Case Study
manroland Goss web systems bietet sicheren Fernwartungs-Service
Full Service via Internet
Mit über 50 km/h jagt das Papier durch eine moderne Rollendruckmaschine, die ihre Farben dennoch auf den Hunderstel Millimeter genau auf die vorbeieilende Unterlage setzt. Diese Geschwindigkeit muss sein. Im harten Wettbewerb der Branche gewinnt die Druckerei, die kurzfristig Großaufträge erfüllen kann. Die Maschinen für die farbechte Präzision im rasenden Tempo sind komplex und erfordern erhebliche Investitionen. Stillstand bedeutet hier sofort Verlust, längere Wartungsarbeiten oder sogar Ausfälle durch Störungen müssen also unbedingt vermieden werden. Hier ist schneller Support von den Maschinenherstellern gefordert. manroland Goss web systems, Weltmarktführer bei den großen Rollenoffset-Systemen, bietet Kunden komfortablen Service über eine sichere Fernwartungslösung.
Leistungsstarke Maschinen automatisieren den komplizierten Vorgang „Drucken“ zu einem einzigen, durchgängigen Prozess. Dafür müssen die Arbeitsschritte zahlreicher Systeme exakt ineinandergreifen – vom schnellen Druckplattenwechsel und Papiereinzug über den eigentlichen Druck bis hin zum Falzen. Die Steuerung dieser maschinellen Arbeitsgemeinschaft basiert auf einem eigenen Netzwerk: Hier sind die verschiedenen Systeme sowie zahlreiche Kontrollsensoren miteinander verbunden und können über Leitstände überwacht und eingestellt werden. An dieses Netz muss der Druckmaschinenhersteller via Fernzugriff rankommen, um den vom Kunden geforderten reibungslosen Betrieb jederzeit gewährleisten zu können.
Fernwartungs-Service rund um die Uhr
Der Druckmaschinenhersteller manroland Goss web systems unterstützt Kunden mit einem breiten Support-Angebot via Fernwartung. Rund um die Uhr betreut das TeleSupportCenter des Unternehmens im Dreischichtbetrieb von Augsburg, Chicago und Sydney aus die weltweit installierten Druckanlagen. Die Aufgaben der Helpline: auf Kundenwunsch fortlaufende Überwachung durch Auswertung der Log-Files, regelmäßige Wartungsarbeiten wie Software-Updates sowie umgehende Reaktion bei Warnungen oder Problemen. „Wir haben unsere Maschinen stets im Blick und können so Probleme bereits im Vorfeld lösen, bevor sie zu schwerwiegenden Störungen oder gar Ausfallzeiten führen“, sagt Peter Brechtel, Leiter IT-Infrastruktur bei manroland Goss web systems.
Über die Fernwartungsverbindung kommt aber nicht nur Hilfe für den laufenden Betrieb, sondern auch beim Aufbau neuer Druckanlagen. Die Techniker von manroland Goss web systems, die unter erheblichem Zeitdruck die Installation beim Kunden vor Ort durchführen, können über die direkte Verbindung jederzeit auf dringend benötigte Tools, Software und Know-how im eigenen Firmennetz zurückgreifen.
Kunden erwarten hohe IT-Sicherheit bei Fernwartungszugriff
Somit sind die Verbindungen zu den Druckmaschinen zentrale Lebensnerven für manroland Goss web systems. Bei der technischen Umsetzung gelten deshalb hohe Anforderungen – Zuverlässigkeit und Sicherheit stehen dabei an erster Stelle. „Unser Support muss jederzeit schnell auf die Maschinen zugreifen können. Und unsere Kunden erwarten natürlich zu Recht, dass bei externen Zugriffen in ihr Netzwerk höchste Sicherheitsmaßstäbe beachtet werden“, erläutert Peter Brechtel: „Weitere Kriterien sind darüber hinaus die einfache Installation aufseiten des Kunden sowie geringe Betriebskosten.“ Deshalb entschied manroland Goss web systems, für die Kommunikation zwischen den Druckmaschinen bei Kunden und dem eigenen Firmennetz ein Virtual Private Network (VPN) aufzubauen.
Sichere Lösung: Virtual Private Network über das Internet
Ein VPN legt stark verschlüsselte Tunnel über öffentliche Netze wie das Internet. Über diese abgeschirmten Verbindungen können dann sensible Daten sicher übertragen werden. Dazu müssen an den jeweiligen Endpunkten VPN-Appliances installiert werden, die diese Datentunnel durch den unsicheren Bereich aufbauen. manroland Goss web systems setzt hier die Krypto-Appliance genubox des Unternehmens genua ein, das auf IT-Sicherheit spezialisiert ist. genubox arbeitet mit dem Protokoll SSH. Diese Technologie ermöglicht die direkte Ansteuerung von Systemen innerhalb von fremden Netzen, auch wenn das Ziel hinter einer Firewall verborgen ist. „Die Lösung mit SSH bietet sowohl bei der Sicherheit als auch bei der Installation große Vorteile und war entscheidend für die Auswahl dieser VPN-Appliance“, so Karlheinz Huber, Mitarbeiter im Bereich IT-Infrastruktur bei manroland Goss web systems.
VPN-Appliance genubox schützt Kundennetz
Alle Rollendruck-Installationen von manroland Goss web systems sind serienmäßig mit einer genubox ausgestattet, und auch immer mehr der kleineren Bogendruckmaschinen werden mit diesem Fernwartungszugang an Kunden ausgeliefert. Diese VPN-Appliance wird beim Kunden an das Netzwerk angeschlossen. Als Gegenstelle ist am Netz von manroland Goss web systems ebenfalls eine genubox installiert. Jetzt muss an der Firewall des Kundennetzes lediglich ein ausgehender Port freigeschaltet werden, damit die verschlüsselte Verbindung zu manroland Goss web systems aufgebaut werden kann. Für die Absicherung des Wartungszugangs beim Kunden sorgt die VPN-Appliance. Sie isoliert mit ihrer integrierten Firewall-Funktionalität den Wartungsbereich vom restlichen Kundennetz und führt die verschlüsselte SSH-Verbindung direkt auf die Druckmaschine. So zielt der Wartungszugangs ausschließlich auf die betreute Installation – ein Zugriff auf andere Systeme im Netz des Druckmaschinenbetreibers ist nicht möglich.
Nur Kunden können Wartungsverbindung aufbauen
Ein weiteres Sicherheitsmerkmal der Lösung ist, dass die Wartungsverbindung nur von der Seite aus aufgebaut werden kann, die ihr Netzwerk für den externen Zugriff öffnet: also vom Kunden. Erst wenn die Verbindung hergestellt ist, wird sie von manroland Goss web systems in umgekehrter Richtung für die Wartungsarbeiten genutzt. So hat der Druckmaschinenbetreiber stets die Kontrolle, wann und wem er Zutritt in sein Netz gewährt. „Die starke Verschlüsselung, der klar auf den Wartungsbereich begrenzte Zugriff und die einseitige Hoheit über den Verbindungsaufbau sind Argumente, die auch sicherheitsbewusste Kunden überzeugen, dass dieser Wartungszugang mit ihren Policies vereinbar ist“, sagt Karlheinz Huber.
Full Service mit Wake-up-Lösung
Da der Verbindungsaufbau stets von der Kundenseite ausgeht, werden mit dem Hersteller-Support Zeitfenster für die Wartung vereinbart bzw. kurzfristig telefonisch abgesprochen. Oder die „Wake-up-Lösung“ wird eingesetzt. Mit diesem vom IT-Sicherheitsunternehmen genua entwickelten Verfahren kann manroland Goss web systems auch den Anstoß zur Öffnung des Zugangs geben und somit selbstständig alle Aufgaben rund um die Wartung leisten – ohne das Sicherheits-Feature „Verbindungsaufbau nur von Kundenseite“ außer Kraft zu setzen. Das Verfahren: Wenn der Support Wartungsarbeiten durchführen möchte, schickt er ein spezielles Datenpaket (UDP) an die VPN-Appliance im Kundenetz. Für genubox ist dieses Paket das Signal zum Aufbau des SSH-Tunnels zu manroland Goss web systems, und sobald die Verbindung steht, kann sie wiederum in umgekehrter Richtung für Wartungsarbeiten genutzt werden. Der Kunde muss bei der Wake-up-Lösung nicht aktiv eingreifen, seine IT-Sicherheit ist dennoch gewahrt.
Die Installation der Wartungslösung beim Kunden erfordert nur wenige Handgriffe:
- Freischaltung eines ausgehenden Ports auf der Firewall
- Eingabe der IP-Adresse von manroland Goss web systems als Ziel für den SSH-Tunnel
- kurzer Verbindungstest mittels Laptop
- Anschluss der von manroland Goss web systems vorkonfigurierten genubox ans Netz
Fernwartungs-Service ist wichtiger Wettbewerbsvorteil
Als Verbindung dient dabei meistens der bestehende Internet-Zugang, sodass hier keine zusätzlichen Betriebskosten entstehen. Dabei funktioniert die Lösung sowohl mit festen als auch dynamischen IP-Adressen. „Die Fernwartung über VPN ist eine sichere und zuverlässige Lösung, die bei unseren Kunden gut ankommt und damit ein wichtiger Wettbewerbsvorteil ist“, unterstreicht Peter Brechtel von manroland Goss web systems.
