Fernwirken / Fernwarten
Die Unterschiede beim VPN-Einsatz
Die Bereitstellung des Fernzugriffes auf Maschinen und Anlagen gilt mittlerweile als wichtiger Servicebestandteil. Diese zunächst sehr einfach klingende Anforderung wird heute auf vielfältigste Art und Weise gelöst – allerdings noch längst nicht immer mit dem aktuellen Stand der Technik!
Für den weltweiten Zugriff auf Maschinen und Anlagen gab es in den frühen 1990er Jahren nur begrenzte Möglichkeiten. Die Modem-Kommunikation über das öffentliche Telefonnetz war dabei die vorherrschende Lösung. Allerdings ist bei dieser Art der Kommunikation der Datendurchsatz sehr begrenzt. Mittlerweile ist es außerdem immer schwieriger, einen PSTN- oder ISDN-Anschluss vor Ort – sprich in den Produktions- beziehungsweise Fertigungshallen – zu erhalten.
Stattdessen ist heute jedoch an vielen Standorten ein DSL-Anschluss oder das Mobilfunknetz verfügbar. Somit ist das Internet für jede Art von Verbindung nutzbar – auch für den Fernzugriff. Eine sehr praktikable Lösung hierfür sind so genannte „virtuelle private Netzwerke“ (VPN). Diese schützen zuverlässig vor unerlaubten Zugriffen auf sensible Daten, die über das Internet transportiert werden. Auf diese Weise lassen sich neue und weiterentwickelte Möglichkeiten der Anlagen-Diagnose vor Ort erschließen, etwa durch Einsatz von Webcams und Condition-Monitoring-Tools zur Anlagen-Optimierung sowie vorbeugenden Anlagen-Wartung. Was viele jedoch nicht wissen: VPN ist nicht gleich VPN! Vielmehr gibt es unterschiedliche Arten von VPN-Verbindungsstandards und viele Anwender setzen auf individuelle Lösungen. Für den Maschinenbauer bedeutet dies, dass er unter Umständen mehrere VPN-Programme gleichzeitig auf seinen PCs installieren muss, was letztlich zu einer erhöhten Komplexität der Anlagen-Integration führt.
Während bei der Kommunikation über Modem auf beiden Seiten lediglich herkömmliche Modems und eine Telefonleitung als einzige Hilfsmittel erforderlich waren, ist bei der VPN-Technologie entsprechendes Hintergrundwissen bei IT-Fragen und Nutzung des Internets unabdingbar. Grundsätzlich bietet die VPN-Technologie eine Kombination aus Verschlüsselungs- und Tunnel-Funktionen. Die Daten gehen dabei in gekapselten IP-Paketen auf die Reise durch das Internet. Das heißt: Wenn der eine Teilnehmer (Absender) Daten verschicken möchte, werden die Originaldaten verschlüsselt und in ein komplett neues IP-Paket verpackt. Der Empfänger entpackt die Daten, entschlüsselt diese und sendet das Originalpaket durch das Empfängernetzwerk. Auf diese Weise bleibt der Ursprung der Nachricht unverfälscht erhalten.
Network-Layer-VPN versus Application-Layer-VPN
Ein firmeneigener VPN-Server, wie im oberen Bild dargestellt, setzt viel IT-Wissen und IT-Arbeit im Unternehmen voraus.
© WachendorffSo genannte Network-Layer-VPNs bieten ihren Nutzern permanent den externen Zugriff auf ihre Firmennetzwerke über das Internet – quasi so, als ob sie intern im LAN verbunden wären. Dies ist mitunter die beste Lösung für geographisch weit verteilte Benutzer, die damit nahtlos auf die gleichen Ressourcen im Firmennetzwerk zugreifen wie interne Benutzer im LAN. Hierbei obliegen die Festlegung und die Durchführung den Sicherheitsrichtlinien der IT-Abteilungen in den beteiligten Unternehmen. Diese legen auf beiden Seiten des Internetzugangs die Sicherheitsanforderungen fest.
In der Welt des Maschinenbaus bedeutet dies, dass der Maschinenbauer auch die Sicherheitsfunktionen bei seinem Kunden kontrollieren und die Einstellungen diktieren müsste. Dies ist mitunter nicht einfach umsetzbar, da sich die IT des Kunden ungern auf externe (An-)Forderungen einlässt und möglichst an etablierten Sicherheitseinstellungen festhält. Es ergibt sich die Problematik, dass zwei Stellen gleichzeitig an einer Sicherheitsbrücke arbeiten müssen. Zugriffsrechte müssen dadurch zwangsweise eingeschränkt und oft aufwendig verwaltet werden. Da der Maschinenbauer sich immer wieder neu an die individuellen Vorschriften und Regelungen jedes einzelnen Kunden zu halten hat, ist der Installations- und Pflege-Aufwand des Maschinenbauers beträchtlich. Schnell stehen Kosten und Nutzen nicht mehr in einem vernünftigen Verhältnis.
Ein typisches Beispiel für ein Network-Layer-VPN ist das IPsec-Protokoll. Application-Layer, wie zum Beispiel SSL-VPN, nutzen eine andere Methode für den gesicherten Datentransport über das Internet. Sie verwenden den gleichen Weg wie Web-Verbindungen, wodurch sich die erforderlichen Konfigurationseinstellungen minimieren lassen. Prinzipiell lässt sich sagen: Immer dort, wo eine Web-browser-Anwendung verfügbar ist, gibt es aus Sicht des Anwenders bereits einen Weg zur Außenwelt – sprich an das Internet. Mit anderen Worten: SSL-Verbindungen (Secure Sockets Layer) bieten einen kontrollierten Zugriff auf definierte, einzelne Anwendungen anstelle des kontrollierten Zugriffes auf ein gesamtes Firmennetzwerk.
Sie lassen sich somit wesentlich leichter als Netzwerk-Verbindungen einrichten und kontrollieren. Ergo: Der Installations- und Pflegeaufwand reduziert sich enorm gegenüber Netzwerk-Verbindungen. Ein typisches Beispiel für ein Application-Layer-VPN ist das OpenVPN-Protokoll.
Gründe für eine webgehostete Architektur
Ist das Thema Network-Layer-VPN oder Application-Layer-VPN geklärt, bleibt noch die Frage, wie sich eine VPN-Kommunikation zwischen dem Nutzer (Maschinenbauer) und der Maschine etablieren lässt. Zwei mögliche Lösungsansätze diesbezüglich sind:
1. Am Standort des Nutzers installiert man eine Komponente (VPN-Server), die als VPN-Endpunkt für den von der Maschinenseite her initiierten VPN-Tunnel dient. Dies erfordert die Installation eines Software-VPN-Servers auf einem PC beziehungsweise als Hardwarelösung und dessen Konfiguration. Der größte Aufwand ist hierbei die Installation und die Rechtevergabe bei jeder neuen Anbindung einer weiteren Maschine. Mitarbeiter der IT-Abteilung müssen hierbei jeweils die Rechte vergeben und für den Zertifikats-Austausch sorgen. Des Weiteren haben sie hierbei in der Zentrale eine eingehende Verbindung aus dem Internet.
2. Eine andere Möglichkeit ist das Auslagern des internen VPN-Servers in einen externen Server. Damit entfällt der Installations- und Pflegeaufwand für den Maschinenbauer gänzlich. Diesen Aufwand – insbesondere die Aufrechterhaltung des Servers bei Störungen – übernehmen Spezialisten des Dienste-Anbieters. Gleichzeitig bietet die Web-Architektur eine bessere Skalierbarkeit als eine Hardware-Lösung, entbindet vom Software-Pflegeaufwand und verteilt den Datentransfer auf verschiedene Server, um die jeweils bestmögliche Bandbreite zu gewährleisten. Bei dieser Art der Anwendung benutzt man den externen Server als so genannten Rendevouz-Server, bei dem sich die Anlage von der einen und der Nutzer mit seinem PC von der anderen Seite treffen.
Das Thema Sicherheit
Der Zugriff auf etablierte Service- Portale, wie zum Beispiel Talk2M garantiert dem Nutzer (abhör-) sichere, schnelle Verbindungen bei höchster Verfügbarkeit.
© WachendorffBeide Technologien – sowohl Network-Layer-VPN als auch Application-Layer-VPN – sichern effektiv den Netzwerkverkehr. Sie haben viele Gemeinsamkeiten, wie zum Beispiel die zuverlässige Verschlüsselung, Authentifizierung und die Datenintegrität. Die Web-Hosting-Applikation verfügt außerdem über Sicherheitsmechanismen, die den Zugriff auf andere Konten und somit die Privatsphäre eines jeden Maschinenbauers schützt. Ein wichtiger Aspekt, der hierbei immer in Betracht gezogen werden sollte, sind die Firewall-Einstellungen am jeweiligen Firmennetz. Arbeitet man mit einem VPN-Server als zentraler Bezugspunkt in einem Firmennetz, so muss eine eingehende Verbindung aus dem Internet in der Firewall geöffnet werden. Jede geöffnete Verbindung birgt aber die Gefahr von Eindringlingen wie Trojaner und Viren. Bei der webgehosteten Alternative wird nur mit ausgehenden Verbindungen gearbeitet. Damit ist die Sicherheitsbarriere in der Firewall mit maximalem Sicherheitslevel einstellbar.
Prinzipiell wünschen sich Maschinenbauer die Möglichkeit, überall und jederzeit einen Fernzugriff für den Service, den Support und die Wartung aufbauen zu können. Dabei ist in der Regel nicht der dauerhafte Zugang über 24 Stunden am Tag erforderlich. Meist wird der Zugang nur sporadisch und nur für kurze Zeit benötigt, um beispielsweise Störung und Stillstand einer Anlage schnell beseitigen zu können. Auch kann es sein, dass der Kunde den Zugriff auf die Anlage nur dann haben möchte, wenn er diesen frei gibt. Das Trennen der Maschine vom Fernzugriff ist nicht unbedingt ein wesentlicher Bestandteil der Sicherheit, aber es gibt dem Kunden das Gefühl der physikalischen Kontrolle. Darüber hinaus kann dies eine Frage der laufenden Kosten sein – insbesondere bei Mobilfunkverbindungen. Der Nutzer muss nicht immer die Monatsflatrate buchen, sondern kann bei sporadischem Zugriff auf kleinere und kostengünstigere Preismodelle umsteigen. Wichtig in diesem Zusammenhang ist, den Aspekt der „unterbrechbaren“ Verbindung in Betracht zu ziehen. Das heißt: Die Endgeräte müssen in der Lage sein, die Verbindung zum Internet jederzeit selbstständig wieder aufbauen zu können.
Auf den Punkt gebracht: Ein Webhosting-System eignet sich insbesondere für die Anwender, die nicht über das Know-how im Aufbau von VPN-Systemen verfügen, oder die hohe Installations- und Pflegekosten ebenso scheuen wie das umständliche Programmieren von Oberflächen zum schnellen Zugriff auf die Anlage. Außerdem bekommt man hier Garantien für die Verfügbarkeit der Server – meist rund um die Uhr an 365 Tagen – und garantierte Bandbreiten über die VPN-Verbindung, um so schnellstmöglichen Service leisten zu können.
Autor: Oliver Prang ist Produktmanager für industrielle Kommunikation bei Wachendorff Prozesstechnik, Geisenheim.













