Ich komme aus dem Bereich und ich interessiere mich für
genuscreen
Schutz für Datentransfers und Netze
genugate
Für höchste Netzwerksicherheit an kritischen Schnittstellen durch umfassende Datenanalyse
genuwall
Starker Schutz für Produktionsnetze
genucrypt
Stark verschlüsselte Datentransfers
genubox
Sicherer Wartungszugriff in sensible Netze
GS.Gate
Hochsichere Digitalisierung mit Cloud Edge Gateway
cyber-diode
Hochsicheres Industrial Monitoring von Maschinen, Anlagen und KRITIS
vs-diode
Performante Einbahn-Datentransfers in GEHEIM-eingestufte Netze
genucenter
IT-Sicherheit im Griff mit genucenter
ECOS SecureBootStick SX
VS-NfD-konformes Arbeiten im Home Office
  1. Home
  2. Knowledge Base
  3. Rittal: Schluss mit Cyber-Attacken – sichere Fernwartung für Industrie 4.0

Case Study

Rittal: Schluss mit Cyber-Attacken – sichere Fernwartung für Industrie 4.0

Das Rittal-Werk in Haiger ist ein Pilotprojekt für die Umsetzung von Industrie 4.0 mit einer digitalisierten Auftragsabwicklung. Die Maschinen und Handling-Systeme kommunizieren untereinander und mit übergeordneten Leitsystemen. Mithilfe wissensbasierter Systeme werden Ausfallzeiten verringert, Wartungen vorausschauend geplant und Unterbrechungen des Produktionsprozesses minimiert. Die Hersteller der Anlagen können online auf ihre Systeme zugreifen, Störungen beseitigen und schnelle Supportservices bereitstellen.

Hohe Sicherheitsanforderungen

Durch die komplette Vernetzung der Anlagen in der Smart Factory wurden die Anforderungen an die Cyber-Sicherheit allerdings deutlich erhöht. „Wir wollten sicherstellen, dass ein Online-Zugriff niemals von außen aufgebaut werden kann, sondern immer eine Freischaltung von innen erfordert. Außerdem sollte immer nur das dafür freigegebene Gerät erreichbar sein. Eine Verbindung mit anderen Geräten im Netz darf nicht möglich sein“, nennt Fabian Friedrich, IT-Systembetreuer bei Loh Services, einige der erweiterten Security-Anforderungen im neuen Rittal-Werk. Loh Services ist die zentrale Dienstleistungsgesellschaft der Friedhelm Loh Group, zu der auch Rittal gehört.

„Im alten Werk hatte jeder Hersteller sein eigenes Fernwartungssystem für den Remote Service mitgebracht. Das war nicht mehr überschaubar und sehr aufwendig in der Administration“, so der IT-Systembetreuer. Die Systeme hätten oftmals völlig intransparent gearbeitet. Die Mitarbeiter konnten deshalb nicht kontrollieren, wann Eingriffe erfolgten, wie lange sie dauerten und was getan wurde. „Einige wollten sich dauerhaft verbinden. Das war so nicht akzeptabel und entsprach auch nicht den neuen Sicherheitsanforderungen“, beschreibt Friedrich die Ausgangssituation für das neue Werk.

Moderne Produktion mit Roboterarmen
Mehr als 100 neue Hightech-Maschinen, 60 Roboter und 20 fahrerlose Transportsysteme wurden im Rittal-Werk in Haiger vernetzt. Für die Fernwartung des Maschinenparks hat das Unternehmen eine hochsichere Plattform aufgebaut.

Die Dienstleister von Loh Services untersuchten, welche Fernwartungssysteme für die erhöhten Sicherheitsstandards unter Industrie 4.0 geeignet sind. Als die wichtigsten Anforderungen nennt der IT-Systembetreuer: „Die Hoheit über jeden Fernwartungsvorgang sollte bei uns liegen und jeder Zugriff sollte vorher von uns freigegeben werden müssen.“ Wichtig seien auch die Funktionalität einer Firewall und die Möglichkeit, die Fernwartung zu überwachen, gewesen. Im Vergleich der Fernwartungslösungen konnte der Hersteller genua durch den hohen Sicherheitsstandard und die gute Bedienbarkeit seiner Lösung genubox überzeugen.

Keine Einwahl von außen in das Netz

Bei der Fernwartungslösung genubox werden keine einseitigen Zugriffe in die Netze des Anlagenbauers zugelassen. Alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous Server, der in einer Demilitarisierten Zone (DMZ) neben der Firewall von Rittal am Übergang LAN – Internet installiert ist. Zu einem verabredeten Zeitpunkt bauen sowohl der externe Wartungsservice als auch der Anlagenbauer Verbindungen auf. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Durch die Rendezvous-Lösung behält der Anlagenbauer die vollständige Kontrolle über Wartungszugriffe auf Anlagen in seinem Werk.

Rendezvous-Lösung mit geubox
Eine Fernwartungsverbindung wird immer von innen heraus gestartet und alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous Server, der in einer Demilitarisierten Zone (DMZ) neben der Firewall installiert ist.

Die Lösung ist konform zu den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur sicheren Fernwartung. Laut BSI sollte der Fernwartungszugriff möglichst nicht pauschal pro (Sub-)Netz erfolgen, sondern vielmehr feingranular pro IP und Port geregelt werden können. Dies minimiere die „Reichweite“ von Fernwartungszugängen und beschränke somit auch die Folgen einer Kompromittierung. Ein möglicher Ansatz sei bspw. der Aufbau von 1:1-Verbindungen mittels SSH statt der Kopplung ganzer Netze durch IPsec.

Security-Lösungen müssen praxistauglich sein

Die Fernwartungslösung von genua hat sich für die Dienstleister von Loh Services als besonders sicher und praxistauglich bewährt. Wenn eine Fernwartung eingeleitet werden soll, gibt der Schichtführer oder der jeweils Verantwortliche einer Maschinenlinie den Zugriff frei. Die Fernwartung ist generell auf eine Stunde begrenzt, kann aber individuell verlängert werden. Bei Bedarf wird der Zugriff auch per Video aufgezeichnet, um rückwirkend alle Aktionen der Dienstleister nachvollziehen zu können. „Die Weboberfläche ist auch für Bediener ohne Erfahrung geeignet. Fehlbedienungen sind kein Problem, weil Änderungen an den Einstellungen höhere Benutzerberechtigungen erfordern“, erläutert Fabian Friedrich.

Digitalisierte Produktion
Die Rendezvous-Lösung von genua gewährleistet vollständige Kontrolle über Wartungszugriffe.

Bei den Herstellern gab es zunächst viele Vorbehalte gegen eine für sie fremde Lösung – sie konnten aber überzeugt werden. Der IT-Systembetreuer schickt den Herstellern eine vorbereitete Konfiguration für die Fernwartung ihrer Maschine und einen Link zum Download der Einwahl-Software bei genua. „Wenn sie die Konfiguration für ihre Maschinen eingelesen haben, sind sie bereits fertig. Das dauert keine 10 Minuten“, fasst Friedrich die Vorbereitungen zusammen. Änderungen in der Konfiguration kann er in genucenter, einer Central Management Station, umsetzen. Die mehr als 100 genuboxen bei Rittal werden über die Management Station zentral administriert. „Die Installation der genuboxen war recht einfach. Wir haben jetzt alle Standorte im Blick, können Filterregeln auch standortübergreifend ändern und Updates auf alle genuboxen verteilen“, erläutert der IT-Systembetreuer. Wenn es bei der Fernwartungs-Session Probleme geben sollte, sehe er sofort, ob bspw. die IP des Rechners geblockt wurde. Dann könne er diese IP in die Filterregel von genubox aufnehmen. „Das ist gut gelöst und einfach umsetzbar“, zeigt sich Friedrich zufrieden mit der Administration.

Ein höherer Sicherheits-Level erreicht

Im Produktionsnetz des neuen Rittal-Werks sind durch genubox inzwischen 72 getrennte Netzsegmente eingerichtet worden. Die abgeschotteten Subnetze schützen sowohl die Maschinen der Hersteller als auch das übergeordnete Produktionsnetz gegen unerwünschte Zugriffe. Innerhalb ihres Subnetzes können die Hersteller relativ frei agieren. Gleichzeitig behält der Anlagenbauer Rittal die Kontrolle und legt über die Firewall-Regeln und durch abgestufte Benutzerrechte fest, wer wann und unter welchen Bedingungen auf sein Netz zugreifen darf. Jede Verbindung wird dokumentiert und ist jederzeit nachvollziehbar. So lässt sich auch überprüfen, welche Zielsysteme erreicht werden sollten. Unerlaubte oder böswillige Attacken werden geblockt und aufgezeichnet.

Bildquelle: © Rittal GmbH & Co. KG

Zurück zur Übersicht

Topics

Artikel teilen

Produkte

genubox

Sicherer Wartungszugriff in sensible Netze
genubox XSi