Sichere Fernwartung per Cloud-basierter Web-Plattform

Im dritten Teil unserer Artikelserie zum nationalen Referenzprojekt IUNO geht es um die Frage: Wie lässt sich im Zeitalter von Industrie 4.0 eine unter dem Security-Aspekt sichere Fernwartung von industriellen Anlagen mit vertretbarem Aufwand gewährleisten?

Der Bedarf an Fernwartungslösungen von Maschinen und Anlagen steigt kontinuierlich. Dabei werden zukünftig insbesondere über neue Internet-Dienste mehr und mehr Zugriffe auf Produktionsanlagen stattfinden. Vor diesem Hintergrund und angesichts einer steigenden Anzahl von Angriffen auf industrielle Komponenten in den letzten Jahren ist eine sichere und benutzerfreundliche Fernwartung und Authentifizierung ins Werk unabdingbar.

Beim Blick in die Werkshallen von ­heute stellt man allerdings schnell fest: Der Wunsch nach Vernetzung nimmt viel schneller zu, als das Bewusstsein der Akteure für eine sichere Kommu­nikation. Erschwerend kommt hinzu, dass in den Produktionshallen in der Regel eine hohe Vielfalt an Anlagen unterschiedlicher Hersteller herrscht. Das macht die Fernwartung dieser Anlagen unübersichtlich und kompliziert. Die ­Spezifikationen der einzelnen Anlagen erfordern zudem häufig eine individuelle Wartung durch einen speziellen ­Servicetechniker direkt vor Ort. Dadurch entstehen nicht zuletzt sehr hohe Kosten.

IUNO möchte dieser Problematik mit der Entwicklung einer cloudbasierten Web-Plattform begegnen. Diese soll einen einheitlichen Prozess für den Zugriff und die Wartung über das Internet ermöglichen und dem Unternehmen – egal ob großer Konzern oder KMU – jederzeit einen Überblick über alle aktuellen und vergangenen Zugriffe bieten. Eine möglichst hohe Kompatibilität und Herstellerunabhängigkeit sind dabei weitere zentrale An­forderungen. Dies soll vorwiegend durch die Verwendung von State-of-the-Art-Technologien und -Methoden sowie gängige Security-Protokolle sichergestellt werden.

Zu den wichtigsten Ergebnissen des IUNO-Teilprojektes ‚Sichere Dienste / Fernwartung von Produktionsanlagen‘ gehören:

• Entwicklung einer zentralen Fernwartungsplattform;
• Erforschung von neuartigen Konzepten der Vernetzung über Software Defined Networking;
• Entwicklung eines neuartigen Ansatzes zur Benutzer-Authentifizierung;
• Entwicklung eines Ansatzes zu Schlüsselverwaltung für die Industrie sowie Verfahren, die eine Erzeugung vom kryptografischen Material aus dem Funkkanal ermöglichen;
• Entwicklung von Konzepten und Technologien, die eine Verwaltungsschale für die vernetzte Industrie bereitstellen.

Bild 1 zeigt die Gesamtarchitektur des von den Projektpartnern erarbeiteten Lösungsansatzes ausgehend von folgendem Beispiel-Szenario: Der externe Servicetechniker in der Office-Zone (Bild 1, oben links) möchte eine industrielle Anlage in der Produktionszone im Werk fernwarten. Dabei wird die zentrale Plattform als Vermittlungsschnittstelle genutzt und dient dazu, den Servicetechniker mit der Maschine zu verbinden. Die zentrale Plattform besteht zudem aus:

• einer Ticketing-Engine, welche für die Verwaltung der Service-Anfragen zuständig ist,
• einer Komponente für die Benutzerverwaltung,
• einem Key-Management-Server, zuständig für die Verwaltung von kryptografischen Schlüsseln für die Maschinen,
• einem Authentifizierungsserver, zuständig für die Authentifizierung des Servertechnikers sowie
• aus dem Master SDN-Controller, welcher für die Vernetzung mittels Software Defined Networking (SDN) zuständig ist.

Zur praktischen Umsetzung beziehungsweise Erprobung des Lösungsansatzes wurden zwei Demonstratoren erarbeitet und aufgebaut: Der erste Demonstrator bei Bosch Rexroth in Lohr orientierte sich primär an der Abbildung einer bestehenden IT-Architektur in einem Produktionswerk. Das Ziel lag in einem möglichst zeitnahen, produktiven Einsatzes der im Rahmen des Forschungsprojekts implementierten Lösungsansätze. Im zweiten Demonstrator in Darmstadt wurden neuartige Vernetzungsansätze erforscht, welche auf Software-Defined-Networking-Technologien (SDN) aufbauen. Dies deshalb, weil zu erwarten ist, dass diese Technologien in einigen Jahren Einzug in die Produktionswerke finden wird. Zum Hintergrund: Die herkömmliche Administration von Netzen mit vielen verschiedenen Geräten, darunter Router und Switche, ist sehr komplex und zeitaufwendig: Die Intelligenz ist auf viele Geräte verteilt, und jedes Gerät ist für Aufgaben auf verschiedenen Ebenen zuständig. Sinn und Zweck von SDN ist die Vereinfachung der Administration von Netzwerken durch die Trennung der Kontrollebene von der Datenebene.

Zu Beginn des Projektes wurde zunächst eine Bedrohungsanalyse durchgeführt. Das heißt, es wurden unter Einbeziehung von externen Experten Angreifermodelle festgelegt, Misuse-Cases definiert und zu jedem Misuse-Case ein Angriffsbaum gebildet. Daraufhin wurden in einer Risikokarte die Misuse-Cases nach Schaden und Eintrittswahrscheinlichkeit gewichtet und priorisiert. Im letzten Schritt erfolgte die Bestimmung der aus den Bedrohungen resultierenden Sicherheitsanforderungen, welche die Grundlage für die festgelegten Sicherheitsmaßnahmen bilden.

---

1. Sichere Fernwartung per Cloud-basierter Web-Plattform
2. Vernetzung mit Software Defined ­Networking
3. Authentifizierung über QR-Login
4. Vorteile und Nutzen der Lösung
5. Das IUNO-Projekt

---

Das könnte Sie auch interessieren

Verwandte Artikel

Robert Bosch GmbH, Technische Universität Darmstadt