Mit ihren 200 Mitarbeitern entwickelt und fertigt das in Achern-Gamshurst ansässige Unternehmen Stopa Anlagenbau automatische Lager- und Bereitstellungssysteme, die bei den Betreibern einen effizienten und schnellen Materialfluss sicherstellen sollen. Denn ist das Lagersystem gestört, kann dies schnell den gesamten Fertigungsablauf gefährden. Zu den typischen Störungs-ursachen gehören Anlagen- oder Bedienungsprobleme wie das richtige Handling unter Windows oder die Konfiguration von Feldbussen wie beispielsweise Interbus- oder Profibus-Applikationen.

Entstörungszeit um 50 % reduziert

Früher setzte Stopa beim Remote-Support eine Modem-VPN-Teleservice-­Lösung (Virtual Private Network) ein. Die durchschnittliche Verbindungszeit pro Einsatz betrug hier 75 Minuten. Neben einem langsamen Verbindungsaufbau durch die Modemtechnik erforderte vor allem der interne Datenaustauch des Step-7-Programm-Managers bereits 20 Minuten. Die geringe Übertragungsgeschwindigkeit und das damit verbundene, eher umständliche Handling des Programms und der Windows-Oberfläche verlängerte die Dauer zusätzlich.

Der Betreiber behält stets die Kontrolle. VPN-Verbindungen können per Hardware-Schalter immer nur von der Maschine nach außen aufgebaut werden.

© Stopa Anlagenbau/Innominate

Die Verbindungsdauer ist im Remote-Service eine wichtige Größe, denn je schneller wir dem Kunden helfen können, desto mehr Problemfälle können wir mit dem Support-Team bearbeiten“, betont Ettore Caurla in diesem Zusammenhang. Ergo suchte man bei Stopa nach einer alternativen Lösung und stellte letztendlich auf die ‚mGuard‘-Technologie von Innominate um. Die IP-basierten Fernwartungsverbindungen bieten eine wesentliche höhere Bandbreite als konventionelle Modemverbindungen und zudem eine deutlich verbesserte Sicherheit. Für die Absicherung der IP-Datenverbindungen sind im mGuard mehrere Funktionen integriert.

Dazu zählen ein VPN-fähiger Ethernet-Router und eine konfigurierbare Firewall mit dynamischem Paketfilter. Der mGuard übernimmt dabei die Rolle des VPN-Gateways. Servicetechniker und Anlagennetzwerk werden so über das Internet zu einem gemeinsamen abgesicherten Netzwerk zusammengeschaltet.

Dadurch reduzierte sich die durchschnittliche VPN-Verbindungszeit auf nur noch 37 Minuten. Auch der Ver­bindungsaufbau ging mit anfangs 30 Sekunden deutlich schneller und verringerte sich nach einer Software-Aktualisierung auf nur noch ein paar ­Sekunden. An der Erreichbarkeit der ­Simatic S7- oder S5-Anlagen beim ­Betreiber änderte sich grundsätzlich nichts. Lediglich die Abläufe waren durch die intuitivere Bedienung ein­facher geworden.

Die „schlüsselfertige“ Cloud-Plattform

„Als Anlagenhersteller liegt unsere Kernkompetenz nicht im Aufbau komplexer IT-Infrastrukturen, sondern in servicefreundlichen Anlagen für unsere Kunden“, bringt Ettore Caurla in diesem Zusammenhang ein Thema auf den Punkt, dass bei der Entscheidungsfindung von Stopa hinsichtlich einer zukunftsfähigen Teleservice-Architektur eine entscheidende Rolle spielte und mit dem sich heute gleichermaßen auch viele andere mittelständische Anlagenbauer konfrontiert sehen. Oder um es mit den Worten des Stopa-Servicetechnikers zu sagen: „Wir haben nach einer einfach zu administrierenden und wirtschaftlichen Lösung gesucht. Sie ­musste für unsere Kunden den höchs-ten Sicherheitsstandard gewährleisten. Gleichzeitig wollten wir uns aber nicht mit komplexen Security-Architekturen oder der Konfiguration von VPN-Clients, Proxies und Firewalls beschäftigen müssen.“

Die Architektur der mGuard Secure Cloud public.

© Stopa Anlagenbau/Innominate

Vor diesem Hintergrund erschien dem Anlagenbauer Stopa der Aufbau einer eigenen Security-Infrastruktur zu aufwendig. Denn um eine Security-Lösung stets auf dem aktuellen Stand der Technik zu halten, sind neben zuverlässigen und ausfallsicheren Infrastruktur-Komponenten eine Notfallwiederherstellung (Desaster Recovery) sowie laufende Aktualisierungen notwendig. „Das alles ist für einen mittelständischen Hersteller wegen der hohen Infrastruktur- und Personalkosten wirtschaftlich nicht umsetzbar“, gibt Ettore Caurla zu Bedenken.

Beim Besuch des Geschäftspartners Trumpf, einem Hersteller von Werkzeugmaschinen und Lasersystemen, der ebenfalls mGuard im Einsatz hat, gelangte der Stopa-Servicetechniker schließlich zu der Erkenntnis, dass eine Cloud-Lösung der ideale Ansatz für künftigen Teleservice sei. So ist die mGuard-Hardware für den Einsatz bereits vorkonfiguriert. Für die Einbindung in eine Maschine oder Anlage müssen einmalig lediglich zwei ausgehende Ports eingerichtet werden. „Wir greifen somit nicht in die IT des Kunden ein, und er muss auch keine Software installieren“, hebt Caurla hervor.

Bei der mGuard-Lösung wird über eine hardware-basierte Verschlüsselung ein abhör- und manipulationssicherer VPN-Tunnel zwischen der Anlage beim Betreiber und dem Servicetechniker aufgebaut. Die Verbindung wird dabei über die mGuard Secure Cloud von Innominate geführt, eine schlüsselfertige VPN-Infrastruktur für Betreiber, Maschinen- und Anlagenbauer. Betrieben wird diese Plattform in einem deutschen Rechenzentrum mit den höchsten Sicherheits- und Datenschutz-Standards.

Mit der Cloud-Lösung lassen sich unter anderem Probleme mit der Konfiguration von Zertifikaten, NAT, Proxies oder auch Firewalls vermeiden. Weder beim Anlagenhersteller noch beim Betreiber muss zusätzliche Software in-stalliert werden. Die Datenverbindung zwischen Servicetechniker und Maschine erfolgt per VPN. Dabei kommen eine hardwarebeschleunigte Verschlüsselung per 3DES (168 bit) oder AES (128, 192, 256 bit) und das IP-Security-Protokoll (IPsec) zum Einsatz. Hierdurch sind die Vertraulichkeit, Authentizität und Integrität aller Informationen und Daten garantiert, die zwischen den Servicetechnikern und den Maschinen übertragen werden.

Weil keine technischen Details geklärt werden müssen, kann der Teleservice-Einsatz über eine sichere VPN-Verbindung bereits nach wenigen Stunden verfügbar sein. Neue Feldgeräte zur Einbindung weiterer Maschinen und Anlagen lassen sich mit Hilfe einer vorkonfigurierten SD-Karte in Betrieb nehmen. Die VPN-Konfiguration wird automatisch von der Karte in den mGuard geladen, abgespeichert und aktiviert. Alle operativen Abläufe und Verwaltungsaufgaben werden im Web-Browser erledigt.

Die Cloud – effizient und trotzdem sicher

In einer früheren Tätigkeit als IT-Administrator hatte Ettore Caurla bereits umfangreiche Erfahrungen mit unterschiedlichen VPN-Technologien gesammelt: „Die zentrale IT fordert üblicherweise einen sicheren Schutz der eigenen Anlagen. Vor allem bei großen Unternehmen wird ein Zugriff in das eigene Netz deshalb weitgehend unterbunden. Darüber hinaus machen viele Security-Vorgaben bei der Autorisierung von Teleservice-Verbindungen das Handling extrem uneffektiv.“ Als Beispiel nennt Caurla Security-Tokens, die alle sehn Sekunden ein neues Einmal-Passwort erzeugen. Kommt die Verbindung zustande, ist das Passwort häufig schon abgelaufen. In anderen Fällen muss erst ein IT-Mitarbeiter oder der Vorgesetzte für das Passwort hinzugerufen werden. Solche Prozesse machen den Kundensupport schwierig und ineffektiv.

Den Secure-Cloud-Ansatz hält der Stopa-Mitarbeiter dagegen für erheblich effizienter und trotzdem sehr sicher: „Der Maschinenbediener muss zunächst mit einem VPN-Hardware-Schalter die Verbindung freischalten. Sie wird ausschließlich aus dem Netz des Anlagenbetreibers heraus initiiert.

Während die Verbindung aufgebaut wird, blinkt eine Kontrolllampe. Wenn die Verbindung steht, leuchtet diese Lampe per­manent. Soll der ­Zugriff unterbrochen werden, reicht ein Tastendruck auf den Schalter.“ Kurzum: Der Betreiber behält immer die Kontrolle über Zugriffe auf sein Netzwerk. Dadurch ist die Akzeptanz seitens der Stopa-Kunden für die ­beschriebene Technologie ­mittlerweile sehr hoch. Zudem ist dadurch sicher­gestellt, dass immer ein Maschinen­bediener vor Ort ist und bei einem ­Servicezugriff keine Per­sonen ­gefährdet werden können – ­Stichwort Safety. Ein weiterer nicht zu vernachlässi­gender Vorteil: Selbst 20 Jahre alte ­Simatic-S5-Anlagen lassen sich über Ethernet-Adapter per ­Teleservice einbinden.

Autor: Martin Ortgies ist freier Fachjournalist aus Hannover.