Sollen Maschinen für Datenanalysen in der Cloud oder Fernwartungs-Service vernetzt werden, sind die Sicherheitsbedenken groß. Zu Recht, sagt der Verpackungsmaschinenhersteller Gerhard Schubert. Deshalb setzt der Hersteller bei der Vernetzung von Maschinen auf eine Sicherheitstechnik, die höchste Schutzanforderungen erfüllt und auch in sensiblen staatlichen Bereichen eingesetzt wird.

Ralf Schubert, Geschäftsführer des Verpackungsmaschinenherstellers Gerhard Schubert GmbH, berichtet, dass Verpackungsmaschinen immer flexibler werden, denn die Verpackungen müssen schneller und leichter veränderbar sein. Deshalb wurde die Programmierung der Schubert-Maschinen vereinfacht und vieles automatisiert. Außerdem steigen die Erwartungen der Betreiber an die Effizienz in der Produktion: „Wir haben in unserer Steuerung die Berechnung der Gesamtanlageneffektivität mit OEE-Kennzahlen (Overall Equipment Effectiveness) integriert. Dabei zeigt sich, dass viele Anlagen nicht optimal eingesetzt werden. Hier sehen wir Servicepotenzial.“

Der Geschäftsführer sieht einen Unterstützungsbedarf für seine Kunden beim Betrieb der Maschinen. Deshalb hat der Hersteller das Prozess-Management seiner Anlagensteuerung „Grips“ ausgebaut und mit der Grips.world ein eigenes Kundenportal in der Cloud entwickelt. Als nächsten Schritt will der Maschinenbauer den Cloud-Service ausweiten, um u.a. die Performance der Maschinen zu optimieren. Für einen solchen Service ist eine laufende Zustandsüberwachung in Echtzeit notwendig und es müssen viele Daten über die laufenden Prozesse ausgewertet werden. Dazu wird innerhalb der Grips.world ein digitaler Zwilling der Maschine als virtuelles Abbild eingerichtet.

Ralf Schubert benennt mit Predictive Maintenance ein weiteres Servicethema, das für die Kunden sehr wichtig ist. Der Maschinenbauer hat bereits 18 typische Use Cases für den Verschleiß von Maschinenkomponenten definiert. Um zu erkennen, wann besonders beanspruchte Teile ausfallen, müssen allerdings viele Daten über einen längeren Zeitraum ausgewertet werden. „Diese Daten kann uns die Maschine laufend übermitteln. Das akzeptieren unsere Kunden aber nur, wenn sie der Sicherheit vertrauen können“, so der Geschäftsführer.

Höhere Sicherheitsanforderungen an die industrielle Fernwartung
Die Betreiber von Maschinen und Anlagen sind bei Störungen darauf angewiesen, dass die Hersteller sofort reagieren. Das ist ohne eine Fernwartungs-Lösung heute nicht mehr sinnvoll und effizient realisierbar. Zudem sind weitere Serviceleistungen wie Predictive Maintenance ohne eine Onlineverbindung nicht möglich. Dreh- und Angelpunkt ist dabei die Sicherheit dieser Verbindungen.

„Cyberangriffe auf die Fertigung können sehr schnell sehr teuer werden“. Ralf Schubert nennt die Attacken des Schadprogramms WannaCry auf Windows-Betriebssysteme im Mai 2017 als Beispiel. „Die Maschinenhersteller waren sich sicher, dass ihre Anlagen gut geschützt sind. Wenn Linien dann nach einem solchen Angriff trotzdem stillstehen, kann das für ein Unternehmen schnell existenzbedrohend werden. Das darf nicht passieren.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hebt in seiner Analyse der „Fernwartung im industriellen Umfeld“ hervor, dass sich die „Produkteigenschaften einzelner Lösungen teilweise signifikant unterscheiden“. Das BSI hat deshalb generische Anforderungen für industrielle Fernwartung gemäß dem Stand der Technik formuliert. Die Vorgaben betreffen die Architektur, die sichere Kommunikation, die Authentisierungsmechanismen und weitere organisatorische Anforderungen. Der Verpackungsmaschinenhersteller Schubert hat diese Sicherheitsanforderungen als Voraussetzung für die Vernetzung der eigenen Maschinen definiert und auf ein neues Sicherheitskonzept gesetzt.

Sicherheit ist eine Frage der Technologie und des Vertrauens
„Wir waren mit den verfügbaren Sicherheitslösungen nicht zufrieden und haben deshalb einen vertrauenswürdigen Securityspezialisten als Partner gesucht.“ So entstand das Cloud Egde Gateway „Genua-Schubert-Gate“ (GS.Gate). Es ist eine gemeinsame Entwicklung des IT-Sicherheitsexperten Genua GmbH und von Schubert System Elektronik, einem Tochterunternehmen der Schubert-Gruppe, das sich auf die industrielle Computertechnik spezialisiert hat.

Die Genua GmbH ist ein deutscher Spezialist für IT-Sicherheit. Man sorgt für die Absicherung sensibler Schnittstellen im Behörden- und Industriebereich bis hin zur Vernetzung hochkritischer Infrastrukturen. Alle Produkte werden in Deutschland entwickelt und produziert und die wichtigsten regelmäßig durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und zugelassen.

„Sicherheit ist eine Frage des Vertrauens. Genua ist ein Unternehmen der Bundesdruckerei-Gruppe und liefert auch die Sicherheitstechnik für Banken, Versicherungen und besonders sensible staatliche Sicherheitsbereiche. Wir haben bereits gute Erfahrungen gemacht mit den Securitylösungen für unsere IT“, erläutert der Geschäftsführer die Auswahl des Security-Partners.

Security by Design für neu entwickeltes Cloud Edge Gateway
Das Besondere an dem GS.Gate ist das Security by Design, denn es bietet in einer industrietauglichen Hardware zwei getrennte Bereiche: Ein Edge Computer und ein Sicherheitsgateway. Der Edge Computer wird vom Sicherheitsgateway strikt abgeschottet. Auf der untersten Ebene des GS.Gate läuft ein Microkernel-Betriebssystem, das die getrennten Bereiche erzeugt. Die separierten Bereiche verfügen über jeweils eigene Betriebssysteme sowie fest zugewiesenen Hardware-Ressourcen.

Im Edge Computer können Maschinenhersteller oder -betreiber mittels der Container-Technologie Docker ihre individuelle Anwendung installieren. Die Anwendung ruft über gängige Schnittstellen wie LAN, IO-Link, Gbit-Ethernet oder Industrial Ethernet Zustands- und Leistungsdaten von der Maschine ab und führt eine Vorverarbeitung der Daten durch. Dabei werden aus der gesamten Datenmenge die Informationen herausgefiltert, die für die Data-Analytics-Auswertungen gebraucht werden. Nur diese Daten müssen zur Auswertung beispielsweise in die Cloud übertragen werden. Für die ausreichende Rechenleistung sorgt ein Intel Xeon E5 Prozessor.

Im Sicherheitsgateway befinden sich eine Firewall sowie die Remote-Access-Komponente für sichere Fernwartungszugriffe. Über die Firewall werden die gewonnenen Informationen sicher verschlüsselt zu den eigenen Servern oder zur Cloud weitergeleitet. Dabei schützt die Firewall den Edge Computer und die damit vernetzte Maschine vor Cyber-Attacken.

Nach außen in Richtung Netzwerk ist nur das speziell gehärtete Sicherheitsgateway sichtbar. Die Sicherheitskomponenten werden durch regelmäßige Updates auf dem neuesten Stand gehalten und sind somit gegen aktuelle Bedrohungen gewappnet. Hinter diesem Schutzschirm kann der Anwendungsbereich des Edge Computers ohne ständige Eingriffe durch Updates und Patches betrieben werden. Einmal eingerichtete und funktionierende Prozesse müssen nicht angefasst und geändert werden.

Die Fernwartungs-Funktionen wurden ebenfalls über das Sicherheitsgateway realisiert. Dabei ist eine Einwahl von außen nicht möglich. Der Maschinenbediener muss die Verbindung zunächst über einen Hardware-Schalter freischalten. Eine Status-LED zeigt an, ob der Fernwartungsmodus aktiviert ist.

Cloud Edge Gateway hat sich als industrietauglich bewährt
Der Verpackungsmaschinenhersteller Gerhard Schubert ist der erste Anwender des Cloud Edge Gateway. Zunächst wurden drei Testmaschinen mit dem GS.Gate ausgerüstet. Das Gateway wurde jeweils per Hutschiene im Schaltschrank montiert. Übertragen wurden je nach Erfordernis in Zeitabständen zwischen 20 ms und einer Minute bis zu 30 Datensätze zum Zustand der Maschine sowie weitere Informationen wie Fehlermeldungen oder die Seriennummern von Komponenten.

„Das GS.Gate hat sich im Industriealltag bewährt. Jetzt setzen wir die laufende Zustandsüberwachung in Echtzeit um und das auf einem neuen Sicherheitsniveau“, fasst Ralf Schubert die Erfahrungen zusammen. Künftig werden alle Schubert-Maschinen mit dem Cloud Edge Gateway ausgestattet. Das Gateway lässt sich herstellerunabhängig an Maschinen anbinden und wird von der Schubert System Elektronik und genua für andere Maschinenbauer und -betreiber aktiv vermarktet.

Die Gerhard Schubert GmbH
Die Gerhard Schubert GmbH entwickelt modulare Verpackungsmaschinen und bietet Serviceleistungen für verschiedenste Branchen – von Pharma und Kosmetik über Getränke, Nahrungsmittel und Süßwaren bis hin zu technischen Artikeln. Das Familienunternehmen aus Crailsheim in Baden-Württemberg setzt bei seinen digitalen, roboterbasierten Verpackungsmaschinen auf ein Zusammenspiel von einfacher Mechanik, intelligenter Steuerungstechnik und skalierbarer Modularität. Der Maschinenbauer hat sich über den Sicherheitsstandard ISO 27001 zertifizieren lassen, um die eigenen Sicherheitsstandards zu verbessern und die Awareness der Mitarbeiter zu erhöhen.