nicht nur sicher sein, sie soll auch möglichst viele Anwendungs­fälle abdecken. Unter funktionalen Lücken, beispielsweise wenn nicht auf Steuerungen mit unbekannter IP-Adresse zugegriffen werden kann, leiden Rentabilität und damit auch die Akzeptanz. Der Fernwartungsbaukasten um das Remote-Service-Portal „mbConnect24“ bietet hier neue Möglichkeiten, ohne auf Security zu verzichten.

Wenn das Servicepersonal eines Maschinenbauers zum Kunden reisen muss, obwohl eine IP-basierte Fernwartungslösung im Einsatz ist, ist das ärgerlich. Bei einer Fernwartungsverbindung über das Internet muss der SPS-Programmierer jedoch die genauen IP-Adressen der Teilnehmer kennen. In der Praxis kommt es aber immer wieder vor, dass an der Anlage eine SPS in Betrieb genommen oder ersetzt werden soll, deren IP-Adresse auf 0.0.0.0. steht oder nicht bekannt ist. Dann benötigt der Servicetechniker entweder Kollegen vor Ort, welche die Grundkonfiguration einrichten können, oder er ist dazu gezwungen, doch persönlich zur Anlage zu reisen. Beides ist mit Zeitaufwand verbunden und stört den Workflow eines effizienten Serviceablaufs erheblich.

Auf der Suche nach Steuerungen im Netz
Steuerungen werden häufig „Out-of-the-box“ in eine Anlage eingebaut. Das bedeutet: aus der Verpackung nehmen – einbauen – fertig. Das spart Zeit und stellt keine hohen Ansprüche an das Personal. Zur Inbetriebnahme haben die SPS-Hersteller in ihren Programmiertools die sogenannten Discovery-Möglichkeiten integriert. Per Broadcast oder Multicast wird das Netzwerk dabei auf vorhandene Steue­rung gescannt, um die für die Inbetriebnahme relevanten Steuerungen zu finden. In der Regel sind diese Möglichkeiten jedoch auf das lokale Netzwerk beschränkt. Multicast funktioniert nicht über die Layer3-Kommunikation, auf der geroutete VPN-Verbindungen basieren.
Mit der Funktion „SEARCHoverIP“ bietet das Remote-Service-Portal „mbConnect24“ von MB Connect Line diese Arbeitserleichterung jetzt auch für den Fernzugriff (Bild 1). Sobald der Programmierer über das Portal mit einem Industrie-Router verbunden ist, wird die Multicast-Anfrage an den Router weitergeleitet und dort ausgeführt (Bild 2). Die Antwort wird an die Programmiersoftware zurückgegeben, sodass der Anwender die Steuerung auswählen und ­parametrieren kann (Bild 3). Damit hat er über die Fernwartung dieselben komfortablen Möglichkeiten wie im lokalen Netz. Neben den S7-Steuerungen von Siemens werden auch die SPS von Schneider Electric, Rockwell, Beckhoff und Pilz unterstützt.
Eine weitere Neuheit ist das Extended Routing, das eine Fernwartung und Datenerfassung über verschiedene Netzwerksegmente hinweg erlaubt. Die neue Funktion bietet die Möglichkeit, unterschiedliche Netze über die an der LAN-Schnittstelle angeschlossenen Router oder Managed Switche zu erreichen.

Treiber für S7-Software
Mit dem Treiber „mbNET-S7“ ist der Zugriff auf S7-Steuerungen möglich, die mit der MPI/Profibus-Schnittstelle der Industrierouter „mbNET“ verbunden sind. Da sich der Treiber ­direkt in die PG/PC-Schnittstelle einklinkt, ist der Aufbau einer Fernwartungsverbindung möglich, ohne dass der Anwender das S7-Projekt manuell anpassen muss. Die Router können auch als RFC-1006-Gateway einschließlich Routing über RFC 1006 dienen. Das ist beispielsweise interessant, wenn der Router im Maschinennetzwerk noch zusätzlich als Gateway von einem LAN-HMI zu einer MPI-Steuerung genutzt werden soll. Der Treiber unterstützt S7-Classic sowie das TIA Portal V11 bis V13 mit den CPU S7-1200 und S7-1500.
IP-basierte Steuerungen werden direkt unterstützt. Dank Source-NAT sind am Anlagennetzwerk keine netzwerktechnischen Konfigurationsänderungen, wie Gateway-Einstellungen, erforderlich. Die „mbNET“-Router sorgen im bestehenden Anlagen-Netzwerk für die Übersetzung der IP-Adressen zwischen dem privaten Netz und dem Internet. Alle IP-Pakete werden vom Fernwartungsrouter in den Netzwerk­bereich des Maschinen-LAN maskiert. Eine Rekonfiguration der Geräte wegen des Standard-Gateway-Eintrags oder gar ein Neustart der SPS oder der ganzen Anlage während der Installation sind damit Vergangenheit.

Fernwartung von USB-Geräten
Mit der Funktion „USBoverIP“ unterstützt das Remote-Service-Portal in Verbindung mit den Industrie-Routern „mbNET.mini“ den Fernzugriff auf USB-Geräte. Damit lassen sich beispielsweise Steuerungen der Hersteller Schneider Electric und Rockwell in moderne Fernwartungskonzepte integrieren – ebenso Sensoren, Regler oder Kameras mit USB-Anschluss. Mann muss die Komponenten lediglich mit dem USB-Port eines Industrierouters „mbNET.mini“ verbinden. „USBoverIP“ ­erfüllt dieselben hohen Sicherheitsstandards wie direkte IP-Verbindungen. Die Übertragung der Daten erfolgt verschlüsselt anhand des Sicherheits­protokolls TLS (SSL) über gesicherte Verbindungen. Zugriff haben nur Benutzer, die auf dem zentralen Portal mit der entsprechenden Berechtigung registriert sind.

Unterschiedliche Prioritäten von IT und Produktion
Aus der Sicht der Automatisierungstechnik sind die Vorteile sowie der Nutzen von Fernwartung unbestritten, zumal die hier vorgestellten Funktionen und Dienste die Möglichkeiten der Fernwartung erweitert haben. Unabhängig davon, ob es sich um eine Anlagenstörung, um eine Umrüstung oder schlicht um Bedienfragen handelt, das Servicepersonal des Maschinenbauers kann per Fernwartung innerhalb von Minuten unterstützen. Was im Störungsfall eine tolle ­Sache ist, kann im Fall eines Missbrauchs zu großen Problemen führen. Verschafft sich jemand in böser Absicht Zugang zu technischen Anlagen, egal ob Produktionsanlagen, Gebäudetechnik oder Infrastruktur, können Schäden in bedeutender Höhe entstehen; beispielsweise durch die Ausspähung von Rezeptur- und Produktionsdaten oder durch eine Manipulation der Anlage, die zur Zerstörung führt – etwa durch Übertemperatur oder mechanische Überlastung.
Das Thema Sicherheit und Zugriffsschutz fällt in der Regel in die Zuständigkeit der IT (Informationstechnik). Dort steht die Sicherheit an erster Stelle und damit über der Funktionalität und der Verfügbarkeit. Im Gegensatz dazu steht an einer Produktionsanlage die Verfügbarkeit über ­allem anderen. Das lässt sich mit einem einfachen Vergleich erklären: Die Steuerung eines Bearbeitungszentrums oder einer Abfüllanlage muss innerhalb von Millisekunden ­reagieren. Dagegen spielt es an einem Büro-PC keine Rolle, wenn der Benutzer einmal fünf Sekunden auf einen ­Virenscanner wartet.

Sichere Remote-Service-Plattform
Eine zentrale Plattform, wie „mbConnect24“, erfüllt die ­Anforderungen der IT und der Automatisierungstechnik. Sowohl das Servicepersonal als auch die Maschinen und ­Anlagen verbinden sich mit der Remote Service Plattform. Der große Vorteil ist, dass Verbindungen von innen nach außen ohne Änderungen an bereits vorhandenen Firewalls funktionieren. Eingehende Verbindungsanfragen an den Maschinen kommen prinzipbedingt nicht vor. Bei den Kunden bereits eingeführte Sicherheitsstrategien bleiben unberührt.
Die Übertragung der Daten erfolgt verschlüsselt über ­gesicherte VPN-Verbindungen. Als Verschlüsselungsprotokoll kommt TSL (SSL) zum Einsatz. Die Authentifikation ­erfolgt mittels Zertifikat und zusätzlicher Zwei-Faktor-Authentifizierung (2FA). Diese beruht auf zwei unterschiedlichen Erkennungsmerkmalen: den Faktoren, welche der Benutzer bei der Anmeldung an die Plattform „mbConnect24“ eingeben muss. Der Anwender startet die Anmeldung, indem er seinen Benutzernamen und das Passwort als ersten Faktor eingibt. Anschließend wird als zweiter Faktor eine PIN abgefragt, welche von der Plattform per SMS an das Mobiltelefon des Benutzers gesendet wird. Für die SMS selbst entstehen keine Kosten. Der Sicherheitsvorteil resultiert daraus, dass die beiden Faktoren Passwort und PIN unabhängig voneinander verwaltet beziehungsweise generiert werden. Diese hohen Sicherheitsstandards ermöglichen den Einsatz auch in geschäftskritischen Anwendungen.

Daten im virtuellen Speicher
Ein zentraler Punkt, der im Rahmen der vielen Diskussionen um die Sicherheit immer wieder auf den Tisch kommt, ist die Frage, wo die Daten physikalisch gespeichert werden.
• Wo steht der Server?
• Wie ist dieser gesichert?
• Welche nationalen Gesetze gelten am Serverstandort?
Hier bietet MB Connect Line mit „mbConnect24.virtual“ eine passende Lösung. Die Remote Service Plattform für „VMware vSphere“ kann direkt auf der Server-Infrastruktur des Anwenders betrieben werden. Damit befindet sich kein Tunnel-Endpunkt außerhalb des eigenen Hoheitsgebiets. Zudem sind alle Vorteile einer virtualisierten Umgebung, wie Skalierbarkeit, Verfügbarkeit, Performance, Datensicherung und schnelle Wiederherstellung, nutzbar. Über verschiedene Lizenzmodelle von Free bis Advanced wächst die Leistungsfähigkeit der Plattform mit den Kundenanforderungen mit. Dank regelmäßiger Sicherheits-Updates ist die Kunden­plattform stets auf dem aktuellsten Stand. Mit dieser Lösung hat der Anwender nicht nur die Daten im Haus, er ist auch unabhängig von der Servicequalität externer Dienstleister.

Fazit
Die umfassenden Möglichkeiten heutiger Fernwartungslösungen ermöglichen einen effizienten und kostengünstigen Service, unabhängig von der Entfernung. Wichtig ist dabei, dass die eingesetzte Lösung in Sachen Industrial Security dem Stand der Technik entspricht. Ebenso wichtig ist, dass der Anwender die Security-Funktionen nutzt und mit sicheren Passwörtern arbeitet. Allgemein bekannte Abteilungspasswörter sollten ebenso der Vergangenheit angehören wie die kleinen gelben Haftnotizen, welche die Passwörter für jedermann zugänglich machen. (no)

Siegfried Müller ist Geschäftsführer der MB Connect Line GmbH in Dinkelsbühl. info@mbconnectline.de

Siegfried Müller ist Geschäftsführer der MB Connect Line GmbH in Dinkelsbühl. info@mbconnectline.de