Ein Cloud-basierter Zugang ist eine neue, flexible Methode des Fernzugriffes, die nicht mit den inhärenten Sicherheitsrisiken des traditionellen Zugriffs via VPN-Tunnel in Verbindung gebracht wird.

Bild: iStock, Rawpixel Ltd
8 Bewertungen

Cloud statt VPN Sicheren Remote-Zugriff realisieren

13.05.2019

Remote-Zugriff auf Maschinen und Anlagen erleichtert deren Steuerung und Wartung deutlich. Er birgt allerdings auch große Sicherheitsrisiken. Deutlich reduzieren lassen sich diese durch einen auf der Cloud basierenden Zugang.

[]

Industrie 4.0 bietet Herstellern die Möglichkeit, detaillierte Einblicke in Produktionsprozesse zu erlangen. Ausgehend von den durch vernetzte Geräte gelieferten Daten können Werksleiter Ineffizienzen aufspüren, Kosten senken und Ausfallzeiten minimieren.

Damit all das effizient erledigt werden kann, ist es sinnvoll, einen Remote-Zugriff auf Daten und Informationen zu ermöglichen. Das kann sich allerdings in Bezug auf die Aufrechterhaltung der betrieblichen Sicherheit als Herausforderung erweisen. Ein sicherer Remote-Zugriff ist definiert als die Fähigkeit der Nutzer einer Organisation, von anderen Orten als den Anlagen der Organisation aus, auf deren nicht öffentliche EDV-Ressourcen zuzugreifen.

Das eröffnet zahlreiche Vorteile, etwa können Reisen entfallen oder Personal lässt sich für die Überwachung mehrerer Anlagen zuweisen. Neben der Überwachung können auch Instandhaltung und Fehlerbehebung mittels Remote-Zugriff gehandhabt werden. Laut Daten, die von erfahrenen Support-Technikern erhoben wurden, erfordern geschätzte 60 bis 70 Prozent aller Maschinenprobleme lediglich einfache Korrekturmaßnahmen, wie eine Software-Aktualisierung oder eine geringfügige Änderung einiger Parameter – und das kann dank eines Remote-Zugriffs erledigt werden.

Ausfälle prognostizieren

Remote-Zugriffe senken nicht nur die für Instandhaltung und Fehlerbehebung erforderliche Kosten und Zeit, sondern können auch Ausfallzeiten reduzieren. Beispielsweise lassen sich durch die Nutzung prädiktiver Analytik Komponentenausfälle bereits im Vorfeld prognostizieren, und das entsprechende Ersatzteil kann bei einem Zulieferer bestellt werden. Das verschlankt und optimiert den Prozess für Instandhaltungstechniker und zeigt ihnen Fehler umgehend an – auch dann, wenn sie sich nicht vor Ort befinden.

Zurzeit bestehen noch zahlreiche bedeutende Herausforderungen für Remote-Zugriffe auf industrielle Steuerungssysteme. Dazu gehören unter anderem Sicherheit, Konnektivität und Komplexität. Ein konventioneller Remote-Zugriff umfasst virtuelle private Netzwerke (VPN) und Remote-Desktop-Verbindungen (RDC). Dabei handelt es sich um komplexe und kostspielige Technologien, denen außerdem die Flexibilität fehlt, auf die Hersteller angewiesen sind.

Unflexible VPN-Netzwerke

Der durch konventionelle Technologien gesteigerte Grad der Komplexität kann zu Sicherheitsschwachstellen führen. Üblicherweise wurden industrielle Steuerungssysteme ursprünglich nicht für den vernetzten Betrieb konzipiert und die Verwendung eines VPN verbindet das System mit dem IT-Netzwerk. Das vergrößert die potenzielle Angriffsfläche. Wenn Hacker Zugriff auf einen Punkt des Systems erlangen, können sie auf das gesamte System zugreifen. Beim Hacker-Angriff auf das ukrainische Stromnetz und bei der Cyber-Attacke auf die US-amerikanische Handelskette Target war das der Fall.

Die Nutzung eines traditionellen VPN für den Fernzugriff bedeutet, dass die IT-Ingenieure für jeden Maschinenanbieter einen eingehenden VPN-Tunnel durch ihre Firewall bereithalten müssen. Durch diesen können sie aus der Ferne auf die verschiedenen angeschlossenen Geräte zugreifen.

Im Rahmen dieses Prozesses müssen die einzelnen Maschinen modifiziert werden, damit ihre Steuerungen eine IP-Adresse erhalten und sie mit dem Netzwerk verbunden werden können. Jeder Computer, der für einen Fernzugriff genutzt wird, benötigt dafür eine konfigurierte Kopie der VPN-Software. Dadurch kann sich der Hersteller dahingehend absichern, dass diese Computer ein ausreichend hohes Sicherheitsniveau gewährleisten. Selbst wenn dieser Prozess korrekt durchgeführt wird, bestehen für die IT-Abteilung noch immer Sicherheitsrisiken in Bezug auf ihr Netzwerk.

Insgesamt ist der Prozess komplex, kostenintensiv, organisatorisch eine Herausforderung und zeitintensiv. Zur Problemlösung benötigen Hersteller eine sichere, flexible und skalierbare Strategie für die Remote-Verwaltung von Maschinen. Eine Option, die Hersteller wählen können, um das zu erreichen, ist der Zugang über die Cloud.

Ältere Ausrüstung vernetzen

Ein Cloud-basierter Zugang ist eine neue, flexible und sichere Methode des Fernzugriffes auf Maschinen in der Werkhalle. Mittels dieses Ansatzes kann Erstausrüstern (OEM), Maschinenbauern und Systemintegratoren der zum Support von Maschinen nötige Zugang ermöglicht werden, ganz gleich, wo auf der Welt sich das Werk befindet.

Die Nutzung eines Cloud-basierten Ansatzes integriert Remote-Gateways, Cloud-Server und Client-Software, um flexibel von einem entfernten Ort auf die Ausrüstung zuzugreifen. Auf diese Weise kann auch ältere Ausrüstung mit der Cloud vernetzt werden, damit sie von den richtigen Nutzern in Echtzeit verwaltet und analysiert werden kann.

Der Cloud-basierte Fernzugriff funktioniert nach völlig anderen Prinzipien als traditionelle VPN-Tunnel und wird daher nicht mit den inhärenten Sicherheitsrisiken in Zusammenhang gebracht. Bei einem Cloud-basierten Fernzugriff verbindet sich das Remote-Gateway mit der Ausrüstung und ermöglicht den Zugriff und deren Steuerung. Für eine sichere Verbindung installiert die IT-Abteilung die Client-Software auf dem Computer, für den der Zugang benötigt wird. Nach der erfolgreichen Authentifizierung können beide eine ausgehende Verbindung über die Cloud starten. Die ausgehende Verbindung arbeitet über einen Fernzugriffstunnel, mit dem die Beschränkungen traditioneller Methoden überwunden werden.

Die Cloud entlastet die IT

Jedem Nutzer, der einen Fernzugriff benötigt, kann ein individueller Account und ein Passwort zugewiesen werden. Dadurch kann das IT-Team sicherstellen, dass jede Person lediglich Zugang zur korrekten Ausrüstung und nicht auf das gesamte Werk oder Netzwerk hat. Die Einrichtung eines Zugangs auf diese Art und Weise macht den komplexen Konfigurationsprozess für die IT-Teams überflüssig, da die Konfigurationsaufgaben automatisch ausgeführt werden.

Für die IT-Abteilung erübrigt sich außerdem das Problem der Erstellung individueller IP-Adressen für jeden Controller, da das Cloud-basierte System diese automatisch zuweist. Ist das Cloud-System eingerichtet, können die Verbindungen zentral verwaltet werden, anstatt dass das separat durch den Maschinenanbieter erfolgt.

Die Verschlüsselung eines auf der Cloud basierenden Fernzugriffs stellt sicher, dass Informationen nicht in die falschen Hände gelangen. Mit der Entscheidung für eine IPsec-VPN-Technologie mit AES-256-Verschlüsselung lässt sich Vertraulichkeit garantieren. Zusätzlich kann eine Verbindung unterbrochen werden, wenn sie nicht benötigt wird, um die Sicherheitsrisiken weiter zu mindern. Dies kann darüber hinaus zur Kostenreduzierung beitragen.

AES-256-Verschlüsselung

Ein Beispiel für ein Cloud-basiertes sicheres Fernzugriffssystem ist Ewon Talk2M, welches einen VPN-Router mit einem Cloud-Service mit Fernzugriff kombiniert. Der Ewon-VPN-Router initiiert einen authentifizierten, verschlüsselten Punkt-zu-Punkt-HTTPS-Tunnel durch das Netzwerk des Standortes, der durch die Firewall des Werks führt, über das Internet und hin zu den Talk2M-Cloud-Servern.

Der Hersteller der Maschine ist dadurch in der Lage, eine sichere Verbindung mit dem gleichen Talk2M-Cloud-Account herzustellen, mit dem der Ewon bereits die Verbindung hergestellt hat. Das bedeutet, dass der Fernzugriff ausschließlich für die korrekte Ausrüstung bereitgestellt wird. Das verbessert die Sicherheit. Darüber hinaus kann eine Verbindung nur innerhalb des Standortnetzwerks über den HTTPS Port 443 initiiert werden. Dieser ist in den meisten Einrichtungen bereits offen.

Um diese Probleme zu lösen, benötigen Hersteller eine sichere, flexible und skalierbare Strategie für die Remote-Verwaltung von Maschinen. Eine solche Möglichkeit bietet der Cloud-basierte Zugriff, bei dem ein Remote-Gateway, ein Cloud-Server und eine Client-Software verwendet werden, um flexiblen Remote-Zugriffe auf die Ausrüstung zu ermöglichen.

Sicherheitsstrategie für weniger Risiken

Die Mehrheit der Hersteller stellt fest, dass die Vorteile, die ein Remote-Zugriff bietet, die Investition und das operative Risiko aufwiegen. Um den Risiken entgegenzuwirken, sollten Unternehmen eine Sicherheitsstrategie erarbeiten. Sie sollte die zusätzlichen Risiken entschärfen, die durch Remote-Zugriffe entstehen. Dazu gehört oft die Schaffung mehrschichtiger Sicherheitssysteme, damit nicht das gesamte Steuerungssystem angreifbar ist, wenn eine Sicherheitsschicht durchbrochen wurde.

Hersteller müssen alle verfügbaren Optionen abwägen, wenn sie Remote-Zugriff in einem industriellen Steuerungssystem umsetzen. Um die Sicherheit Ihrer Systeme zu gewährleisten, ist es von entscheidender Bedeutung, sicherzustellen, dass die Systeme bei Remote-Zugriffen so sicher wie möglich sind – gleich, ob die Benutzer nun im Home-Office arbeiten oder ihre E-Mails unterwegs oder während einer Geschäftsreise abrufen.

Firmen zu diesem Artikel
Verwandte Artikel